View
61
Download
3
Category
Preview:
Citation preview
1
UNIVERSITE PAU ET PAYS DE LrsquoADOUR
INSTITUT DrsquoADMINISTRATION DES ENTREPRISES
INITIATION A LA MISE EN PLACE
DrsquoUN REFERENTIEL COBIT
Meacutemoire de Maicirctrise de Science de Gestion des
systegravemes drsquoinformations
Meacutemoire preacutesenteacute par VILLEFLOSE Greacutegory
Anneacutee Universitaire 2004-2005
2
UNIVERSITE PAU ET PAYS DE LrsquoADOUR
INSTITUT DrsquoADMINISTRATION DES ENTREPRISES
INITIATION A LA MISE EN PLACE
DrsquoUN REFERENTIEL COBIT
Meacutemoire de Maicirctrise de Science de Gestion des
systegravemes drsquoinformations
Meacutemoire preacutesenteacute par VILLEFLOSE Greacutegory
Luniversiteacute nentend donner aucune approbation ni improbation aux opinions eacutemises
dans ce meacutemoire ces opinions doivent ecirctre consideacutereacutees comme propres agrave leur auteur
Anneacutee Universitaire 2004-2005
Suivi par Mr RECASENS et Mr SALLABERY
Volume 50 pages
3
Reacutesumeacute A lrsquoheure actuelle le systegraveme drsquoinformation dans les entreprises mecircme moyennes est
devenu une organisation a lui seul comprenant des fonctions multiples tout autant que de
techniques Cance ne fait pas exception agrave la regravegle citeacutee preacuteceacutedemment tout systegraveme
drsquoinformation doit donc inteacutegrer une organisation une structure permettant drsquoenchaicircner
correacuteler et structurer les opeacuterations meneacutees
Chez Cance comme chez tant drsquoautres socieacuteteacutes cette organisation est deacutestructureacutee
Ce rapport srsquointerroge sur la possibiliteacute de mettre en place un reacutefeacuterentiel processus
tel que le Cobit dans une entreprise du bacirctiment tel que Cance Cette reacuteflexion porte sur les
reacutefeacuterentiels possibles leurs adaptations agrave lrsquoentreprise La mise en place drsquoun reacutefeacuterentiel ne
se faisant pas telle qursquoelle ce rapport srsquointeacuteresse aussi aux outils de gestion de processus mis
en place ainsi que les actions deacutecoulant de la mise en place drsquoun reacutefeacuterentiel
Descripteurs Systegraveme drsquoinformation processus reacutefeacuterentiel reacutefeacuterentiel processus Cobit audit
service informatique gestion de processus
Abstract This report wonders about the possibility of setting up a reference framework process
such as Cobit in a company of construction
Actually the information system in the firm became an organization including
multiple functions and techniques Cance doesnrsquot make exception integrating an
organization and a structure in order to connect correlate and making operations As many
other firms Cance is disorganized This document deals with the possible reference
frameworks and their adaptations to the company Set up of a not being done reference
Framework implicates set up tools of process as well as actions rising from the installation
of a reference framework process
Keywords Information system process reference frame reference frame process Cobit to that
data processing department management of process
4
Fiche de renseignement du stagiaire
Stagiaire Villeflose Greacutegory
Promotion MSG GSI
Anneacutee universitaire 2004-2005
Fiche de renseignement de lrsquoentreprise
Entreprise CANCE SA
Adresse BP35 Route de la Montjoie CP 64 800 NAY
NdegSIRET 097 280 234 00010 Code NAF 281 A
Groupe CANCE DEVELOPPEMENT
Nom du Directeur Christian CANCE
Responsable de stage Direction des opeacuterations Maurice PRADE
Activiteacute de lrsquoentreprise CANCE Constructions meacutetalliques eacutetudie conccediloit et reacutealise des
bacirctiments industriels agricoles commerciaux sportifs scolaires universitaires et
hospitaliers
Chiffre drsquoaffaire 50 millions drsquoeuros
Principaux clients Les Mairies ASF Auchan EDF la DDE Renaulthellip
Descripteurs
Systegraveme drsquoinformation processus reacutefeacuterentiel reacutefeacuterentiel processus Cobit audit service
informatique gestion de processus
5
Remerciements
Je tiens tout drsquoabord agrave remercier lrsquoensemble du corps enseignant pour les informations
qursquoils ont pu me fournir dans le cadre de la recherche du stage ainsi que dans la deacutetermination
des objectifs de stage
Je remercie tout particuliegraverement Mme Darand pour ses conseils sur les deacutemarches
qualiteacute Mr Squozie pour tout ce qui concerne lrsquoaudit ainsi que Mme Bessagnet pour ses cours
sur la modeacutelisation et pour ses conseils
Je dois de mecircme remercier tout particuliegraverement Mr Recasens et Mr Sallabery pour
leurs conseils dans la reacutedaction de ce meacutemoire
Mes remerciements vont aussi vers Mr Prade qui a pris sur son temps et a eacuteteacute toujours
preacutesent pour me suivre tout le long du deacuteroulement de mon stage
Je dois de mecircme remercier tout le personnel qui par sa patience a permis que mon
stage se deacuteroule au mieux
Je dois aussi rendre hommage agrave toutes les personnes parents amis qui mrsquoont aideacute au
cour de la reacutedaction de ce meacutemoire et aussi au cour de ce stage
6
Plan
INTRODUCTION8 PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16 2 Cahier des charges et orientation de la reacuteflexion 18
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance 20 2 Documents et outils mis en place 24
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32 1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique36 2 Audit orienteacute organisation et strateacutegie38
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42 BIBLIOGRAPHIE 48
7
Liste des annexes
LEXIQUE ERREUR SIGNET NON DEFINI FICHE PROCESSUSERREUR SIGNET NON DEFINI CLASSIFICATION DES PROCESSUS COBIT ERREUR SIGNET NON DEFINI MODELE DE MATURITE COBIT ERREUR SIGNET NON DEFINI FICHE PROCESSUS COBIT ERREUR SIGNET NON DEFINI QUESTIONNAIRES COBITERREUR SIGNET NON DEFINI MODELE BUDGET (NON BUDGETE) ERREUR SIGNET NON DEFINI MODELE TABLEAU DE BORD (RESUME) ERREUR SIGNET NON DEFINI TB TELEPHONIE RESUME (1P5P) ERREUR SIGNET NON DEFINI DIAGRAMME MISSION ERREUR SIGNET NON DEFINI ORGANIGRAMME DE LA SOCIETE ET DU SI ERREUR SIGNET NON DEFINI RAPPORT DrsquoAUDIT GENERAL (12P60P)ERREUR SIGNET NON DEFINI QUESTIONNAIRE ELABORE PERCEPTION DE LA FONCTION HELPDESK ERREUR SIGNET NON DEFINI
8
Introduction
Jrsquoai reacutealiseacute mon stage chez Cance constructions meacutetalliques au siegravege social agrave Nay
Cance propose de reacutealiser des bacirctiments aux utilisations diverses mais exploitant le mecircme
savoir faire la production et la maicirctrise du meacutetal
Cance de la petite entreprise familiale au groupe industriel Un peu drsquohistoire
Cance a eacuteteacute fondeacute en 1961 par Robert Cance pegravere de lrsquoactuel PDG agrave lrsquoorigine
destineacutee agrave lrsquoactiviteacute de serrurerie lrsquoentreprise va se deacutevelopper autour de lrsquoactiviteacute des
charpentes meacutetalliques en automatisant tregraves tocirct son processus de production Cance SA
connaicirctra un deacuteveloppement important notamment dans le Sud Ouest de la France La
strateacutegie de deacuteveloppement en icirclots
verra la creacuteation drsquoagences
commerciales agrave Bayonne (1981) La
Rochelle (1998) Tours Narbonne
(2002) et enfin Clermont Ferrand
(2004) comprenant pour certaines
leurs propres ateliers Cance qui doit
faire aussi face agrave une concurrence
importante srsquoest aussi implanteacute au
Portugal en creacuteant une usine de fabrication agrave Carregal de Sal (2800m2)
Le groupe Cance creacuteeacute en 1991 regroupe ainsi autour de lrsquoentiteacute Cance
Deacuteveloppement
-Cance SA construction meacutetallique
-Cance Meacutetallerie meacutetallerie
-Cance Aluminium menuiserie aluminium
Srsquoajoute aussi Cance reacuteunion la derniegravere des filiales regroupant toutes les activiteacutes du
groupe sur un mecircme site
9
Mais aujourdrsquohui
Le groupe Cance dirigeacute par Christian Cance totalise aujourdrsquohui un chiffre drsquoaffaires
de 60 millions drsquoeuros avec plus de 400 employeacutes et reste en constant deacuteveloppement
(ouverture de site dans le nordhellip)
Domaines drsquoactiviteacutes Cance constructions meacutetalliques eacutetudie conccediloit et reacutealise des bacirctiments industriels
agricoles commerciaux sportifs scolaires universitaires et hospitaliers Pour reacutealiser ces
bacirctiments les usines de productions transforment des barres drsquoacier en eacuteleacutements qui une fois
assembleacutes entre eux sur le chantier constituent lrsquoossature ou la structure meacutetallique du
bacirctiment En 2003 la production repreacutesentait 10 100 tonnes drsquoacier
Tous les autres mateacuteriaux qui interviennent dans la reacutealisation du bacirctiment ne
subissent pas de transformation ils sont acheteacutes agrave diffeacuterents fournisseurs et sont directement
ou non achemineacutes sur le chantier afin drsquoecirctre fixeacutes agrave lrsquoossature Il srsquoagit par exemple des
visseries de la couverture ou de lrsquoisolation
Les clients Chaque client est agrave part les bacirctiments biens immobiliers eacutetant des constructions non
standardiseacutees Chaque bacirctiment est ainsi un produit avec ses particulariteacutes Les clients sont
tregraves divers allant du particulier voulant se faire construire un garage une association deacutesirant
se faire bacirctir une buvette ou
encore un grand groupe
aeacuteronautique deacutesirant creacuteer des
hangars Cance a reacutealiseacute des
hocircpitaux (Pellegrin Tarbes) la
gare de peacuteage de Bayonne ou
encore certaines infrastructures
du tramway de Bordeauxhellip
CHU Pellegrin ndash Bordeaux
10
Les moyens de production CANCE constructions meacutetalliques dispose de deux sites de production Le premier agrave
Nay ayant 8000 m2 de superficie et le second agrave Carreacutegal Do Sal au Portugal de 8200 m2
La production nrsquoest pas une activiteacute de pointe mais la plus grande partie est meacutecaniseacutee
(pont roulant palans) et automatiseacutee (machine agrave commande numeacuterique relieacute aux ordinateurs
de CAO) Cance reacutealise la production la peinture la construction La galvanisation
(traitement) et le transport sont (en partie) sous traiteacutes
Cance un marcheacute dans la tourmente Cance se situe sur le marcheacute de lrsquoacier marcheacute en pleine tempecircte depuis lrsquoan dernier
La situation est parfaitement reacutesumeacutee par Arcelor numeacutero 1 de la sideacuterurgie
Depuis courant 2003 les prix des aciers ont veacuteritablement exploseacute En effet laquo aucun
fournisseur nrsquoest assez puissant pour satisfaire lrsquoappeacutetit de lrsquoinsatiable dragon chinois raquo 1
LrsquoEurope connaicirct une hausse sans preacuteceacutedent des produits sideacuterurgiques avec 50 agrave 60
drsquoaugmentation des prix Cance comme toutes les entreprises du secteur subissent cet eacutetat de
fait Ce problegraveme est drsquoautant plus saisissant que Cance a une activiteacute ougrave les devis et les
laquo fournitures raquo ont des temporaliteacutes tregraves diffeacuterentes En clair entre lrsquoacceptation du devis pour
un prix X (par rapport agrave un niveau du prix de lrsquoacier X) et entre la fourniture (fabrication de la
charpente) le deacutelai est de plusieurs mois voir mecircme une anneacutee Ce problegraveme est drsquoautant plus
critique que la principale matiegravere premiegravere de lrsquoactiviteacute de Cance est lrsquoacier
Ces faits communs agrave tout le marcheacute ont creacuteeacute plusieurs difficulteacutes
-Ralentissement des investissements des bacirctiments industriels face agrave lrsquoaugmentation
des coucircts
-Augmentation de la concurrence face au reacutetreacutecissement des marcheacutes
Cette situation a impliqueacute de nombreuses complications (perte de compeacutetitiviteacute
chantiers agrave perte complexification face aux avenantshellip)
Toutes les entreprises du secteur ont donc ducirc devenir plus compeacutetitives et de fait
abaisser leurs coucirctshellipLe secteur du bacirctiment est deacutejagrave tregraves concurrentiel face agrave une
augmentation des coucircts directs incompressibles ou presque (matiegravere premiegravere lrsquoacier et coucirct
de la main drsquooeuvre) il a fallu reacuteduire les coucircts indirects Dans cette situation il convenait de
rationaliser la situation du SI Il a fallu augmenter lrsquoefficaciteacute du SI tout en reacuteduisant son
coucirct
1 httpwwwlarevueparlementairefrpagesRP871RP871_economie_marcheacierhtm
11
Le SI drsquoinformation Cance une remise en cause neacutecessaire Le SI grands chiffres
Le parc informatique est composeacute de pregraves de 180 ordinateurs dont une dizaine de
portables dont certains en teacuteleacutetravail Le reste des ordinateurs est reacuteparti sur pregraves de 8 sites Le
parc comprend pas moins de 13 serveurs ainsi qursquoun support de teacuteleacutephonie Srsquoajoute agrave ce
parc la gestion de plusieurs machines outils agrave commande numeacuterique en teacuteleacutemaintenance Le
service informatique comprend une personne agrave temps complet et fait aussi appel agrave un
informaticien (30 jours drsquointervention dans lrsquoanneacutee)Srsquoajoute ici lrsquoexpertise de nombreux
sous traitants agrave travers de nombreux projets travaillant en collaboration avec le service du
systegraveme drsquoinformation (projet drsquoERP Tiamp ou Deacuteveloppement drsquoapplication speacutecifique
Cancesoft)
Ce service assure la maintenance du parc et suit les activiteacutes de preacutes de 190
utilisateurs du systegraveme drsquoinformation Le SI comprend bon nombre drsquoapplications
laquo maison raquo Cancesoft pour les devis ou encore un ERP Tiamp
Le systegraveme drsquoinformation dispose de mecircme drsquooutil help desk et a pour projet la mise
en place drsquoun intra net
Le systegraveme drsquoinformation est dirigeacute par Maurice Prade mon tuteur de stage chargeacute de
la supervision du systegraveme drsquoinformation ainsi que du controcircle et de lrsquoinitialisation des grands
projets du systegraveme drsquoinformation
Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique
Le groupe Cance a veacutecu un deacuteveloppement particuliegraverement important le groupe est
passeacute en quelques anneacutees drsquoun parc informatique comprenant une trentaine de postes
indeacutependants agrave preacutes de 180 aujourdrsquohui relieacutes par un reacuteseau et disposant de moyens allant de
pair Face agrave ce deacuteveloppement les moyens mateacuteriels et humains nrsquoont pas forceacutement suivi A
lrsquoheure actuelle et bon greacute mal greacute lrsquoentreprise doit faire face agrave diffeacuterents obstacles au niveau
du SI tout en continuant son deacuteveloppement Cance a agrave faire face agrave diffeacuterents problegravemes
reacutecurrents
-Inexistence de documentation technique
-Impossibiliteacute de preacutevoir son activiteacute
-Manque totale de transparence
-Meacutecontentement
-Faire face au risque supporteacute par le SI mise en place de lrsquoERP et reacutegularisation des
licences
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
2
UNIVERSITE PAU ET PAYS DE LrsquoADOUR
INSTITUT DrsquoADMINISTRATION DES ENTREPRISES
INITIATION A LA MISE EN PLACE
DrsquoUN REFERENTIEL COBIT
Meacutemoire de Maicirctrise de Science de Gestion des
systegravemes drsquoinformations
Meacutemoire preacutesenteacute par VILLEFLOSE Greacutegory
Luniversiteacute nentend donner aucune approbation ni improbation aux opinions eacutemises
dans ce meacutemoire ces opinions doivent ecirctre consideacutereacutees comme propres agrave leur auteur
Anneacutee Universitaire 2004-2005
Suivi par Mr RECASENS et Mr SALLABERY
Volume 50 pages
3
Reacutesumeacute A lrsquoheure actuelle le systegraveme drsquoinformation dans les entreprises mecircme moyennes est
devenu une organisation a lui seul comprenant des fonctions multiples tout autant que de
techniques Cance ne fait pas exception agrave la regravegle citeacutee preacuteceacutedemment tout systegraveme
drsquoinformation doit donc inteacutegrer une organisation une structure permettant drsquoenchaicircner
correacuteler et structurer les opeacuterations meneacutees
Chez Cance comme chez tant drsquoautres socieacuteteacutes cette organisation est deacutestructureacutee
Ce rapport srsquointerroge sur la possibiliteacute de mettre en place un reacutefeacuterentiel processus
tel que le Cobit dans une entreprise du bacirctiment tel que Cance Cette reacuteflexion porte sur les
reacutefeacuterentiels possibles leurs adaptations agrave lrsquoentreprise La mise en place drsquoun reacutefeacuterentiel ne
se faisant pas telle qursquoelle ce rapport srsquointeacuteresse aussi aux outils de gestion de processus mis
en place ainsi que les actions deacutecoulant de la mise en place drsquoun reacutefeacuterentiel
Descripteurs Systegraveme drsquoinformation processus reacutefeacuterentiel reacutefeacuterentiel processus Cobit audit
service informatique gestion de processus
Abstract This report wonders about the possibility of setting up a reference framework process
such as Cobit in a company of construction
Actually the information system in the firm became an organization including
multiple functions and techniques Cance doesnrsquot make exception integrating an
organization and a structure in order to connect correlate and making operations As many
other firms Cance is disorganized This document deals with the possible reference
frameworks and their adaptations to the company Set up of a not being done reference
Framework implicates set up tools of process as well as actions rising from the installation
of a reference framework process
Keywords Information system process reference frame reference frame process Cobit to that
data processing department management of process
4
Fiche de renseignement du stagiaire
Stagiaire Villeflose Greacutegory
Promotion MSG GSI
Anneacutee universitaire 2004-2005
Fiche de renseignement de lrsquoentreprise
Entreprise CANCE SA
Adresse BP35 Route de la Montjoie CP 64 800 NAY
NdegSIRET 097 280 234 00010 Code NAF 281 A
Groupe CANCE DEVELOPPEMENT
Nom du Directeur Christian CANCE
Responsable de stage Direction des opeacuterations Maurice PRADE
Activiteacute de lrsquoentreprise CANCE Constructions meacutetalliques eacutetudie conccediloit et reacutealise des
bacirctiments industriels agricoles commerciaux sportifs scolaires universitaires et
hospitaliers
Chiffre drsquoaffaire 50 millions drsquoeuros
Principaux clients Les Mairies ASF Auchan EDF la DDE Renaulthellip
Descripteurs
Systegraveme drsquoinformation processus reacutefeacuterentiel reacutefeacuterentiel processus Cobit audit service
informatique gestion de processus
5
Remerciements
Je tiens tout drsquoabord agrave remercier lrsquoensemble du corps enseignant pour les informations
qursquoils ont pu me fournir dans le cadre de la recherche du stage ainsi que dans la deacutetermination
des objectifs de stage
Je remercie tout particuliegraverement Mme Darand pour ses conseils sur les deacutemarches
qualiteacute Mr Squozie pour tout ce qui concerne lrsquoaudit ainsi que Mme Bessagnet pour ses cours
sur la modeacutelisation et pour ses conseils
Je dois de mecircme remercier tout particuliegraverement Mr Recasens et Mr Sallabery pour
leurs conseils dans la reacutedaction de ce meacutemoire
Mes remerciements vont aussi vers Mr Prade qui a pris sur son temps et a eacuteteacute toujours
preacutesent pour me suivre tout le long du deacuteroulement de mon stage
Je dois de mecircme remercier tout le personnel qui par sa patience a permis que mon
stage se deacuteroule au mieux
Je dois aussi rendre hommage agrave toutes les personnes parents amis qui mrsquoont aideacute au
cour de la reacutedaction de ce meacutemoire et aussi au cour de ce stage
6
Plan
INTRODUCTION8 PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16 2 Cahier des charges et orientation de la reacuteflexion 18
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance 20 2 Documents et outils mis en place 24
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32 1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique36 2 Audit orienteacute organisation et strateacutegie38
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42 BIBLIOGRAPHIE 48
7
Liste des annexes
LEXIQUE ERREUR SIGNET NON DEFINI FICHE PROCESSUSERREUR SIGNET NON DEFINI CLASSIFICATION DES PROCESSUS COBIT ERREUR SIGNET NON DEFINI MODELE DE MATURITE COBIT ERREUR SIGNET NON DEFINI FICHE PROCESSUS COBIT ERREUR SIGNET NON DEFINI QUESTIONNAIRES COBITERREUR SIGNET NON DEFINI MODELE BUDGET (NON BUDGETE) ERREUR SIGNET NON DEFINI MODELE TABLEAU DE BORD (RESUME) ERREUR SIGNET NON DEFINI TB TELEPHONIE RESUME (1P5P) ERREUR SIGNET NON DEFINI DIAGRAMME MISSION ERREUR SIGNET NON DEFINI ORGANIGRAMME DE LA SOCIETE ET DU SI ERREUR SIGNET NON DEFINI RAPPORT DrsquoAUDIT GENERAL (12P60P)ERREUR SIGNET NON DEFINI QUESTIONNAIRE ELABORE PERCEPTION DE LA FONCTION HELPDESK ERREUR SIGNET NON DEFINI
8
Introduction
Jrsquoai reacutealiseacute mon stage chez Cance constructions meacutetalliques au siegravege social agrave Nay
Cance propose de reacutealiser des bacirctiments aux utilisations diverses mais exploitant le mecircme
savoir faire la production et la maicirctrise du meacutetal
Cance de la petite entreprise familiale au groupe industriel Un peu drsquohistoire
Cance a eacuteteacute fondeacute en 1961 par Robert Cance pegravere de lrsquoactuel PDG agrave lrsquoorigine
destineacutee agrave lrsquoactiviteacute de serrurerie lrsquoentreprise va se deacutevelopper autour de lrsquoactiviteacute des
charpentes meacutetalliques en automatisant tregraves tocirct son processus de production Cance SA
connaicirctra un deacuteveloppement important notamment dans le Sud Ouest de la France La
strateacutegie de deacuteveloppement en icirclots
verra la creacuteation drsquoagences
commerciales agrave Bayonne (1981) La
Rochelle (1998) Tours Narbonne
(2002) et enfin Clermont Ferrand
(2004) comprenant pour certaines
leurs propres ateliers Cance qui doit
faire aussi face agrave une concurrence
importante srsquoest aussi implanteacute au
Portugal en creacuteant une usine de fabrication agrave Carregal de Sal (2800m2)
Le groupe Cance creacuteeacute en 1991 regroupe ainsi autour de lrsquoentiteacute Cance
Deacuteveloppement
-Cance SA construction meacutetallique
-Cance Meacutetallerie meacutetallerie
-Cance Aluminium menuiserie aluminium
Srsquoajoute aussi Cance reacuteunion la derniegravere des filiales regroupant toutes les activiteacutes du
groupe sur un mecircme site
9
Mais aujourdrsquohui
Le groupe Cance dirigeacute par Christian Cance totalise aujourdrsquohui un chiffre drsquoaffaires
de 60 millions drsquoeuros avec plus de 400 employeacutes et reste en constant deacuteveloppement
(ouverture de site dans le nordhellip)
Domaines drsquoactiviteacutes Cance constructions meacutetalliques eacutetudie conccediloit et reacutealise des bacirctiments industriels
agricoles commerciaux sportifs scolaires universitaires et hospitaliers Pour reacutealiser ces
bacirctiments les usines de productions transforment des barres drsquoacier en eacuteleacutements qui une fois
assembleacutes entre eux sur le chantier constituent lrsquoossature ou la structure meacutetallique du
bacirctiment En 2003 la production repreacutesentait 10 100 tonnes drsquoacier
Tous les autres mateacuteriaux qui interviennent dans la reacutealisation du bacirctiment ne
subissent pas de transformation ils sont acheteacutes agrave diffeacuterents fournisseurs et sont directement
ou non achemineacutes sur le chantier afin drsquoecirctre fixeacutes agrave lrsquoossature Il srsquoagit par exemple des
visseries de la couverture ou de lrsquoisolation
Les clients Chaque client est agrave part les bacirctiments biens immobiliers eacutetant des constructions non
standardiseacutees Chaque bacirctiment est ainsi un produit avec ses particulariteacutes Les clients sont
tregraves divers allant du particulier voulant se faire construire un garage une association deacutesirant
se faire bacirctir une buvette ou
encore un grand groupe
aeacuteronautique deacutesirant creacuteer des
hangars Cance a reacutealiseacute des
hocircpitaux (Pellegrin Tarbes) la
gare de peacuteage de Bayonne ou
encore certaines infrastructures
du tramway de Bordeauxhellip
CHU Pellegrin ndash Bordeaux
10
Les moyens de production CANCE constructions meacutetalliques dispose de deux sites de production Le premier agrave
Nay ayant 8000 m2 de superficie et le second agrave Carreacutegal Do Sal au Portugal de 8200 m2
La production nrsquoest pas une activiteacute de pointe mais la plus grande partie est meacutecaniseacutee
(pont roulant palans) et automatiseacutee (machine agrave commande numeacuterique relieacute aux ordinateurs
de CAO) Cance reacutealise la production la peinture la construction La galvanisation
(traitement) et le transport sont (en partie) sous traiteacutes
Cance un marcheacute dans la tourmente Cance se situe sur le marcheacute de lrsquoacier marcheacute en pleine tempecircte depuis lrsquoan dernier
La situation est parfaitement reacutesumeacutee par Arcelor numeacutero 1 de la sideacuterurgie
Depuis courant 2003 les prix des aciers ont veacuteritablement exploseacute En effet laquo aucun
fournisseur nrsquoest assez puissant pour satisfaire lrsquoappeacutetit de lrsquoinsatiable dragon chinois raquo 1
LrsquoEurope connaicirct une hausse sans preacuteceacutedent des produits sideacuterurgiques avec 50 agrave 60
drsquoaugmentation des prix Cance comme toutes les entreprises du secteur subissent cet eacutetat de
fait Ce problegraveme est drsquoautant plus saisissant que Cance a une activiteacute ougrave les devis et les
laquo fournitures raquo ont des temporaliteacutes tregraves diffeacuterentes En clair entre lrsquoacceptation du devis pour
un prix X (par rapport agrave un niveau du prix de lrsquoacier X) et entre la fourniture (fabrication de la
charpente) le deacutelai est de plusieurs mois voir mecircme une anneacutee Ce problegraveme est drsquoautant plus
critique que la principale matiegravere premiegravere de lrsquoactiviteacute de Cance est lrsquoacier
Ces faits communs agrave tout le marcheacute ont creacuteeacute plusieurs difficulteacutes
-Ralentissement des investissements des bacirctiments industriels face agrave lrsquoaugmentation
des coucircts
-Augmentation de la concurrence face au reacutetreacutecissement des marcheacutes
Cette situation a impliqueacute de nombreuses complications (perte de compeacutetitiviteacute
chantiers agrave perte complexification face aux avenantshellip)
Toutes les entreprises du secteur ont donc ducirc devenir plus compeacutetitives et de fait
abaisser leurs coucirctshellipLe secteur du bacirctiment est deacutejagrave tregraves concurrentiel face agrave une
augmentation des coucircts directs incompressibles ou presque (matiegravere premiegravere lrsquoacier et coucirct
de la main drsquooeuvre) il a fallu reacuteduire les coucircts indirects Dans cette situation il convenait de
rationaliser la situation du SI Il a fallu augmenter lrsquoefficaciteacute du SI tout en reacuteduisant son
coucirct
1 httpwwwlarevueparlementairefrpagesRP871RP871_economie_marcheacierhtm
11
Le SI drsquoinformation Cance une remise en cause neacutecessaire Le SI grands chiffres
Le parc informatique est composeacute de pregraves de 180 ordinateurs dont une dizaine de
portables dont certains en teacuteleacutetravail Le reste des ordinateurs est reacuteparti sur pregraves de 8 sites Le
parc comprend pas moins de 13 serveurs ainsi qursquoun support de teacuteleacutephonie Srsquoajoute agrave ce
parc la gestion de plusieurs machines outils agrave commande numeacuterique en teacuteleacutemaintenance Le
service informatique comprend une personne agrave temps complet et fait aussi appel agrave un
informaticien (30 jours drsquointervention dans lrsquoanneacutee)Srsquoajoute ici lrsquoexpertise de nombreux
sous traitants agrave travers de nombreux projets travaillant en collaboration avec le service du
systegraveme drsquoinformation (projet drsquoERP Tiamp ou Deacuteveloppement drsquoapplication speacutecifique
Cancesoft)
Ce service assure la maintenance du parc et suit les activiteacutes de preacutes de 190
utilisateurs du systegraveme drsquoinformation Le SI comprend bon nombre drsquoapplications
laquo maison raquo Cancesoft pour les devis ou encore un ERP Tiamp
Le systegraveme drsquoinformation dispose de mecircme drsquooutil help desk et a pour projet la mise
en place drsquoun intra net
Le systegraveme drsquoinformation est dirigeacute par Maurice Prade mon tuteur de stage chargeacute de
la supervision du systegraveme drsquoinformation ainsi que du controcircle et de lrsquoinitialisation des grands
projets du systegraveme drsquoinformation
Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique
Le groupe Cance a veacutecu un deacuteveloppement particuliegraverement important le groupe est
passeacute en quelques anneacutees drsquoun parc informatique comprenant une trentaine de postes
indeacutependants agrave preacutes de 180 aujourdrsquohui relieacutes par un reacuteseau et disposant de moyens allant de
pair Face agrave ce deacuteveloppement les moyens mateacuteriels et humains nrsquoont pas forceacutement suivi A
lrsquoheure actuelle et bon greacute mal greacute lrsquoentreprise doit faire face agrave diffeacuterents obstacles au niveau
du SI tout en continuant son deacuteveloppement Cance a agrave faire face agrave diffeacuterents problegravemes
reacutecurrents
-Inexistence de documentation technique
-Impossibiliteacute de preacutevoir son activiteacute
-Manque totale de transparence
-Meacutecontentement
-Faire face au risque supporteacute par le SI mise en place de lrsquoERP et reacutegularisation des
licences
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
3
Reacutesumeacute A lrsquoheure actuelle le systegraveme drsquoinformation dans les entreprises mecircme moyennes est
devenu une organisation a lui seul comprenant des fonctions multiples tout autant que de
techniques Cance ne fait pas exception agrave la regravegle citeacutee preacuteceacutedemment tout systegraveme
drsquoinformation doit donc inteacutegrer une organisation une structure permettant drsquoenchaicircner
correacuteler et structurer les opeacuterations meneacutees
Chez Cance comme chez tant drsquoautres socieacuteteacutes cette organisation est deacutestructureacutee
Ce rapport srsquointerroge sur la possibiliteacute de mettre en place un reacutefeacuterentiel processus
tel que le Cobit dans une entreprise du bacirctiment tel que Cance Cette reacuteflexion porte sur les
reacutefeacuterentiels possibles leurs adaptations agrave lrsquoentreprise La mise en place drsquoun reacutefeacuterentiel ne
se faisant pas telle qursquoelle ce rapport srsquointeacuteresse aussi aux outils de gestion de processus mis
en place ainsi que les actions deacutecoulant de la mise en place drsquoun reacutefeacuterentiel
Descripteurs Systegraveme drsquoinformation processus reacutefeacuterentiel reacutefeacuterentiel processus Cobit audit
service informatique gestion de processus
Abstract This report wonders about the possibility of setting up a reference framework process
such as Cobit in a company of construction
Actually the information system in the firm became an organization including
multiple functions and techniques Cance doesnrsquot make exception integrating an
organization and a structure in order to connect correlate and making operations As many
other firms Cance is disorganized This document deals with the possible reference
frameworks and their adaptations to the company Set up of a not being done reference
Framework implicates set up tools of process as well as actions rising from the installation
of a reference framework process
Keywords Information system process reference frame reference frame process Cobit to that
data processing department management of process
4
Fiche de renseignement du stagiaire
Stagiaire Villeflose Greacutegory
Promotion MSG GSI
Anneacutee universitaire 2004-2005
Fiche de renseignement de lrsquoentreprise
Entreprise CANCE SA
Adresse BP35 Route de la Montjoie CP 64 800 NAY
NdegSIRET 097 280 234 00010 Code NAF 281 A
Groupe CANCE DEVELOPPEMENT
Nom du Directeur Christian CANCE
Responsable de stage Direction des opeacuterations Maurice PRADE
Activiteacute de lrsquoentreprise CANCE Constructions meacutetalliques eacutetudie conccediloit et reacutealise des
bacirctiments industriels agricoles commerciaux sportifs scolaires universitaires et
hospitaliers
Chiffre drsquoaffaire 50 millions drsquoeuros
Principaux clients Les Mairies ASF Auchan EDF la DDE Renaulthellip
Descripteurs
Systegraveme drsquoinformation processus reacutefeacuterentiel reacutefeacuterentiel processus Cobit audit service
informatique gestion de processus
5
Remerciements
Je tiens tout drsquoabord agrave remercier lrsquoensemble du corps enseignant pour les informations
qursquoils ont pu me fournir dans le cadre de la recherche du stage ainsi que dans la deacutetermination
des objectifs de stage
Je remercie tout particuliegraverement Mme Darand pour ses conseils sur les deacutemarches
qualiteacute Mr Squozie pour tout ce qui concerne lrsquoaudit ainsi que Mme Bessagnet pour ses cours
sur la modeacutelisation et pour ses conseils
Je dois de mecircme remercier tout particuliegraverement Mr Recasens et Mr Sallabery pour
leurs conseils dans la reacutedaction de ce meacutemoire
Mes remerciements vont aussi vers Mr Prade qui a pris sur son temps et a eacuteteacute toujours
preacutesent pour me suivre tout le long du deacuteroulement de mon stage
Je dois de mecircme remercier tout le personnel qui par sa patience a permis que mon
stage se deacuteroule au mieux
Je dois aussi rendre hommage agrave toutes les personnes parents amis qui mrsquoont aideacute au
cour de la reacutedaction de ce meacutemoire et aussi au cour de ce stage
6
Plan
INTRODUCTION8 PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16 2 Cahier des charges et orientation de la reacuteflexion 18
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance 20 2 Documents et outils mis en place 24
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32 1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique36 2 Audit orienteacute organisation et strateacutegie38
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42 BIBLIOGRAPHIE 48
7
Liste des annexes
LEXIQUE ERREUR SIGNET NON DEFINI FICHE PROCESSUSERREUR SIGNET NON DEFINI CLASSIFICATION DES PROCESSUS COBIT ERREUR SIGNET NON DEFINI MODELE DE MATURITE COBIT ERREUR SIGNET NON DEFINI FICHE PROCESSUS COBIT ERREUR SIGNET NON DEFINI QUESTIONNAIRES COBITERREUR SIGNET NON DEFINI MODELE BUDGET (NON BUDGETE) ERREUR SIGNET NON DEFINI MODELE TABLEAU DE BORD (RESUME) ERREUR SIGNET NON DEFINI TB TELEPHONIE RESUME (1P5P) ERREUR SIGNET NON DEFINI DIAGRAMME MISSION ERREUR SIGNET NON DEFINI ORGANIGRAMME DE LA SOCIETE ET DU SI ERREUR SIGNET NON DEFINI RAPPORT DrsquoAUDIT GENERAL (12P60P)ERREUR SIGNET NON DEFINI QUESTIONNAIRE ELABORE PERCEPTION DE LA FONCTION HELPDESK ERREUR SIGNET NON DEFINI
8
Introduction
Jrsquoai reacutealiseacute mon stage chez Cance constructions meacutetalliques au siegravege social agrave Nay
Cance propose de reacutealiser des bacirctiments aux utilisations diverses mais exploitant le mecircme
savoir faire la production et la maicirctrise du meacutetal
Cance de la petite entreprise familiale au groupe industriel Un peu drsquohistoire
Cance a eacuteteacute fondeacute en 1961 par Robert Cance pegravere de lrsquoactuel PDG agrave lrsquoorigine
destineacutee agrave lrsquoactiviteacute de serrurerie lrsquoentreprise va se deacutevelopper autour de lrsquoactiviteacute des
charpentes meacutetalliques en automatisant tregraves tocirct son processus de production Cance SA
connaicirctra un deacuteveloppement important notamment dans le Sud Ouest de la France La
strateacutegie de deacuteveloppement en icirclots
verra la creacuteation drsquoagences
commerciales agrave Bayonne (1981) La
Rochelle (1998) Tours Narbonne
(2002) et enfin Clermont Ferrand
(2004) comprenant pour certaines
leurs propres ateliers Cance qui doit
faire aussi face agrave une concurrence
importante srsquoest aussi implanteacute au
Portugal en creacuteant une usine de fabrication agrave Carregal de Sal (2800m2)
Le groupe Cance creacuteeacute en 1991 regroupe ainsi autour de lrsquoentiteacute Cance
Deacuteveloppement
-Cance SA construction meacutetallique
-Cance Meacutetallerie meacutetallerie
-Cance Aluminium menuiserie aluminium
Srsquoajoute aussi Cance reacuteunion la derniegravere des filiales regroupant toutes les activiteacutes du
groupe sur un mecircme site
9
Mais aujourdrsquohui
Le groupe Cance dirigeacute par Christian Cance totalise aujourdrsquohui un chiffre drsquoaffaires
de 60 millions drsquoeuros avec plus de 400 employeacutes et reste en constant deacuteveloppement
(ouverture de site dans le nordhellip)
Domaines drsquoactiviteacutes Cance constructions meacutetalliques eacutetudie conccediloit et reacutealise des bacirctiments industriels
agricoles commerciaux sportifs scolaires universitaires et hospitaliers Pour reacutealiser ces
bacirctiments les usines de productions transforment des barres drsquoacier en eacuteleacutements qui une fois
assembleacutes entre eux sur le chantier constituent lrsquoossature ou la structure meacutetallique du
bacirctiment En 2003 la production repreacutesentait 10 100 tonnes drsquoacier
Tous les autres mateacuteriaux qui interviennent dans la reacutealisation du bacirctiment ne
subissent pas de transformation ils sont acheteacutes agrave diffeacuterents fournisseurs et sont directement
ou non achemineacutes sur le chantier afin drsquoecirctre fixeacutes agrave lrsquoossature Il srsquoagit par exemple des
visseries de la couverture ou de lrsquoisolation
Les clients Chaque client est agrave part les bacirctiments biens immobiliers eacutetant des constructions non
standardiseacutees Chaque bacirctiment est ainsi un produit avec ses particulariteacutes Les clients sont
tregraves divers allant du particulier voulant se faire construire un garage une association deacutesirant
se faire bacirctir une buvette ou
encore un grand groupe
aeacuteronautique deacutesirant creacuteer des
hangars Cance a reacutealiseacute des
hocircpitaux (Pellegrin Tarbes) la
gare de peacuteage de Bayonne ou
encore certaines infrastructures
du tramway de Bordeauxhellip
CHU Pellegrin ndash Bordeaux
10
Les moyens de production CANCE constructions meacutetalliques dispose de deux sites de production Le premier agrave
Nay ayant 8000 m2 de superficie et le second agrave Carreacutegal Do Sal au Portugal de 8200 m2
La production nrsquoest pas une activiteacute de pointe mais la plus grande partie est meacutecaniseacutee
(pont roulant palans) et automatiseacutee (machine agrave commande numeacuterique relieacute aux ordinateurs
de CAO) Cance reacutealise la production la peinture la construction La galvanisation
(traitement) et le transport sont (en partie) sous traiteacutes
Cance un marcheacute dans la tourmente Cance se situe sur le marcheacute de lrsquoacier marcheacute en pleine tempecircte depuis lrsquoan dernier
La situation est parfaitement reacutesumeacutee par Arcelor numeacutero 1 de la sideacuterurgie
Depuis courant 2003 les prix des aciers ont veacuteritablement exploseacute En effet laquo aucun
fournisseur nrsquoest assez puissant pour satisfaire lrsquoappeacutetit de lrsquoinsatiable dragon chinois raquo 1
LrsquoEurope connaicirct une hausse sans preacuteceacutedent des produits sideacuterurgiques avec 50 agrave 60
drsquoaugmentation des prix Cance comme toutes les entreprises du secteur subissent cet eacutetat de
fait Ce problegraveme est drsquoautant plus saisissant que Cance a une activiteacute ougrave les devis et les
laquo fournitures raquo ont des temporaliteacutes tregraves diffeacuterentes En clair entre lrsquoacceptation du devis pour
un prix X (par rapport agrave un niveau du prix de lrsquoacier X) et entre la fourniture (fabrication de la
charpente) le deacutelai est de plusieurs mois voir mecircme une anneacutee Ce problegraveme est drsquoautant plus
critique que la principale matiegravere premiegravere de lrsquoactiviteacute de Cance est lrsquoacier
Ces faits communs agrave tout le marcheacute ont creacuteeacute plusieurs difficulteacutes
-Ralentissement des investissements des bacirctiments industriels face agrave lrsquoaugmentation
des coucircts
-Augmentation de la concurrence face au reacutetreacutecissement des marcheacutes
Cette situation a impliqueacute de nombreuses complications (perte de compeacutetitiviteacute
chantiers agrave perte complexification face aux avenantshellip)
Toutes les entreprises du secteur ont donc ducirc devenir plus compeacutetitives et de fait
abaisser leurs coucirctshellipLe secteur du bacirctiment est deacutejagrave tregraves concurrentiel face agrave une
augmentation des coucircts directs incompressibles ou presque (matiegravere premiegravere lrsquoacier et coucirct
de la main drsquooeuvre) il a fallu reacuteduire les coucircts indirects Dans cette situation il convenait de
rationaliser la situation du SI Il a fallu augmenter lrsquoefficaciteacute du SI tout en reacuteduisant son
coucirct
1 httpwwwlarevueparlementairefrpagesRP871RP871_economie_marcheacierhtm
11
Le SI drsquoinformation Cance une remise en cause neacutecessaire Le SI grands chiffres
Le parc informatique est composeacute de pregraves de 180 ordinateurs dont une dizaine de
portables dont certains en teacuteleacutetravail Le reste des ordinateurs est reacuteparti sur pregraves de 8 sites Le
parc comprend pas moins de 13 serveurs ainsi qursquoun support de teacuteleacutephonie Srsquoajoute agrave ce
parc la gestion de plusieurs machines outils agrave commande numeacuterique en teacuteleacutemaintenance Le
service informatique comprend une personne agrave temps complet et fait aussi appel agrave un
informaticien (30 jours drsquointervention dans lrsquoanneacutee)Srsquoajoute ici lrsquoexpertise de nombreux
sous traitants agrave travers de nombreux projets travaillant en collaboration avec le service du
systegraveme drsquoinformation (projet drsquoERP Tiamp ou Deacuteveloppement drsquoapplication speacutecifique
Cancesoft)
Ce service assure la maintenance du parc et suit les activiteacutes de preacutes de 190
utilisateurs du systegraveme drsquoinformation Le SI comprend bon nombre drsquoapplications
laquo maison raquo Cancesoft pour les devis ou encore un ERP Tiamp
Le systegraveme drsquoinformation dispose de mecircme drsquooutil help desk et a pour projet la mise
en place drsquoun intra net
Le systegraveme drsquoinformation est dirigeacute par Maurice Prade mon tuteur de stage chargeacute de
la supervision du systegraveme drsquoinformation ainsi que du controcircle et de lrsquoinitialisation des grands
projets du systegraveme drsquoinformation
Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique
Le groupe Cance a veacutecu un deacuteveloppement particuliegraverement important le groupe est
passeacute en quelques anneacutees drsquoun parc informatique comprenant une trentaine de postes
indeacutependants agrave preacutes de 180 aujourdrsquohui relieacutes par un reacuteseau et disposant de moyens allant de
pair Face agrave ce deacuteveloppement les moyens mateacuteriels et humains nrsquoont pas forceacutement suivi A
lrsquoheure actuelle et bon greacute mal greacute lrsquoentreprise doit faire face agrave diffeacuterents obstacles au niveau
du SI tout en continuant son deacuteveloppement Cance a agrave faire face agrave diffeacuterents problegravemes
reacutecurrents
-Inexistence de documentation technique
-Impossibiliteacute de preacutevoir son activiteacute
-Manque totale de transparence
-Meacutecontentement
-Faire face au risque supporteacute par le SI mise en place de lrsquoERP et reacutegularisation des
licences
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
4
Fiche de renseignement du stagiaire
Stagiaire Villeflose Greacutegory
Promotion MSG GSI
Anneacutee universitaire 2004-2005
Fiche de renseignement de lrsquoentreprise
Entreprise CANCE SA
Adresse BP35 Route de la Montjoie CP 64 800 NAY
NdegSIRET 097 280 234 00010 Code NAF 281 A
Groupe CANCE DEVELOPPEMENT
Nom du Directeur Christian CANCE
Responsable de stage Direction des opeacuterations Maurice PRADE
Activiteacute de lrsquoentreprise CANCE Constructions meacutetalliques eacutetudie conccediloit et reacutealise des
bacirctiments industriels agricoles commerciaux sportifs scolaires universitaires et
hospitaliers
Chiffre drsquoaffaire 50 millions drsquoeuros
Principaux clients Les Mairies ASF Auchan EDF la DDE Renaulthellip
Descripteurs
Systegraveme drsquoinformation processus reacutefeacuterentiel reacutefeacuterentiel processus Cobit audit service
informatique gestion de processus
5
Remerciements
Je tiens tout drsquoabord agrave remercier lrsquoensemble du corps enseignant pour les informations
qursquoils ont pu me fournir dans le cadre de la recherche du stage ainsi que dans la deacutetermination
des objectifs de stage
Je remercie tout particuliegraverement Mme Darand pour ses conseils sur les deacutemarches
qualiteacute Mr Squozie pour tout ce qui concerne lrsquoaudit ainsi que Mme Bessagnet pour ses cours
sur la modeacutelisation et pour ses conseils
Je dois de mecircme remercier tout particuliegraverement Mr Recasens et Mr Sallabery pour
leurs conseils dans la reacutedaction de ce meacutemoire
Mes remerciements vont aussi vers Mr Prade qui a pris sur son temps et a eacuteteacute toujours
preacutesent pour me suivre tout le long du deacuteroulement de mon stage
Je dois de mecircme remercier tout le personnel qui par sa patience a permis que mon
stage se deacuteroule au mieux
Je dois aussi rendre hommage agrave toutes les personnes parents amis qui mrsquoont aideacute au
cour de la reacutedaction de ce meacutemoire et aussi au cour de ce stage
6
Plan
INTRODUCTION8 PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16 2 Cahier des charges et orientation de la reacuteflexion 18
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance 20 2 Documents et outils mis en place 24
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32 1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique36 2 Audit orienteacute organisation et strateacutegie38
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42 BIBLIOGRAPHIE 48
7
Liste des annexes
LEXIQUE ERREUR SIGNET NON DEFINI FICHE PROCESSUSERREUR SIGNET NON DEFINI CLASSIFICATION DES PROCESSUS COBIT ERREUR SIGNET NON DEFINI MODELE DE MATURITE COBIT ERREUR SIGNET NON DEFINI FICHE PROCESSUS COBIT ERREUR SIGNET NON DEFINI QUESTIONNAIRES COBITERREUR SIGNET NON DEFINI MODELE BUDGET (NON BUDGETE) ERREUR SIGNET NON DEFINI MODELE TABLEAU DE BORD (RESUME) ERREUR SIGNET NON DEFINI TB TELEPHONIE RESUME (1P5P) ERREUR SIGNET NON DEFINI DIAGRAMME MISSION ERREUR SIGNET NON DEFINI ORGANIGRAMME DE LA SOCIETE ET DU SI ERREUR SIGNET NON DEFINI RAPPORT DrsquoAUDIT GENERAL (12P60P)ERREUR SIGNET NON DEFINI QUESTIONNAIRE ELABORE PERCEPTION DE LA FONCTION HELPDESK ERREUR SIGNET NON DEFINI
8
Introduction
Jrsquoai reacutealiseacute mon stage chez Cance constructions meacutetalliques au siegravege social agrave Nay
Cance propose de reacutealiser des bacirctiments aux utilisations diverses mais exploitant le mecircme
savoir faire la production et la maicirctrise du meacutetal
Cance de la petite entreprise familiale au groupe industriel Un peu drsquohistoire
Cance a eacuteteacute fondeacute en 1961 par Robert Cance pegravere de lrsquoactuel PDG agrave lrsquoorigine
destineacutee agrave lrsquoactiviteacute de serrurerie lrsquoentreprise va se deacutevelopper autour de lrsquoactiviteacute des
charpentes meacutetalliques en automatisant tregraves tocirct son processus de production Cance SA
connaicirctra un deacuteveloppement important notamment dans le Sud Ouest de la France La
strateacutegie de deacuteveloppement en icirclots
verra la creacuteation drsquoagences
commerciales agrave Bayonne (1981) La
Rochelle (1998) Tours Narbonne
(2002) et enfin Clermont Ferrand
(2004) comprenant pour certaines
leurs propres ateliers Cance qui doit
faire aussi face agrave une concurrence
importante srsquoest aussi implanteacute au
Portugal en creacuteant une usine de fabrication agrave Carregal de Sal (2800m2)
Le groupe Cance creacuteeacute en 1991 regroupe ainsi autour de lrsquoentiteacute Cance
Deacuteveloppement
-Cance SA construction meacutetallique
-Cance Meacutetallerie meacutetallerie
-Cance Aluminium menuiserie aluminium
Srsquoajoute aussi Cance reacuteunion la derniegravere des filiales regroupant toutes les activiteacutes du
groupe sur un mecircme site
9
Mais aujourdrsquohui
Le groupe Cance dirigeacute par Christian Cance totalise aujourdrsquohui un chiffre drsquoaffaires
de 60 millions drsquoeuros avec plus de 400 employeacutes et reste en constant deacuteveloppement
(ouverture de site dans le nordhellip)
Domaines drsquoactiviteacutes Cance constructions meacutetalliques eacutetudie conccediloit et reacutealise des bacirctiments industriels
agricoles commerciaux sportifs scolaires universitaires et hospitaliers Pour reacutealiser ces
bacirctiments les usines de productions transforment des barres drsquoacier en eacuteleacutements qui une fois
assembleacutes entre eux sur le chantier constituent lrsquoossature ou la structure meacutetallique du
bacirctiment En 2003 la production repreacutesentait 10 100 tonnes drsquoacier
Tous les autres mateacuteriaux qui interviennent dans la reacutealisation du bacirctiment ne
subissent pas de transformation ils sont acheteacutes agrave diffeacuterents fournisseurs et sont directement
ou non achemineacutes sur le chantier afin drsquoecirctre fixeacutes agrave lrsquoossature Il srsquoagit par exemple des
visseries de la couverture ou de lrsquoisolation
Les clients Chaque client est agrave part les bacirctiments biens immobiliers eacutetant des constructions non
standardiseacutees Chaque bacirctiment est ainsi un produit avec ses particulariteacutes Les clients sont
tregraves divers allant du particulier voulant se faire construire un garage une association deacutesirant
se faire bacirctir une buvette ou
encore un grand groupe
aeacuteronautique deacutesirant creacuteer des
hangars Cance a reacutealiseacute des
hocircpitaux (Pellegrin Tarbes) la
gare de peacuteage de Bayonne ou
encore certaines infrastructures
du tramway de Bordeauxhellip
CHU Pellegrin ndash Bordeaux
10
Les moyens de production CANCE constructions meacutetalliques dispose de deux sites de production Le premier agrave
Nay ayant 8000 m2 de superficie et le second agrave Carreacutegal Do Sal au Portugal de 8200 m2
La production nrsquoest pas une activiteacute de pointe mais la plus grande partie est meacutecaniseacutee
(pont roulant palans) et automatiseacutee (machine agrave commande numeacuterique relieacute aux ordinateurs
de CAO) Cance reacutealise la production la peinture la construction La galvanisation
(traitement) et le transport sont (en partie) sous traiteacutes
Cance un marcheacute dans la tourmente Cance se situe sur le marcheacute de lrsquoacier marcheacute en pleine tempecircte depuis lrsquoan dernier
La situation est parfaitement reacutesumeacutee par Arcelor numeacutero 1 de la sideacuterurgie
Depuis courant 2003 les prix des aciers ont veacuteritablement exploseacute En effet laquo aucun
fournisseur nrsquoest assez puissant pour satisfaire lrsquoappeacutetit de lrsquoinsatiable dragon chinois raquo 1
LrsquoEurope connaicirct une hausse sans preacuteceacutedent des produits sideacuterurgiques avec 50 agrave 60
drsquoaugmentation des prix Cance comme toutes les entreprises du secteur subissent cet eacutetat de
fait Ce problegraveme est drsquoautant plus saisissant que Cance a une activiteacute ougrave les devis et les
laquo fournitures raquo ont des temporaliteacutes tregraves diffeacuterentes En clair entre lrsquoacceptation du devis pour
un prix X (par rapport agrave un niveau du prix de lrsquoacier X) et entre la fourniture (fabrication de la
charpente) le deacutelai est de plusieurs mois voir mecircme une anneacutee Ce problegraveme est drsquoautant plus
critique que la principale matiegravere premiegravere de lrsquoactiviteacute de Cance est lrsquoacier
Ces faits communs agrave tout le marcheacute ont creacuteeacute plusieurs difficulteacutes
-Ralentissement des investissements des bacirctiments industriels face agrave lrsquoaugmentation
des coucircts
-Augmentation de la concurrence face au reacutetreacutecissement des marcheacutes
Cette situation a impliqueacute de nombreuses complications (perte de compeacutetitiviteacute
chantiers agrave perte complexification face aux avenantshellip)
Toutes les entreprises du secteur ont donc ducirc devenir plus compeacutetitives et de fait
abaisser leurs coucirctshellipLe secteur du bacirctiment est deacutejagrave tregraves concurrentiel face agrave une
augmentation des coucircts directs incompressibles ou presque (matiegravere premiegravere lrsquoacier et coucirct
de la main drsquooeuvre) il a fallu reacuteduire les coucircts indirects Dans cette situation il convenait de
rationaliser la situation du SI Il a fallu augmenter lrsquoefficaciteacute du SI tout en reacuteduisant son
coucirct
1 httpwwwlarevueparlementairefrpagesRP871RP871_economie_marcheacierhtm
11
Le SI drsquoinformation Cance une remise en cause neacutecessaire Le SI grands chiffres
Le parc informatique est composeacute de pregraves de 180 ordinateurs dont une dizaine de
portables dont certains en teacuteleacutetravail Le reste des ordinateurs est reacuteparti sur pregraves de 8 sites Le
parc comprend pas moins de 13 serveurs ainsi qursquoun support de teacuteleacutephonie Srsquoajoute agrave ce
parc la gestion de plusieurs machines outils agrave commande numeacuterique en teacuteleacutemaintenance Le
service informatique comprend une personne agrave temps complet et fait aussi appel agrave un
informaticien (30 jours drsquointervention dans lrsquoanneacutee)Srsquoajoute ici lrsquoexpertise de nombreux
sous traitants agrave travers de nombreux projets travaillant en collaboration avec le service du
systegraveme drsquoinformation (projet drsquoERP Tiamp ou Deacuteveloppement drsquoapplication speacutecifique
Cancesoft)
Ce service assure la maintenance du parc et suit les activiteacutes de preacutes de 190
utilisateurs du systegraveme drsquoinformation Le SI comprend bon nombre drsquoapplications
laquo maison raquo Cancesoft pour les devis ou encore un ERP Tiamp
Le systegraveme drsquoinformation dispose de mecircme drsquooutil help desk et a pour projet la mise
en place drsquoun intra net
Le systegraveme drsquoinformation est dirigeacute par Maurice Prade mon tuteur de stage chargeacute de
la supervision du systegraveme drsquoinformation ainsi que du controcircle et de lrsquoinitialisation des grands
projets du systegraveme drsquoinformation
Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique
Le groupe Cance a veacutecu un deacuteveloppement particuliegraverement important le groupe est
passeacute en quelques anneacutees drsquoun parc informatique comprenant une trentaine de postes
indeacutependants agrave preacutes de 180 aujourdrsquohui relieacutes par un reacuteseau et disposant de moyens allant de
pair Face agrave ce deacuteveloppement les moyens mateacuteriels et humains nrsquoont pas forceacutement suivi A
lrsquoheure actuelle et bon greacute mal greacute lrsquoentreprise doit faire face agrave diffeacuterents obstacles au niveau
du SI tout en continuant son deacuteveloppement Cance a agrave faire face agrave diffeacuterents problegravemes
reacutecurrents
-Inexistence de documentation technique
-Impossibiliteacute de preacutevoir son activiteacute
-Manque totale de transparence
-Meacutecontentement
-Faire face au risque supporteacute par le SI mise en place de lrsquoERP et reacutegularisation des
licences
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
5
Remerciements
Je tiens tout drsquoabord agrave remercier lrsquoensemble du corps enseignant pour les informations
qursquoils ont pu me fournir dans le cadre de la recherche du stage ainsi que dans la deacutetermination
des objectifs de stage
Je remercie tout particuliegraverement Mme Darand pour ses conseils sur les deacutemarches
qualiteacute Mr Squozie pour tout ce qui concerne lrsquoaudit ainsi que Mme Bessagnet pour ses cours
sur la modeacutelisation et pour ses conseils
Je dois de mecircme remercier tout particuliegraverement Mr Recasens et Mr Sallabery pour
leurs conseils dans la reacutedaction de ce meacutemoire
Mes remerciements vont aussi vers Mr Prade qui a pris sur son temps et a eacuteteacute toujours
preacutesent pour me suivre tout le long du deacuteroulement de mon stage
Je dois de mecircme remercier tout le personnel qui par sa patience a permis que mon
stage se deacuteroule au mieux
Je dois aussi rendre hommage agrave toutes les personnes parents amis qui mrsquoont aideacute au
cour de la reacutedaction de ce meacutemoire et aussi au cour de ce stage
6
Plan
INTRODUCTION8 PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16 2 Cahier des charges et orientation de la reacuteflexion 18
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance 20 2 Documents et outils mis en place 24
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32 1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique36 2 Audit orienteacute organisation et strateacutegie38
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42 BIBLIOGRAPHIE 48
7
Liste des annexes
LEXIQUE ERREUR SIGNET NON DEFINI FICHE PROCESSUSERREUR SIGNET NON DEFINI CLASSIFICATION DES PROCESSUS COBIT ERREUR SIGNET NON DEFINI MODELE DE MATURITE COBIT ERREUR SIGNET NON DEFINI FICHE PROCESSUS COBIT ERREUR SIGNET NON DEFINI QUESTIONNAIRES COBITERREUR SIGNET NON DEFINI MODELE BUDGET (NON BUDGETE) ERREUR SIGNET NON DEFINI MODELE TABLEAU DE BORD (RESUME) ERREUR SIGNET NON DEFINI TB TELEPHONIE RESUME (1P5P) ERREUR SIGNET NON DEFINI DIAGRAMME MISSION ERREUR SIGNET NON DEFINI ORGANIGRAMME DE LA SOCIETE ET DU SI ERREUR SIGNET NON DEFINI RAPPORT DrsquoAUDIT GENERAL (12P60P)ERREUR SIGNET NON DEFINI QUESTIONNAIRE ELABORE PERCEPTION DE LA FONCTION HELPDESK ERREUR SIGNET NON DEFINI
8
Introduction
Jrsquoai reacutealiseacute mon stage chez Cance constructions meacutetalliques au siegravege social agrave Nay
Cance propose de reacutealiser des bacirctiments aux utilisations diverses mais exploitant le mecircme
savoir faire la production et la maicirctrise du meacutetal
Cance de la petite entreprise familiale au groupe industriel Un peu drsquohistoire
Cance a eacuteteacute fondeacute en 1961 par Robert Cance pegravere de lrsquoactuel PDG agrave lrsquoorigine
destineacutee agrave lrsquoactiviteacute de serrurerie lrsquoentreprise va se deacutevelopper autour de lrsquoactiviteacute des
charpentes meacutetalliques en automatisant tregraves tocirct son processus de production Cance SA
connaicirctra un deacuteveloppement important notamment dans le Sud Ouest de la France La
strateacutegie de deacuteveloppement en icirclots
verra la creacuteation drsquoagences
commerciales agrave Bayonne (1981) La
Rochelle (1998) Tours Narbonne
(2002) et enfin Clermont Ferrand
(2004) comprenant pour certaines
leurs propres ateliers Cance qui doit
faire aussi face agrave une concurrence
importante srsquoest aussi implanteacute au
Portugal en creacuteant une usine de fabrication agrave Carregal de Sal (2800m2)
Le groupe Cance creacuteeacute en 1991 regroupe ainsi autour de lrsquoentiteacute Cance
Deacuteveloppement
-Cance SA construction meacutetallique
-Cance Meacutetallerie meacutetallerie
-Cance Aluminium menuiserie aluminium
Srsquoajoute aussi Cance reacuteunion la derniegravere des filiales regroupant toutes les activiteacutes du
groupe sur un mecircme site
9
Mais aujourdrsquohui
Le groupe Cance dirigeacute par Christian Cance totalise aujourdrsquohui un chiffre drsquoaffaires
de 60 millions drsquoeuros avec plus de 400 employeacutes et reste en constant deacuteveloppement
(ouverture de site dans le nordhellip)
Domaines drsquoactiviteacutes Cance constructions meacutetalliques eacutetudie conccediloit et reacutealise des bacirctiments industriels
agricoles commerciaux sportifs scolaires universitaires et hospitaliers Pour reacutealiser ces
bacirctiments les usines de productions transforment des barres drsquoacier en eacuteleacutements qui une fois
assembleacutes entre eux sur le chantier constituent lrsquoossature ou la structure meacutetallique du
bacirctiment En 2003 la production repreacutesentait 10 100 tonnes drsquoacier
Tous les autres mateacuteriaux qui interviennent dans la reacutealisation du bacirctiment ne
subissent pas de transformation ils sont acheteacutes agrave diffeacuterents fournisseurs et sont directement
ou non achemineacutes sur le chantier afin drsquoecirctre fixeacutes agrave lrsquoossature Il srsquoagit par exemple des
visseries de la couverture ou de lrsquoisolation
Les clients Chaque client est agrave part les bacirctiments biens immobiliers eacutetant des constructions non
standardiseacutees Chaque bacirctiment est ainsi un produit avec ses particulariteacutes Les clients sont
tregraves divers allant du particulier voulant se faire construire un garage une association deacutesirant
se faire bacirctir une buvette ou
encore un grand groupe
aeacuteronautique deacutesirant creacuteer des
hangars Cance a reacutealiseacute des
hocircpitaux (Pellegrin Tarbes) la
gare de peacuteage de Bayonne ou
encore certaines infrastructures
du tramway de Bordeauxhellip
CHU Pellegrin ndash Bordeaux
10
Les moyens de production CANCE constructions meacutetalliques dispose de deux sites de production Le premier agrave
Nay ayant 8000 m2 de superficie et le second agrave Carreacutegal Do Sal au Portugal de 8200 m2
La production nrsquoest pas une activiteacute de pointe mais la plus grande partie est meacutecaniseacutee
(pont roulant palans) et automatiseacutee (machine agrave commande numeacuterique relieacute aux ordinateurs
de CAO) Cance reacutealise la production la peinture la construction La galvanisation
(traitement) et le transport sont (en partie) sous traiteacutes
Cance un marcheacute dans la tourmente Cance se situe sur le marcheacute de lrsquoacier marcheacute en pleine tempecircte depuis lrsquoan dernier
La situation est parfaitement reacutesumeacutee par Arcelor numeacutero 1 de la sideacuterurgie
Depuis courant 2003 les prix des aciers ont veacuteritablement exploseacute En effet laquo aucun
fournisseur nrsquoest assez puissant pour satisfaire lrsquoappeacutetit de lrsquoinsatiable dragon chinois raquo 1
LrsquoEurope connaicirct une hausse sans preacuteceacutedent des produits sideacuterurgiques avec 50 agrave 60
drsquoaugmentation des prix Cance comme toutes les entreprises du secteur subissent cet eacutetat de
fait Ce problegraveme est drsquoautant plus saisissant que Cance a une activiteacute ougrave les devis et les
laquo fournitures raquo ont des temporaliteacutes tregraves diffeacuterentes En clair entre lrsquoacceptation du devis pour
un prix X (par rapport agrave un niveau du prix de lrsquoacier X) et entre la fourniture (fabrication de la
charpente) le deacutelai est de plusieurs mois voir mecircme une anneacutee Ce problegraveme est drsquoautant plus
critique que la principale matiegravere premiegravere de lrsquoactiviteacute de Cance est lrsquoacier
Ces faits communs agrave tout le marcheacute ont creacuteeacute plusieurs difficulteacutes
-Ralentissement des investissements des bacirctiments industriels face agrave lrsquoaugmentation
des coucircts
-Augmentation de la concurrence face au reacutetreacutecissement des marcheacutes
Cette situation a impliqueacute de nombreuses complications (perte de compeacutetitiviteacute
chantiers agrave perte complexification face aux avenantshellip)
Toutes les entreprises du secteur ont donc ducirc devenir plus compeacutetitives et de fait
abaisser leurs coucirctshellipLe secteur du bacirctiment est deacutejagrave tregraves concurrentiel face agrave une
augmentation des coucircts directs incompressibles ou presque (matiegravere premiegravere lrsquoacier et coucirct
de la main drsquooeuvre) il a fallu reacuteduire les coucircts indirects Dans cette situation il convenait de
rationaliser la situation du SI Il a fallu augmenter lrsquoefficaciteacute du SI tout en reacuteduisant son
coucirct
1 httpwwwlarevueparlementairefrpagesRP871RP871_economie_marcheacierhtm
11
Le SI drsquoinformation Cance une remise en cause neacutecessaire Le SI grands chiffres
Le parc informatique est composeacute de pregraves de 180 ordinateurs dont une dizaine de
portables dont certains en teacuteleacutetravail Le reste des ordinateurs est reacuteparti sur pregraves de 8 sites Le
parc comprend pas moins de 13 serveurs ainsi qursquoun support de teacuteleacutephonie Srsquoajoute agrave ce
parc la gestion de plusieurs machines outils agrave commande numeacuterique en teacuteleacutemaintenance Le
service informatique comprend une personne agrave temps complet et fait aussi appel agrave un
informaticien (30 jours drsquointervention dans lrsquoanneacutee)Srsquoajoute ici lrsquoexpertise de nombreux
sous traitants agrave travers de nombreux projets travaillant en collaboration avec le service du
systegraveme drsquoinformation (projet drsquoERP Tiamp ou Deacuteveloppement drsquoapplication speacutecifique
Cancesoft)
Ce service assure la maintenance du parc et suit les activiteacutes de preacutes de 190
utilisateurs du systegraveme drsquoinformation Le SI comprend bon nombre drsquoapplications
laquo maison raquo Cancesoft pour les devis ou encore un ERP Tiamp
Le systegraveme drsquoinformation dispose de mecircme drsquooutil help desk et a pour projet la mise
en place drsquoun intra net
Le systegraveme drsquoinformation est dirigeacute par Maurice Prade mon tuteur de stage chargeacute de
la supervision du systegraveme drsquoinformation ainsi que du controcircle et de lrsquoinitialisation des grands
projets du systegraveme drsquoinformation
Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique
Le groupe Cance a veacutecu un deacuteveloppement particuliegraverement important le groupe est
passeacute en quelques anneacutees drsquoun parc informatique comprenant une trentaine de postes
indeacutependants agrave preacutes de 180 aujourdrsquohui relieacutes par un reacuteseau et disposant de moyens allant de
pair Face agrave ce deacuteveloppement les moyens mateacuteriels et humains nrsquoont pas forceacutement suivi A
lrsquoheure actuelle et bon greacute mal greacute lrsquoentreprise doit faire face agrave diffeacuterents obstacles au niveau
du SI tout en continuant son deacuteveloppement Cance a agrave faire face agrave diffeacuterents problegravemes
reacutecurrents
-Inexistence de documentation technique
-Impossibiliteacute de preacutevoir son activiteacute
-Manque totale de transparence
-Meacutecontentement
-Faire face au risque supporteacute par le SI mise en place de lrsquoERP et reacutegularisation des
licences
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
6
Plan
INTRODUCTION8 PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16 2 Cahier des charges et orientation de la reacuteflexion 18
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance 20 2 Documents et outils mis en place 24
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32 1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique36 2 Audit orienteacute organisation et strateacutegie38
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42 BIBLIOGRAPHIE 48
7
Liste des annexes
LEXIQUE ERREUR SIGNET NON DEFINI FICHE PROCESSUSERREUR SIGNET NON DEFINI CLASSIFICATION DES PROCESSUS COBIT ERREUR SIGNET NON DEFINI MODELE DE MATURITE COBIT ERREUR SIGNET NON DEFINI FICHE PROCESSUS COBIT ERREUR SIGNET NON DEFINI QUESTIONNAIRES COBITERREUR SIGNET NON DEFINI MODELE BUDGET (NON BUDGETE) ERREUR SIGNET NON DEFINI MODELE TABLEAU DE BORD (RESUME) ERREUR SIGNET NON DEFINI TB TELEPHONIE RESUME (1P5P) ERREUR SIGNET NON DEFINI DIAGRAMME MISSION ERREUR SIGNET NON DEFINI ORGANIGRAMME DE LA SOCIETE ET DU SI ERREUR SIGNET NON DEFINI RAPPORT DrsquoAUDIT GENERAL (12P60P)ERREUR SIGNET NON DEFINI QUESTIONNAIRE ELABORE PERCEPTION DE LA FONCTION HELPDESK ERREUR SIGNET NON DEFINI
8
Introduction
Jrsquoai reacutealiseacute mon stage chez Cance constructions meacutetalliques au siegravege social agrave Nay
Cance propose de reacutealiser des bacirctiments aux utilisations diverses mais exploitant le mecircme
savoir faire la production et la maicirctrise du meacutetal
Cance de la petite entreprise familiale au groupe industriel Un peu drsquohistoire
Cance a eacuteteacute fondeacute en 1961 par Robert Cance pegravere de lrsquoactuel PDG agrave lrsquoorigine
destineacutee agrave lrsquoactiviteacute de serrurerie lrsquoentreprise va se deacutevelopper autour de lrsquoactiviteacute des
charpentes meacutetalliques en automatisant tregraves tocirct son processus de production Cance SA
connaicirctra un deacuteveloppement important notamment dans le Sud Ouest de la France La
strateacutegie de deacuteveloppement en icirclots
verra la creacuteation drsquoagences
commerciales agrave Bayonne (1981) La
Rochelle (1998) Tours Narbonne
(2002) et enfin Clermont Ferrand
(2004) comprenant pour certaines
leurs propres ateliers Cance qui doit
faire aussi face agrave une concurrence
importante srsquoest aussi implanteacute au
Portugal en creacuteant une usine de fabrication agrave Carregal de Sal (2800m2)
Le groupe Cance creacuteeacute en 1991 regroupe ainsi autour de lrsquoentiteacute Cance
Deacuteveloppement
-Cance SA construction meacutetallique
-Cance Meacutetallerie meacutetallerie
-Cance Aluminium menuiserie aluminium
Srsquoajoute aussi Cance reacuteunion la derniegravere des filiales regroupant toutes les activiteacutes du
groupe sur un mecircme site
9
Mais aujourdrsquohui
Le groupe Cance dirigeacute par Christian Cance totalise aujourdrsquohui un chiffre drsquoaffaires
de 60 millions drsquoeuros avec plus de 400 employeacutes et reste en constant deacuteveloppement
(ouverture de site dans le nordhellip)
Domaines drsquoactiviteacutes Cance constructions meacutetalliques eacutetudie conccediloit et reacutealise des bacirctiments industriels
agricoles commerciaux sportifs scolaires universitaires et hospitaliers Pour reacutealiser ces
bacirctiments les usines de productions transforment des barres drsquoacier en eacuteleacutements qui une fois
assembleacutes entre eux sur le chantier constituent lrsquoossature ou la structure meacutetallique du
bacirctiment En 2003 la production repreacutesentait 10 100 tonnes drsquoacier
Tous les autres mateacuteriaux qui interviennent dans la reacutealisation du bacirctiment ne
subissent pas de transformation ils sont acheteacutes agrave diffeacuterents fournisseurs et sont directement
ou non achemineacutes sur le chantier afin drsquoecirctre fixeacutes agrave lrsquoossature Il srsquoagit par exemple des
visseries de la couverture ou de lrsquoisolation
Les clients Chaque client est agrave part les bacirctiments biens immobiliers eacutetant des constructions non
standardiseacutees Chaque bacirctiment est ainsi un produit avec ses particulariteacutes Les clients sont
tregraves divers allant du particulier voulant se faire construire un garage une association deacutesirant
se faire bacirctir une buvette ou
encore un grand groupe
aeacuteronautique deacutesirant creacuteer des
hangars Cance a reacutealiseacute des
hocircpitaux (Pellegrin Tarbes) la
gare de peacuteage de Bayonne ou
encore certaines infrastructures
du tramway de Bordeauxhellip
CHU Pellegrin ndash Bordeaux
10
Les moyens de production CANCE constructions meacutetalliques dispose de deux sites de production Le premier agrave
Nay ayant 8000 m2 de superficie et le second agrave Carreacutegal Do Sal au Portugal de 8200 m2
La production nrsquoest pas une activiteacute de pointe mais la plus grande partie est meacutecaniseacutee
(pont roulant palans) et automatiseacutee (machine agrave commande numeacuterique relieacute aux ordinateurs
de CAO) Cance reacutealise la production la peinture la construction La galvanisation
(traitement) et le transport sont (en partie) sous traiteacutes
Cance un marcheacute dans la tourmente Cance se situe sur le marcheacute de lrsquoacier marcheacute en pleine tempecircte depuis lrsquoan dernier
La situation est parfaitement reacutesumeacutee par Arcelor numeacutero 1 de la sideacuterurgie
Depuis courant 2003 les prix des aciers ont veacuteritablement exploseacute En effet laquo aucun
fournisseur nrsquoest assez puissant pour satisfaire lrsquoappeacutetit de lrsquoinsatiable dragon chinois raquo 1
LrsquoEurope connaicirct une hausse sans preacuteceacutedent des produits sideacuterurgiques avec 50 agrave 60
drsquoaugmentation des prix Cance comme toutes les entreprises du secteur subissent cet eacutetat de
fait Ce problegraveme est drsquoautant plus saisissant que Cance a une activiteacute ougrave les devis et les
laquo fournitures raquo ont des temporaliteacutes tregraves diffeacuterentes En clair entre lrsquoacceptation du devis pour
un prix X (par rapport agrave un niveau du prix de lrsquoacier X) et entre la fourniture (fabrication de la
charpente) le deacutelai est de plusieurs mois voir mecircme une anneacutee Ce problegraveme est drsquoautant plus
critique que la principale matiegravere premiegravere de lrsquoactiviteacute de Cance est lrsquoacier
Ces faits communs agrave tout le marcheacute ont creacuteeacute plusieurs difficulteacutes
-Ralentissement des investissements des bacirctiments industriels face agrave lrsquoaugmentation
des coucircts
-Augmentation de la concurrence face au reacutetreacutecissement des marcheacutes
Cette situation a impliqueacute de nombreuses complications (perte de compeacutetitiviteacute
chantiers agrave perte complexification face aux avenantshellip)
Toutes les entreprises du secteur ont donc ducirc devenir plus compeacutetitives et de fait
abaisser leurs coucirctshellipLe secteur du bacirctiment est deacutejagrave tregraves concurrentiel face agrave une
augmentation des coucircts directs incompressibles ou presque (matiegravere premiegravere lrsquoacier et coucirct
de la main drsquooeuvre) il a fallu reacuteduire les coucircts indirects Dans cette situation il convenait de
rationaliser la situation du SI Il a fallu augmenter lrsquoefficaciteacute du SI tout en reacuteduisant son
coucirct
1 httpwwwlarevueparlementairefrpagesRP871RP871_economie_marcheacierhtm
11
Le SI drsquoinformation Cance une remise en cause neacutecessaire Le SI grands chiffres
Le parc informatique est composeacute de pregraves de 180 ordinateurs dont une dizaine de
portables dont certains en teacuteleacutetravail Le reste des ordinateurs est reacuteparti sur pregraves de 8 sites Le
parc comprend pas moins de 13 serveurs ainsi qursquoun support de teacuteleacutephonie Srsquoajoute agrave ce
parc la gestion de plusieurs machines outils agrave commande numeacuterique en teacuteleacutemaintenance Le
service informatique comprend une personne agrave temps complet et fait aussi appel agrave un
informaticien (30 jours drsquointervention dans lrsquoanneacutee)Srsquoajoute ici lrsquoexpertise de nombreux
sous traitants agrave travers de nombreux projets travaillant en collaboration avec le service du
systegraveme drsquoinformation (projet drsquoERP Tiamp ou Deacuteveloppement drsquoapplication speacutecifique
Cancesoft)
Ce service assure la maintenance du parc et suit les activiteacutes de preacutes de 190
utilisateurs du systegraveme drsquoinformation Le SI comprend bon nombre drsquoapplications
laquo maison raquo Cancesoft pour les devis ou encore un ERP Tiamp
Le systegraveme drsquoinformation dispose de mecircme drsquooutil help desk et a pour projet la mise
en place drsquoun intra net
Le systegraveme drsquoinformation est dirigeacute par Maurice Prade mon tuteur de stage chargeacute de
la supervision du systegraveme drsquoinformation ainsi que du controcircle et de lrsquoinitialisation des grands
projets du systegraveme drsquoinformation
Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique
Le groupe Cance a veacutecu un deacuteveloppement particuliegraverement important le groupe est
passeacute en quelques anneacutees drsquoun parc informatique comprenant une trentaine de postes
indeacutependants agrave preacutes de 180 aujourdrsquohui relieacutes par un reacuteseau et disposant de moyens allant de
pair Face agrave ce deacuteveloppement les moyens mateacuteriels et humains nrsquoont pas forceacutement suivi A
lrsquoheure actuelle et bon greacute mal greacute lrsquoentreprise doit faire face agrave diffeacuterents obstacles au niveau
du SI tout en continuant son deacuteveloppement Cance a agrave faire face agrave diffeacuterents problegravemes
reacutecurrents
-Inexistence de documentation technique
-Impossibiliteacute de preacutevoir son activiteacute
-Manque totale de transparence
-Meacutecontentement
-Faire face au risque supporteacute par le SI mise en place de lrsquoERP et reacutegularisation des
licences
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
7
Liste des annexes
LEXIQUE ERREUR SIGNET NON DEFINI FICHE PROCESSUSERREUR SIGNET NON DEFINI CLASSIFICATION DES PROCESSUS COBIT ERREUR SIGNET NON DEFINI MODELE DE MATURITE COBIT ERREUR SIGNET NON DEFINI FICHE PROCESSUS COBIT ERREUR SIGNET NON DEFINI QUESTIONNAIRES COBITERREUR SIGNET NON DEFINI MODELE BUDGET (NON BUDGETE) ERREUR SIGNET NON DEFINI MODELE TABLEAU DE BORD (RESUME) ERREUR SIGNET NON DEFINI TB TELEPHONIE RESUME (1P5P) ERREUR SIGNET NON DEFINI DIAGRAMME MISSION ERREUR SIGNET NON DEFINI ORGANIGRAMME DE LA SOCIETE ET DU SI ERREUR SIGNET NON DEFINI RAPPORT DrsquoAUDIT GENERAL (12P60P)ERREUR SIGNET NON DEFINI QUESTIONNAIRE ELABORE PERCEPTION DE LA FONCTION HELPDESK ERREUR SIGNET NON DEFINI
8
Introduction
Jrsquoai reacutealiseacute mon stage chez Cance constructions meacutetalliques au siegravege social agrave Nay
Cance propose de reacutealiser des bacirctiments aux utilisations diverses mais exploitant le mecircme
savoir faire la production et la maicirctrise du meacutetal
Cance de la petite entreprise familiale au groupe industriel Un peu drsquohistoire
Cance a eacuteteacute fondeacute en 1961 par Robert Cance pegravere de lrsquoactuel PDG agrave lrsquoorigine
destineacutee agrave lrsquoactiviteacute de serrurerie lrsquoentreprise va se deacutevelopper autour de lrsquoactiviteacute des
charpentes meacutetalliques en automatisant tregraves tocirct son processus de production Cance SA
connaicirctra un deacuteveloppement important notamment dans le Sud Ouest de la France La
strateacutegie de deacuteveloppement en icirclots
verra la creacuteation drsquoagences
commerciales agrave Bayonne (1981) La
Rochelle (1998) Tours Narbonne
(2002) et enfin Clermont Ferrand
(2004) comprenant pour certaines
leurs propres ateliers Cance qui doit
faire aussi face agrave une concurrence
importante srsquoest aussi implanteacute au
Portugal en creacuteant une usine de fabrication agrave Carregal de Sal (2800m2)
Le groupe Cance creacuteeacute en 1991 regroupe ainsi autour de lrsquoentiteacute Cance
Deacuteveloppement
-Cance SA construction meacutetallique
-Cance Meacutetallerie meacutetallerie
-Cance Aluminium menuiserie aluminium
Srsquoajoute aussi Cance reacuteunion la derniegravere des filiales regroupant toutes les activiteacutes du
groupe sur un mecircme site
9
Mais aujourdrsquohui
Le groupe Cance dirigeacute par Christian Cance totalise aujourdrsquohui un chiffre drsquoaffaires
de 60 millions drsquoeuros avec plus de 400 employeacutes et reste en constant deacuteveloppement
(ouverture de site dans le nordhellip)
Domaines drsquoactiviteacutes Cance constructions meacutetalliques eacutetudie conccediloit et reacutealise des bacirctiments industriels
agricoles commerciaux sportifs scolaires universitaires et hospitaliers Pour reacutealiser ces
bacirctiments les usines de productions transforment des barres drsquoacier en eacuteleacutements qui une fois
assembleacutes entre eux sur le chantier constituent lrsquoossature ou la structure meacutetallique du
bacirctiment En 2003 la production repreacutesentait 10 100 tonnes drsquoacier
Tous les autres mateacuteriaux qui interviennent dans la reacutealisation du bacirctiment ne
subissent pas de transformation ils sont acheteacutes agrave diffeacuterents fournisseurs et sont directement
ou non achemineacutes sur le chantier afin drsquoecirctre fixeacutes agrave lrsquoossature Il srsquoagit par exemple des
visseries de la couverture ou de lrsquoisolation
Les clients Chaque client est agrave part les bacirctiments biens immobiliers eacutetant des constructions non
standardiseacutees Chaque bacirctiment est ainsi un produit avec ses particulariteacutes Les clients sont
tregraves divers allant du particulier voulant se faire construire un garage une association deacutesirant
se faire bacirctir une buvette ou
encore un grand groupe
aeacuteronautique deacutesirant creacuteer des
hangars Cance a reacutealiseacute des
hocircpitaux (Pellegrin Tarbes) la
gare de peacuteage de Bayonne ou
encore certaines infrastructures
du tramway de Bordeauxhellip
CHU Pellegrin ndash Bordeaux
10
Les moyens de production CANCE constructions meacutetalliques dispose de deux sites de production Le premier agrave
Nay ayant 8000 m2 de superficie et le second agrave Carreacutegal Do Sal au Portugal de 8200 m2
La production nrsquoest pas une activiteacute de pointe mais la plus grande partie est meacutecaniseacutee
(pont roulant palans) et automatiseacutee (machine agrave commande numeacuterique relieacute aux ordinateurs
de CAO) Cance reacutealise la production la peinture la construction La galvanisation
(traitement) et le transport sont (en partie) sous traiteacutes
Cance un marcheacute dans la tourmente Cance se situe sur le marcheacute de lrsquoacier marcheacute en pleine tempecircte depuis lrsquoan dernier
La situation est parfaitement reacutesumeacutee par Arcelor numeacutero 1 de la sideacuterurgie
Depuis courant 2003 les prix des aciers ont veacuteritablement exploseacute En effet laquo aucun
fournisseur nrsquoest assez puissant pour satisfaire lrsquoappeacutetit de lrsquoinsatiable dragon chinois raquo 1
LrsquoEurope connaicirct une hausse sans preacuteceacutedent des produits sideacuterurgiques avec 50 agrave 60
drsquoaugmentation des prix Cance comme toutes les entreprises du secteur subissent cet eacutetat de
fait Ce problegraveme est drsquoautant plus saisissant que Cance a une activiteacute ougrave les devis et les
laquo fournitures raquo ont des temporaliteacutes tregraves diffeacuterentes En clair entre lrsquoacceptation du devis pour
un prix X (par rapport agrave un niveau du prix de lrsquoacier X) et entre la fourniture (fabrication de la
charpente) le deacutelai est de plusieurs mois voir mecircme une anneacutee Ce problegraveme est drsquoautant plus
critique que la principale matiegravere premiegravere de lrsquoactiviteacute de Cance est lrsquoacier
Ces faits communs agrave tout le marcheacute ont creacuteeacute plusieurs difficulteacutes
-Ralentissement des investissements des bacirctiments industriels face agrave lrsquoaugmentation
des coucircts
-Augmentation de la concurrence face au reacutetreacutecissement des marcheacutes
Cette situation a impliqueacute de nombreuses complications (perte de compeacutetitiviteacute
chantiers agrave perte complexification face aux avenantshellip)
Toutes les entreprises du secteur ont donc ducirc devenir plus compeacutetitives et de fait
abaisser leurs coucirctshellipLe secteur du bacirctiment est deacutejagrave tregraves concurrentiel face agrave une
augmentation des coucircts directs incompressibles ou presque (matiegravere premiegravere lrsquoacier et coucirct
de la main drsquooeuvre) il a fallu reacuteduire les coucircts indirects Dans cette situation il convenait de
rationaliser la situation du SI Il a fallu augmenter lrsquoefficaciteacute du SI tout en reacuteduisant son
coucirct
1 httpwwwlarevueparlementairefrpagesRP871RP871_economie_marcheacierhtm
11
Le SI drsquoinformation Cance une remise en cause neacutecessaire Le SI grands chiffres
Le parc informatique est composeacute de pregraves de 180 ordinateurs dont une dizaine de
portables dont certains en teacuteleacutetravail Le reste des ordinateurs est reacuteparti sur pregraves de 8 sites Le
parc comprend pas moins de 13 serveurs ainsi qursquoun support de teacuteleacutephonie Srsquoajoute agrave ce
parc la gestion de plusieurs machines outils agrave commande numeacuterique en teacuteleacutemaintenance Le
service informatique comprend une personne agrave temps complet et fait aussi appel agrave un
informaticien (30 jours drsquointervention dans lrsquoanneacutee)Srsquoajoute ici lrsquoexpertise de nombreux
sous traitants agrave travers de nombreux projets travaillant en collaboration avec le service du
systegraveme drsquoinformation (projet drsquoERP Tiamp ou Deacuteveloppement drsquoapplication speacutecifique
Cancesoft)
Ce service assure la maintenance du parc et suit les activiteacutes de preacutes de 190
utilisateurs du systegraveme drsquoinformation Le SI comprend bon nombre drsquoapplications
laquo maison raquo Cancesoft pour les devis ou encore un ERP Tiamp
Le systegraveme drsquoinformation dispose de mecircme drsquooutil help desk et a pour projet la mise
en place drsquoun intra net
Le systegraveme drsquoinformation est dirigeacute par Maurice Prade mon tuteur de stage chargeacute de
la supervision du systegraveme drsquoinformation ainsi que du controcircle et de lrsquoinitialisation des grands
projets du systegraveme drsquoinformation
Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique
Le groupe Cance a veacutecu un deacuteveloppement particuliegraverement important le groupe est
passeacute en quelques anneacutees drsquoun parc informatique comprenant une trentaine de postes
indeacutependants agrave preacutes de 180 aujourdrsquohui relieacutes par un reacuteseau et disposant de moyens allant de
pair Face agrave ce deacuteveloppement les moyens mateacuteriels et humains nrsquoont pas forceacutement suivi A
lrsquoheure actuelle et bon greacute mal greacute lrsquoentreprise doit faire face agrave diffeacuterents obstacles au niveau
du SI tout en continuant son deacuteveloppement Cance a agrave faire face agrave diffeacuterents problegravemes
reacutecurrents
-Inexistence de documentation technique
-Impossibiliteacute de preacutevoir son activiteacute
-Manque totale de transparence
-Meacutecontentement
-Faire face au risque supporteacute par le SI mise en place de lrsquoERP et reacutegularisation des
licences
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
8
Introduction
Jrsquoai reacutealiseacute mon stage chez Cance constructions meacutetalliques au siegravege social agrave Nay
Cance propose de reacutealiser des bacirctiments aux utilisations diverses mais exploitant le mecircme
savoir faire la production et la maicirctrise du meacutetal
Cance de la petite entreprise familiale au groupe industriel Un peu drsquohistoire
Cance a eacuteteacute fondeacute en 1961 par Robert Cance pegravere de lrsquoactuel PDG agrave lrsquoorigine
destineacutee agrave lrsquoactiviteacute de serrurerie lrsquoentreprise va se deacutevelopper autour de lrsquoactiviteacute des
charpentes meacutetalliques en automatisant tregraves tocirct son processus de production Cance SA
connaicirctra un deacuteveloppement important notamment dans le Sud Ouest de la France La
strateacutegie de deacuteveloppement en icirclots
verra la creacuteation drsquoagences
commerciales agrave Bayonne (1981) La
Rochelle (1998) Tours Narbonne
(2002) et enfin Clermont Ferrand
(2004) comprenant pour certaines
leurs propres ateliers Cance qui doit
faire aussi face agrave une concurrence
importante srsquoest aussi implanteacute au
Portugal en creacuteant une usine de fabrication agrave Carregal de Sal (2800m2)
Le groupe Cance creacuteeacute en 1991 regroupe ainsi autour de lrsquoentiteacute Cance
Deacuteveloppement
-Cance SA construction meacutetallique
-Cance Meacutetallerie meacutetallerie
-Cance Aluminium menuiserie aluminium
Srsquoajoute aussi Cance reacuteunion la derniegravere des filiales regroupant toutes les activiteacutes du
groupe sur un mecircme site
9
Mais aujourdrsquohui
Le groupe Cance dirigeacute par Christian Cance totalise aujourdrsquohui un chiffre drsquoaffaires
de 60 millions drsquoeuros avec plus de 400 employeacutes et reste en constant deacuteveloppement
(ouverture de site dans le nordhellip)
Domaines drsquoactiviteacutes Cance constructions meacutetalliques eacutetudie conccediloit et reacutealise des bacirctiments industriels
agricoles commerciaux sportifs scolaires universitaires et hospitaliers Pour reacutealiser ces
bacirctiments les usines de productions transforment des barres drsquoacier en eacuteleacutements qui une fois
assembleacutes entre eux sur le chantier constituent lrsquoossature ou la structure meacutetallique du
bacirctiment En 2003 la production repreacutesentait 10 100 tonnes drsquoacier
Tous les autres mateacuteriaux qui interviennent dans la reacutealisation du bacirctiment ne
subissent pas de transformation ils sont acheteacutes agrave diffeacuterents fournisseurs et sont directement
ou non achemineacutes sur le chantier afin drsquoecirctre fixeacutes agrave lrsquoossature Il srsquoagit par exemple des
visseries de la couverture ou de lrsquoisolation
Les clients Chaque client est agrave part les bacirctiments biens immobiliers eacutetant des constructions non
standardiseacutees Chaque bacirctiment est ainsi un produit avec ses particulariteacutes Les clients sont
tregraves divers allant du particulier voulant se faire construire un garage une association deacutesirant
se faire bacirctir une buvette ou
encore un grand groupe
aeacuteronautique deacutesirant creacuteer des
hangars Cance a reacutealiseacute des
hocircpitaux (Pellegrin Tarbes) la
gare de peacuteage de Bayonne ou
encore certaines infrastructures
du tramway de Bordeauxhellip
CHU Pellegrin ndash Bordeaux
10
Les moyens de production CANCE constructions meacutetalliques dispose de deux sites de production Le premier agrave
Nay ayant 8000 m2 de superficie et le second agrave Carreacutegal Do Sal au Portugal de 8200 m2
La production nrsquoest pas une activiteacute de pointe mais la plus grande partie est meacutecaniseacutee
(pont roulant palans) et automatiseacutee (machine agrave commande numeacuterique relieacute aux ordinateurs
de CAO) Cance reacutealise la production la peinture la construction La galvanisation
(traitement) et le transport sont (en partie) sous traiteacutes
Cance un marcheacute dans la tourmente Cance se situe sur le marcheacute de lrsquoacier marcheacute en pleine tempecircte depuis lrsquoan dernier
La situation est parfaitement reacutesumeacutee par Arcelor numeacutero 1 de la sideacuterurgie
Depuis courant 2003 les prix des aciers ont veacuteritablement exploseacute En effet laquo aucun
fournisseur nrsquoest assez puissant pour satisfaire lrsquoappeacutetit de lrsquoinsatiable dragon chinois raquo 1
LrsquoEurope connaicirct une hausse sans preacuteceacutedent des produits sideacuterurgiques avec 50 agrave 60
drsquoaugmentation des prix Cance comme toutes les entreprises du secteur subissent cet eacutetat de
fait Ce problegraveme est drsquoautant plus saisissant que Cance a une activiteacute ougrave les devis et les
laquo fournitures raquo ont des temporaliteacutes tregraves diffeacuterentes En clair entre lrsquoacceptation du devis pour
un prix X (par rapport agrave un niveau du prix de lrsquoacier X) et entre la fourniture (fabrication de la
charpente) le deacutelai est de plusieurs mois voir mecircme une anneacutee Ce problegraveme est drsquoautant plus
critique que la principale matiegravere premiegravere de lrsquoactiviteacute de Cance est lrsquoacier
Ces faits communs agrave tout le marcheacute ont creacuteeacute plusieurs difficulteacutes
-Ralentissement des investissements des bacirctiments industriels face agrave lrsquoaugmentation
des coucircts
-Augmentation de la concurrence face au reacutetreacutecissement des marcheacutes
Cette situation a impliqueacute de nombreuses complications (perte de compeacutetitiviteacute
chantiers agrave perte complexification face aux avenantshellip)
Toutes les entreprises du secteur ont donc ducirc devenir plus compeacutetitives et de fait
abaisser leurs coucirctshellipLe secteur du bacirctiment est deacutejagrave tregraves concurrentiel face agrave une
augmentation des coucircts directs incompressibles ou presque (matiegravere premiegravere lrsquoacier et coucirct
de la main drsquooeuvre) il a fallu reacuteduire les coucircts indirects Dans cette situation il convenait de
rationaliser la situation du SI Il a fallu augmenter lrsquoefficaciteacute du SI tout en reacuteduisant son
coucirct
1 httpwwwlarevueparlementairefrpagesRP871RP871_economie_marcheacierhtm
11
Le SI drsquoinformation Cance une remise en cause neacutecessaire Le SI grands chiffres
Le parc informatique est composeacute de pregraves de 180 ordinateurs dont une dizaine de
portables dont certains en teacuteleacutetravail Le reste des ordinateurs est reacuteparti sur pregraves de 8 sites Le
parc comprend pas moins de 13 serveurs ainsi qursquoun support de teacuteleacutephonie Srsquoajoute agrave ce
parc la gestion de plusieurs machines outils agrave commande numeacuterique en teacuteleacutemaintenance Le
service informatique comprend une personne agrave temps complet et fait aussi appel agrave un
informaticien (30 jours drsquointervention dans lrsquoanneacutee)Srsquoajoute ici lrsquoexpertise de nombreux
sous traitants agrave travers de nombreux projets travaillant en collaboration avec le service du
systegraveme drsquoinformation (projet drsquoERP Tiamp ou Deacuteveloppement drsquoapplication speacutecifique
Cancesoft)
Ce service assure la maintenance du parc et suit les activiteacutes de preacutes de 190
utilisateurs du systegraveme drsquoinformation Le SI comprend bon nombre drsquoapplications
laquo maison raquo Cancesoft pour les devis ou encore un ERP Tiamp
Le systegraveme drsquoinformation dispose de mecircme drsquooutil help desk et a pour projet la mise
en place drsquoun intra net
Le systegraveme drsquoinformation est dirigeacute par Maurice Prade mon tuteur de stage chargeacute de
la supervision du systegraveme drsquoinformation ainsi que du controcircle et de lrsquoinitialisation des grands
projets du systegraveme drsquoinformation
Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique
Le groupe Cance a veacutecu un deacuteveloppement particuliegraverement important le groupe est
passeacute en quelques anneacutees drsquoun parc informatique comprenant une trentaine de postes
indeacutependants agrave preacutes de 180 aujourdrsquohui relieacutes par un reacuteseau et disposant de moyens allant de
pair Face agrave ce deacuteveloppement les moyens mateacuteriels et humains nrsquoont pas forceacutement suivi A
lrsquoheure actuelle et bon greacute mal greacute lrsquoentreprise doit faire face agrave diffeacuterents obstacles au niveau
du SI tout en continuant son deacuteveloppement Cance a agrave faire face agrave diffeacuterents problegravemes
reacutecurrents
-Inexistence de documentation technique
-Impossibiliteacute de preacutevoir son activiteacute
-Manque totale de transparence
-Meacutecontentement
-Faire face au risque supporteacute par le SI mise en place de lrsquoERP et reacutegularisation des
licences
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
9
Mais aujourdrsquohui
Le groupe Cance dirigeacute par Christian Cance totalise aujourdrsquohui un chiffre drsquoaffaires
de 60 millions drsquoeuros avec plus de 400 employeacutes et reste en constant deacuteveloppement
(ouverture de site dans le nordhellip)
Domaines drsquoactiviteacutes Cance constructions meacutetalliques eacutetudie conccediloit et reacutealise des bacirctiments industriels
agricoles commerciaux sportifs scolaires universitaires et hospitaliers Pour reacutealiser ces
bacirctiments les usines de productions transforment des barres drsquoacier en eacuteleacutements qui une fois
assembleacutes entre eux sur le chantier constituent lrsquoossature ou la structure meacutetallique du
bacirctiment En 2003 la production repreacutesentait 10 100 tonnes drsquoacier
Tous les autres mateacuteriaux qui interviennent dans la reacutealisation du bacirctiment ne
subissent pas de transformation ils sont acheteacutes agrave diffeacuterents fournisseurs et sont directement
ou non achemineacutes sur le chantier afin drsquoecirctre fixeacutes agrave lrsquoossature Il srsquoagit par exemple des
visseries de la couverture ou de lrsquoisolation
Les clients Chaque client est agrave part les bacirctiments biens immobiliers eacutetant des constructions non
standardiseacutees Chaque bacirctiment est ainsi un produit avec ses particulariteacutes Les clients sont
tregraves divers allant du particulier voulant se faire construire un garage une association deacutesirant
se faire bacirctir une buvette ou
encore un grand groupe
aeacuteronautique deacutesirant creacuteer des
hangars Cance a reacutealiseacute des
hocircpitaux (Pellegrin Tarbes) la
gare de peacuteage de Bayonne ou
encore certaines infrastructures
du tramway de Bordeauxhellip
CHU Pellegrin ndash Bordeaux
10
Les moyens de production CANCE constructions meacutetalliques dispose de deux sites de production Le premier agrave
Nay ayant 8000 m2 de superficie et le second agrave Carreacutegal Do Sal au Portugal de 8200 m2
La production nrsquoest pas une activiteacute de pointe mais la plus grande partie est meacutecaniseacutee
(pont roulant palans) et automatiseacutee (machine agrave commande numeacuterique relieacute aux ordinateurs
de CAO) Cance reacutealise la production la peinture la construction La galvanisation
(traitement) et le transport sont (en partie) sous traiteacutes
Cance un marcheacute dans la tourmente Cance se situe sur le marcheacute de lrsquoacier marcheacute en pleine tempecircte depuis lrsquoan dernier
La situation est parfaitement reacutesumeacutee par Arcelor numeacutero 1 de la sideacuterurgie
Depuis courant 2003 les prix des aciers ont veacuteritablement exploseacute En effet laquo aucun
fournisseur nrsquoest assez puissant pour satisfaire lrsquoappeacutetit de lrsquoinsatiable dragon chinois raquo 1
LrsquoEurope connaicirct une hausse sans preacuteceacutedent des produits sideacuterurgiques avec 50 agrave 60
drsquoaugmentation des prix Cance comme toutes les entreprises du secteur subissent cet eacutetat de
fait Ce problegraveme est drsquoautant plus saisissant que Cance a une activiteacute ougrave les devis et les
laquo fournitures raquo ont des temporaliteacutes tregraves diffeacuterentes En clair entre lrsquoacceptation du devis pour
un prix X (par rapport agrave un niveau du prix de lrsquoacier X) et entre la fourniture (fabrication de la
charpente) le deacutelai est de plusieurs mois voir mecircme une anneacutee Ce problegraveme est drsquoautant plus
critique que la principale matiegravere premiegravere de lrsquoactiviteacute de Cance est lrsquoacier
Ces faits communs agrave tout le marcheacute ont creacuteeacute plusieurs difficulteacutes
-Ralentissement des investissements des bacirctiments industriels face agrave lrsquoaugmentation
des coucircts
-Augmentation de la concurrence face au reacutetreacutecissement des marcheacutes
Cette situation a impliqueacute de nombreuses complications (perte de compeacutetitiviteacute
chantiers agrave perte complexification face aux avenantshellip)
Toutes les entreprises du secteur ont donc ducirc devenir plus compeacutetitives et de fait
abaisser leurs coucirctshellipLe secteur du bacirctiment est deacutejagrave tregraves concurrentiel face agrave une
augmentation des coucircts directs incompressibles ou presque (matiegravere premiegravere lrsquoacier et coucirct
de la main drsquooeuvre) il a fallu reacuteduire les coucircts indirects Dans cette situation il convenait de
rationaliser la situation du SI Il a fallu augmenter lrsquoefficaciteacute du SI tout en reacuteduisant son
coucirct
1 httpwwwlarevueparlementairefrpagesRP871RP871_economie_marcheacierhtm
11
Le SI drsquoinformation Cance une remise en cause neacutecessaire Le SI grands chiffres
Le parc informatique est composeacute de pregraves de 180 ordinateurs dont une dizaine de
portables dont certains en teacuteleacutetravail Le reste des ordinateurs est reacuteparti sur pregraves de 8 sites Le
parc comprend pas moins de 13 serveurs ainsi qursquoun support de teacuteleacutephonie Srsquoajoute agrave ce
parc la gestion de plusieurs machines outils agrave commande numeacuterique en teacuteleacutemaintenance Le
service informatique comprend une personne agrave temps complet et fait aussi appel agrave un
informaticien (30 jours drsquointervention dans lrsquoanneacutee)Srsquoajoute ici lrsquoexpertise de nombreux
sous traitants agrave travers de nombreux projets travaillant en collaboration avec le service du
systegraveme drsquoinformation (projet drsquoERP Tiamp ou Deacuteveloppement drsquoapplication speacutecifique
Cancesoft)
Ce service assure la maintenance du parc et suit les activiteacutes de preacutes de 190
utilisateurs du systegraveme drsquoinformation Le SI comprend bon nombre drsquoapplications
laquo maison raquo Cancesoft pour les devis ou encore un ERP Tiamp
Le systegraveme drsquoinformation dispose de mecircme drsquooutil help desk et a pour projet la mise
en place drsquoun intra net
Le systegraveme drsquoinformation est dirigeacute par Maurice Prade mon tuteur de stage chargeacute de
la supervision du systegraveme drsquoinformation ainsi que du controcircle et de lrsquoinitialisation des grands
projets du systegraveme drsquoinformation
Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique
Le groupe Cance a veacutecu un deacuteveloppement particuliegraverement important le groupe est
passeacute en quelques anneacutees drsquoun parc informatique comprenant une trentaine de postes
indeacutependants agrave preacutes de 180 aujourdrsquohui relieacutes par un reacuteseau et disposant de moyens allant de
pair Face agrave ce deacuteveloppement les moyens mateacuteriels et humains nrsquoont pas forceacutement suivi A
lrsquoheure actuelle et bon greacute mal greacute lrsquoentreprise doit faire face agrave diffeacuterents obstacles au niveau
du SI tout en continuant son deacuteveloppement Cance a agrave faire face agrave diffeacuterents problegravemes
reacutecurrents
-Inexistence de documentation technique
-Impossibiliteacute de preacutevoir son activiteacute
-Manque totale de transparence
-Meacutecontentement
-Faire face au risque supporteacute par le SI mise en place de lrsquoERP et reacutegularisation des
licences
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
10
Les moyens de production CANCE constructions meacutetalliques dispose de deux sites de production Le premier agrave
Nay ayant 8000 m2 de superficie et le second agrave Carreacutegal Do Sal au Portugal de 8200 m2
La production nrsquoest pas une activiteacute de pointe mais la plus grande partie est meacutecaniseacutee
(pont roulant palans) et automatiseacutee (machine agrave commande numeacuterique relieacute aux ordinateurs
de CAO) Cance reacutealise la production la peinture la construction La galvanisation
(traitement) et le transport sont (en partie) sous traiteacutes
Cance un marcheacute dans la tourmente Cance se situe sur le marcheacute de lrsquoacier marcheacute en pleine tempecircte depuis lrsquoan dernier
La situation est parfaitement reacutesumeacutee par Arcelor numeacutero 1 de la sideacuterurgie
Depuis courant 2003 les prix des aciers ont veacuteritablement exploseacute En effet laquo aucun
fournisseur nrsquoest assez puissant pour satisfaire lrsquoappeacutetit de lrsquoinsatiable dragon chinois raquo 1
LrsquoEurope connaicirct une hausse sans preacuteceacutedent des produits sideacuterurgiques avec 50 agrave 60
drsquoaugmentation des prix Cance comme toutes les entreprises du secteur subissent cet eacutetat de
fait Ce problegraveme est drsquoautant plus saisissant que Cance a une activiteacute ougrave les devis et les
laquo fournitures raquo ont des temporaliteacutes tregraves diffeacuterentes En clair entre lrsquoacceptation du devis pour
un prix X (par rapport agrave un niveau du prix de lrsquoacier X) et entre la fourniture (fabrication de la
charpente) le deacutelai est de plusieurs mois voir mecircme une anneacutee Ce problegraveme est drsquoautant plus
critique que la principale matiegravere premiegravere de lrsquoactiviteacute de Cance est lrsquoacier
Ces faits communs agrave tout le marcheacute ont creacuteeacute plusieurs difficulteacutes
-Ralentissement des investissements des bacirctiments industriels face agrave lrsquoaugmentation
des coucircts
-Augmentation de la concurrence face au reacutetreacutecissement des marcheacutes
Cette situation a impliqueacute de nombreuses complications (perte de compeacutetitiviteacute
chantiers agrave perte complexification face aux avenantshellip)
Toutes les entreprises du secteur ont donc ducirc devenir plus compeacutetitives et de fait
abaisser leurs coucirctshellipLe secteur du bacirctiment est deacutejagrave tregraves concurrentiel face agrave une
augmentation des coucircts directs incompressibles ou presque (matiegravere premiegravere lrsquoacier et coucirct
de la main drsquooeuvre) il a fallu reacuteduire les coucircts indirects Dans cette situation il convenait de
rationaliser la situation du SI Il a fallu augmenter lrsquoefficaciteacute du SI tout en reacuteduisant son
coucirct
1 httpwwwlarevueparlementairefrpagesRP871RP871_economie_marcheacierhtm
11
Le SI drsquoinformation Cance une remise en cause neacutecessaire Le SI grands chiffres
Le parc informatique est composeacute de pregraves de 180 ordinateurs dont une dizaine de
portables dont certains en teacuteleacutetravail Le reste des ordinateurs est reacuteparti sur pregraves de 8 sites Le
parc comprend pas moins de 13 serveurs ainsi qursquoun support de teacuteleacutephonie Srsquoajoute agrave ce
parc la gestion de plusieurs machines outils agrave commande numeacuterique en teacuteleacutemaintenance Le
service informatique comprend une personne agrave temps complet et fait aussi appel agrave un
informaticien (30 jours drsquointervention dans lrsquoanneacutee)Srsquoajoute ici lrsquoexpertise de nombreux
sous traitants agrave travers de nombreux projets travaillant en collaboration avec le service du
systegraveme drsquoinformation (projet drsquoERP Tiamp ou Deacuteveloppement drsquoapplication speacutecifique
Cancesoft)
Ce service assure la maintenance du parc et suit les activiteacutes de preacutes de 190
utilisateurs du systegraveme drsquoinformation Le SI comprend bon nombre drsquoapplications
laquo maison raquo Cancesoft pour les devis ou encore un ERP Tiamp
Le systegraveme drsquoinformation dispose de mecircme drsquooutil help desk et a pour projet la mise
en place drsquoun intra net
Le systegraveme drsquoinformation est dirigeacute par Maurice Prade mon tuteur de stage chargeacute de
la supervision du systegraveme drsquoinformation ainsi que du controcircle et de lrsquoinitialisation des grands
projets du systegraveme drsquoinformation
Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique
Le groupe Cance a veacutecu un deacuteveloppement particuliegraverement important le groupe est
passeacute en quelques anneacutees drsquoun parc informatique comprenant une trentaine de postes
indeacutependants agrave preacutes de 180 aujourdrsquohui relieacutes par un reacuteseau et disposant de moyens allant de
pair Face agrave ce deacuteveloppement les moyens mateacuteriels et humains nrsquoont pas forceacutement suivi A
lrsquoheure actuelle et bon greacute mal greacute lrsquoentreprise doit faire face agrave diffeacuterents obstacles au niveau
du SI tout en continuant son deacuteveloppement Cance a agrave faire face agrave diffeacuterents problegravemes
reacutecurrents
-Inexistence de documentation technique
-Impossibiliteacute de preacutevoir son activiteacute
-Manque totale de transparence
-Meacutecontentement
-Faire face au risque supporteacute par le SI mise en place de lrsquoERP et reacutegularisation des
licences
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
11
Le SI drsquoinformation Cance une remise en cause neacutecessaire Le SI grands chiffres
Le parc informatique est composeacute de pregraves de 180 ordinateurs dont une dizaine de
portables dont certains en teacuteleacutetravail Le reste des ordinateurs est reacuteparti sur pregraves de 8 sites Le
parc comprend pas moins de 13 serveurs ainsi qursquoun support de teacuteleacutephonie Srsquoajoute agrave ce
parc la gestion de plusieurs machines outils agrave commande numeacuterique en teacuteleacutemaintenance Le
service informatique comprend une personne agrave temps complet et fait aussi appel agrave un
informaticien (30 jours drsquointervention dans lrsquoanneacutee)Srsquoajoute ici lrsquoexpertise de nombreux
sous traitants agrave travers de nombreux projets travaillant en collaboration avec le service du
systegraveme drsquoinformation (projet drsquoERP Tiamp ou Deacuteveloppement drsquoapplication speacutecifique
Cancesoft)
Ce service assure la maintenance du parc et suit les activiteacutes de preacutes de 190
utilisateurs du systegraveme drsquoinformation Le SI comprend bon nombre drsquoapplications
laquo maison raquo Cancesoft pour les devis ou encore un ERP Tiamp
Le systegraveme drsquoinformation dispose de mecircme drsquooutil help desk et a pour projet la mise
en place drsquoun intra net
Le systegraveme drsquoinformation est dirigeacute par Maurice Prade mon tuteur de stage chargeacute de
la supervision du systegraveme drsquoinformation ainsi que du controcircle et de lrsquoinitialisation des grands
projets du systegraveme drsquoinformation
Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique
Le groupe Cance a veacutecu un deacuteveloppement particuliegraverement important le groupe est
passeacute en quelques anneacutees drsquoun parc informatique comprenant une trentaine de postes
indeacutependants agrave preacutes de 180 aujourdrsquohui relieacutes par un reacuteseau et disposant de moyens allant de
pair Face agrave ce deacuteveloppement les moyens mateacuteriels et humains nrsquoont pas forceacutement suivi A
lrsquoheure actuelle et bon greacute mal greacute lrsquoentreprise doit faire face agrave diffeacuterents obstacles au niveau
du SI tout en continuant son deacuteveloppement Cance a agrave faire face agrave diffeacuterents problegravemes
reacutecurrents
-Inexistence de documentation technique
-Impossibiliteacute de preacutevoir son activiteacute
-Manque totale de transparence
-Meacutecontentement
-Faire face au risque supporteacute par le SI mise en place de lrsquoERP et reacutegularisation des
licences
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
12
Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI
Partant de ce constat lrsquoentreprise agrave travers la personne de Maurice Prade a deacutecideacute
drsquoimposer un cadre de fonctionnement au systegraveme drsquoinformation Jrsquoai donc eacuteteacute choisi pour
reacutealiser un audit de juger de lrsquoopportuniteacute de mettre en place un reacutefeacuterentiel processus et
ses outils et drsquoinitialiser la mise en place drsquoun reacutefeacuterentiel Cobit ou non
Une mission la description et lrsquoaudit des processus informatique et lrsquointroduction drsquoun
reacutefeacuterentiel processus (Cobit)
Le but de ma mission a donc eacuteteacute de preacuteparer lrsquointroduction drsquoun reacutefeacuterentiel agrave
deacutefinir Il devait orienter les outils de gestion de processus que je devais mettre en place
Cette mission est relativement particuliegravere car drsquohabitude on adapte lrsquooutil deacutejagrave preacutesent au
reacutefeacuterentiel Aucun outil nrsquoeacutetait preacutesent il a donc fallu deacutefinir de laquo A agrave Z raquo lrsquooutil et son
contenu
Un reacutefeacuterentiel est un cadre une doctrine qui deacutefinit comment les activiteacutes devraient
fonctionner Un reacutefeacuterentiel deacutefinit ce qui doit ecirctre fait pour reacuteussir et pour quels objectifs Ici
le reacutefeacuterentiel concerne lrsquoactiviteacute du systegraveme drsquoinformation et dans la plus grande partie
lrsquoactiviteacute du service informatique Un reacutefeacuterentiel deacutefinit un objectif sans neacutecessairement
deacutefinir le moyen de lrsquoatteindre De fait lrsquooutil visant agrave la mise en place drsquoun reacutefeacuterentiel doit
deacutefinir ce moyen il se doit de deacuteterminer le comment plus que le pourquoi (lrsquoobjectif)
Lrsquoobjectif de ma mission est la mise en place drsquoune description du comment pour deacutefinir
les ameacuteliorations agrave apporterhellippour atteindre le pourquoi (reacutefeacuterentiel)
Deacutefinir lrsquooutil deacutependait donc du choix du reacutefeacuterentiel De fait il mrsquoa fallu tout drsquoabord
deacuteterminer quel cadre serait certainement mis en place pour ensuite deacuteterminer quel outil
serait le plus approprieacute
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
13
Probleacutematique Quel reacutefeacuterentiel processus pour le
systegraveme drsquoinformation drsquoune entreprise du BTP et
pour quelles implications
Le choix du reacutefeacuterentiel a donc compris plusieurs phases
-Deacutefinition des besoins
-Deacutefinition drsquoun cahier des charges concernant le reacutefeacuterentiel
-Choisir le reacutefeacuterentiel
-Proposition drsquoun outil adapteacute au reacutefeacuterentiel
-Choix drsquoun outil
Lrsquooutil qui devait ecirctre proposeacute a pour but la description des activiteacutes informatiques
Mon travail a donc eu pour but la deacutefinition de plusieurs documents
-La creacuteation drsquoune fiche reacutecapitulative de processus
-La deacutefinition drsquoune repreacutesentation des processus
-La creacuteation de plusieurs documents geacuteneacuteraux pour aider agrave la gestion du systegraveme
drsquoinformation
-La creacuteation de documents pour aider agrave la gestion des interactions entre les
opeacuterateurs internes et externes du systegraveme drsquoinformation
-La deacutefinition drsquoune organisation geacuteneacuterale apte agrave satisfaire les deux parties
utilisatrices de lrsquooutil le gestionnaire Mr Maurice Prade et lrsquoinformaticien Mr Laurent
Garcia
La mise en place de cet outil impliquait le deacuteroulement drsquoun audit sur de nombreux
processus ainsi que sur de nombreux thegravemes du service informatique Ma mission passait par
lrsquoeacutenumeacuteration de tous les processus reacutealiseacutes ou non par le service informatique ou les
fournisseurs Je devais par la suite deacutecrire de maniegravere geacuteneacuterale ces processus puis aider agrave
leur description de maniegravere preacutecise notamment ceux les plus critiques De plus la mise en
place de cet outil impliqueacute la tenue de diffeacuterents audits logiciel comptablehellippour compleacuteter
lrsquooutil
Dans la premiegravere partie du dossier sera preacutesenteacutee la situation agrave laquelle nous avons a
faire face un systegraveme drsquoinformation tregraves deacuteveloppeacute sans qursquoune organisation geacuteneacuterale ne
vienne structurer celui ci Face agrave ce constat sera preacutesenteacute par la suite les diffeacuterentes solutions
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
14
possibles en terme de reacutefeacuterentiel processus Ici sera eacutetudier les reacutefeacuterentiels possibles Itil
Cobit et leurs caracteacuteristiqueshellip
Dans une seconde partie nous verrons en quoi le choix du reacutefeacuterentiel a impacteacute la
mise en place drsquooutil la mise en place drsquoun audit et drsquoaction corrective Cette partie
srsquoattachera agrave montrer en quoi les outils se sont adapteacutes au Cobit en quoi lrsquoaudit srsquoest adapteacute
Pour finir seront abordeacutees les actions meneacutees suite agrave ce reacutefeacuterentiel processus et outils mis en
place
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
15
I Cobit le reacutefeacuterentiel et les outils
conformes agrave celui ci
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
16
Avant de choisir le reacutefeacuterentiel il convient de deacutefinir la situation La situation
deacuteterminera elle les critegraveres de choix drsquoun reacutefeacuterentiel processus ceci constituera la premiegravere et
la seconde partie de mon argumentation
A Le reacutefeacuterentiel processus la solution drsquoorganisation drsquoun SI
deacutesorganiseacute
Comme nous avons pu le voir dans notre introduction Cance doit geacuterer un SI aux
multiples fonctions sans que lrsquoorganisation ne srsquoy soit preacutepareacutee La partie qui suit eacutetudiera en
quoi lrsquoorganisation est deacutefaillante pour deacutefinir les caracteacuteristiques du reacutefeacuterentiel agrave mettre en
place
La deacutefinition de tout cahier des charges pour un produit comme pour un outil passe par
une deacutefinition de lrsquoexistant Apregraves avoir deacutefini le reacuteel il convient aussi de deacutefinir le laquo voulu raquo
ce que lrsquoon veut atteindre Le premier permet de voir ce qursquoon a le second ce que lrsquoon veut
Ce constat fera lrsquoobjet de la premiegravere partie de ce dossier
1 La situation et les attentes de Cance la recherche drsquoun
cadre organisationnel
Dysfonctionnements perccedilus -Perception de risques importants vis agrave vis de la sauvegarde de la seacutecuriteacute le
responsable du SI craignait la survenue drsquoincidents pouvant impliquer des reacutepercussions
importantes sur des processus critiques Par exemple le responsable du SI craignait le risque
inheacuterent agrave la non sauvegarde drsquoun certain type de donneacutees qui aurait pu ecirctre perdu suite agrave un
crash informatique
-Aucune vision claire des activiteacutes couvertes ou non par le service informatique
lrsquoactiviteacute du service informatique souffre drsquoun manque de clarteacute tregraves important il est apparu
que certains processus nrsquoeacutetaient pas geacutereacutes alors que drsquoautres lrsquoeacutetaient deux fois
-Absence quasi totale de documentation technique il est apparu lors de lrsquoabsence
de lrsquoinformaticien lrsquoimpossibiliteacute de trouver certains documents critiques (mot de passe ou
configuration) pour des processus sensibles
-Impossibiliteacute de remplacer agrave court terme lrsquoinformaticien en cas de deacutefaillance
lrsquoactiviteacute du service informatique du fait de lrsquoabsence totale de documentation ne peut ecirctre
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
17
geacutereacute par quelqursquoun drsquoexteacuterieur agrave Cance notamment sur une tregraves courte peacuteriode Les
speacutecificiteacutes de Cance ne sont ainsi en aucun cas documenteacutees
-Impossibiliteacute de deacutefinir des orientations de gestion au SI du fait de lrsquoabsence
totale de clarteacute dans les activiteacutes du SI aucune strateacutegie ni orientation ne peuvent ecirctre mises
en place par le responsable du SI
-Impossibiliteacute de deacutefinir des controcircles et des objectifs viables pour le SI le
brouillard dans lequel sont les activiteacutes empecircche la mise en place drsquoindicateurs drsquoobjectifs et
de controcircle fiable
-Apparition de dysfonctionnements certains dysfonctionnements inquieacutetants sont
apparus impliquant la mise agrave plat des processus (sauvegarde non couvertehellip)
-Absence drsquoorganisation reacuteelle du fonctionnement du service informatique (Pareto)
lrsquoactiviteacute du service informatique obeacuteit agrave une loi de Pareto 90 du temps est occupeacute par
10 des activiteacutes Deacutes lors il convenait de mettre agrave plat celles- ci pour les automatiser
-Difficulteacute dans lrsquoeacutetablissement drsquoune structuration dans la formalisation des
proceacutedures la reacutedaction des proceacutedures par la personne en charge du processus informatique
eacutetait ralentie par son impossibiliteacute de formaliser un cadre ou un modegravele
-Vision parcellaire et non transversale de lrsquoactiviteacute du service informatique le
personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient
lrsquoactiviteacute informatique que comme un ensemble de certaines activiteacuteshellipet non une correacutelation
drsquoactiviteacutes inter- relieacutees
-Manque de temps pour prendre du recul et pouvoir formaliser la documentation
lrsquoinformatique est geacutereacutee par une seule personne les speacutecificiteacutes de Cance empecircchent toute
pause pour formaliser lrsquoactiviteacutehellip
Attente de Mr Prade Document deacutecrivant les processus lrsquoattente du maicirctre drsquoouvrage eacutetait de beacuteneacuteficier de
documents qui mis dans les mains de quelqursquoun de compeacutetent pourraient suppleacuteer agrave court
terme agrave lrsquoabsence de lrsquoadministrateur De plus cette description eacutetait deacutesireacutee pour
permettre de rajouter de la lisibiliteacute aux processus du SI et ainsi orienter ceux- ci et
potentiellement lancer des actions drsquoameacuteliorations Il convenait donc de mettre en place une
description des processus du SI ainsi qursquoune relation avec un reacutefeacuterentiel plus lisible pour un
non- initieacute
La description de processus permet de reacutefleacutechir sur lrsquoenchaicircnement des actions du
systegraveme drsquoinformation en drsquoautres termes la description des actions permet de deacutecrire qui
rentre en jeu dans les processus fournisseurs (interne ou externe) client controcircleurshellipCela
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
18
permet aussi de faire le point sur les actions et leurs deacuteroulements Le fait de deacutecrire le
deacuteroulement des actions permet de deacutefinir lrsquoexistant le perccedilu et le voulu Le but est ainsi de
voir srsquoil y a adeacutequation entre ce qui se passe et ce qui devrait se passer Lrsquoeacutecart deacutetecteacute pourra
faire alors lrsquoobjet drsquoactions de correction Le fait de deacutecrire la chronologie des tacircches permet
de voir les actions pouvant poser problegraveme De mecircme celagrave deacutefinit laquelle est porteuse de plus
de qualiteacute ou non qualiteacute conditionnant controcircle et action drsquoameacutelioration
Le fait de reacutepondre aux attentes des deacutecideurs ici Monsieur Prade devait permettre de
reacutesoudre tous les dysfonctionnements constateacutes en optant pour la description des processus
de maniegraveres geacuteneacuterales on reacutesoudrai bon nombre de problegravemes De plus lrsquoorientation de cette
description dans le sens de lrsquoadoption drsquoun reacutefeacuterentiel permettra lrsquoadoption des eacuteleacutements qui
font deacutefaut actuellement (controcircle gestion des risqueshellip)
2 Cahier des charges et orientation de la reacuteflexion
Orientation de controcircle En deacutebut de stage aucun indicateur nrsquoeacuteteacute preacutesent dans le SI Les objectifs de lrsquoanneacutee
2005 avaient 6 mois de retard certains de 2004 toujours non atteints Le DSI deacutesirait mettre
en place des controcircles afin de pouvoir orienter la gestion du SI de Cance Mon objectif
premier a donc eacuteteacute drsquoaider agrave la mise en place drsquooutils simples et fiables visant agrave ce controcircle
de lrsquoactiviteacute Cette constation a impliqueacute la recherche drsquoun reacutefeacuterentiel comprenant des pistes
au niveau des controcircles propositionshellip
Orientation vers des objectifs Lrsquoopaciteacute des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs
viables pour le SI Lrsquoaudit et la mise en place de controcircle a permis de deacutefinir de grande
orientations agrave celui ci notamment la mise en place drsquoune politique de stockage et
drsquoarchivage ensuite le deacuteveloppement drsquoun help desk plus eacutelaboreacute apte agrave deacutecharger la tacircche
de lrsquoadministrateur Cette situation de surcharge impliquait la mise en place drsquoun outil et
drsquoun reacutefeacuterentiel issus de meilleure pratique du meacutetier permettant une automatisation plus
grande et plus drsquoeacuteconomie de temps
La deacutefinition drsquoune documentation geacuteneacuterale peut aider agrave la gestion du service
informatique Le maicirctre drsquoœuvre lui voyait lrsquooutil plus comme une aide dans
lrsquoaccomplissement de sa mission notamment gracircce agrave une gestion des contrats et une aide dans
la mise agrave plat des processus laquo rares raquo
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
19
Deacutetection des risques le maicirctre drsquoouvrage craignait que la gestion de certains
processus ne soit pas suffisante pour empecirccher la survenue de risques notamment en matiegravere
de seacutecuriteacute ou stockage Ce besoin impliquait un audit preacutecis des processus On devait donc
trouver un reacutefeacuterentiel comprenant une meacutethodologie drsquoaudit strict et orienteacute sur la gestion des
risques
Deacutetection des processus non geacutereacutes Lrsquoaudit de la fonction du SI relegraveverait de fait
certains processus plus ou moins critiques non geacutereacutes Cela impliquerait de les deacutecrire et de les
mettre en place
Deacutefinition drsquoun cadre de travail Lrsquoadministrateur comptait sur lrsquooutil pour avoir
une organisation notamment de la documentation
En conclusion des demandes preacuteceacutedentes a eacuteteacute tireacute un cahier des charges plus geacuteneacuteral
mais neacuteanmoins strict
Cahier des charges -Cadre de reacuteflexion strateacutegique besoin drsquoun reacutefeacuterentiel orientant la reacuteflexion et de
controcircle geacuterant lrsquoaction
-Un outil consignant des objectifs et des controcircles axeacute sur lrsquoactiviteacute du service
informatique et plus geacuteneacuteralement du systegraveme drsquoinformation
-Meacutethode de deacutetection de gestion et de suivi des risques meacutethodologie drsquoaudit et
reacutefeacuterentiel axeacute sur les processus critiques (ou le risque est potentiellement plus important)
-Une meacutethodologie drsquoaudit Lrsquoaudit est une discipline qui exploite beaucoup le
savoir- faire et qui neacutecessite beaucoup de connaissances transversales Il convient donc de
choisir un reacutefeacuterentiel complet suffisamment preacutecis sans ecirctre trop complexe
-Un outil flexible lrsquoadministrateur reacuteseau ayant peu de temps il convenait que lrsquooutil
soit facilement geacuterable posteacuterieurement agrave mon deacutepart
-Une organisation le deacutefaut principal du SI actuel est un manque de structuration le
reacutefeacuterentiel adopteacute devait donc ecirctre suffisamment large et complet pour permettre drsquoapporter
une structuration correcte
En conclusion nous pouvons voir que Cance fait face agrave des problegravemes et des
dysfonctionnements plus organisationnels que techniques Le niveau tactique et strateacutegique
chapotant le niveau opeacuterationnel il convenait de choisir un outil et plus geacuteneacuteralement un
reacutefeacuterentiel qui soit geacuteneacuteral flexible et bien eacutevidemment porteur drsquoune organisation (audit
controcircle gestion des risques)
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
20
B Les reacutefeacuterentiels possibles
Il existe de nombreux reacutefeacuterentiels chacun ayant ses speacutecificiteacutes propres il convient
drsquoeacutetudier chacun en deacutetail
1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de
Cance
Choix drsquoun reacutefeacuterentiel Aucun des modegraveles actuels ne couvre agrave lui seul tous les besoins dune DSI Les
eacuteleacutements et le scheacutema suivant proposeacutes par Gartner offrent un cadre de seacutelection des
modegraveles et identifient les options permettant dobtenir un certain degreacute dorientation en
matiegravere de qualiteacute et de processus
ASL (Application
Services Library) listing des
Bonnes pratiques baseacute sur
lrsquooptimisation des processus
meacutetiers informatique et sur la
gestion des applications
CobiT (Control
Objectives for Information
and related Technology) le Cobit est geacuteneacuteraliste il veut fournir lrsquoadeacutequation entre les
processus meacutetier et informatique Son but est de fournir des pratiques des processus
minimum et des controcircles associeacutes agrave ceux- ci Avec un objectif fixeacute Cobit peut venir en
compleacutement drsquoItil en matiegravere de gestion du service informatique
ITIL (Information Technology Infrastructure Library) il srsquoagit drsquoun
regroupement structureacute de pratiques issues du monde professionnel pour aider agrave la mise en
œuvre des processus informatiques (approche meacutetier) Itil a pour objectif le respect drsquoun
objectif financier et qualitatif (non deacutepassement des coucircts qualiteacute deacutefini)
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
21
BS 15000 (ITIL implementation) cette meacutethode est issue drsquoItil et preacutecise certains
de ces domaines mise en place des processus informatiques contrat de services et controcircle
BTO (Business Technology Optimization) compleacutementaire drsquoItil dans une
approche meacutetier ce reacutefeacuterentiel veut geacuterer une deacutemarche qualiteacute en terme de gestion des
processus informatiques
CMMi (Capability Maturity Model) il srsquoagit purement drsquoun modegravele drsquoaudit afin
de deacuteterminer ougrave se situe lrsquoorganisation par rapport agrave une eacutechelle agrave 5 marches reprises
notamment par le Cobit Clairement il srsquoagit drsquoidentifier la maturiteacute drsquoun modegravele Cela ne
fournit aucune information pratique ou de gestion
Zachman (Zachman Framework) une approche transversale srsquoaxant sur la vision
des processus informatiques du point de vue de chacune des parties prenantes managers
opeacuterationnel concepteurhellipafin de geacuterer leurs interactions
ISPL (Information Services Procurement Library) modegravele speacutecialiseacute dans la
gestion de la relation fournisseurs lexternalisation de projets et la gestion de risques
MOF (Microsoft Operations Framework) crsquoest une aide aux deacuteploiements des
applications microsoft plus ou moins inspireacutee de la Cobit et Itil
TCO (Total Cost of Ownership) ce modegravele creacuteeacute par un le cabinet Gartner srsquoaxe
sur les coucircts et les investissements informatiques Celui -ci gegravere lrsquoobsolescence du mateacuteriel et
lrsquoinvestissement par rapport au service fourni ce en quoi il est lieacute agrave Itil
bITa (The Disaster Recovery Toolkit) ce modegravele srsquoaxe purement sur la reprise
apregraves un laquo deacutesastre informatique raquo
Autres meacutethodes adaptables au SI Six Sigma ISO9000
Pour finir nous pouvons donc voir que les choix sont multiples chaque reacutefeacuterentiel
ayant ses caracteacuteristiques et fondement propres certains sont geacuteneacuteraux drsquoautres sont plus
techniques ou au niveau drsquoabstraction diffeacuterent
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
22
Le tableau des pondeacuterations a eacuteteacute fait par mes propres soins en fonction de mes lectures
et de la synthegravese de deux tableaux (Cf liste bibliographique)
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
23
Apregraves pondeacuteration des diffeacuterents critegraveres ne sont retenus que le Cobit et le registre
Itil Le choix entre ces deux reacutefeacuterentiels nrsquoest pas aiseacute crsquoest finalement le Cobit qui srsquoest
imposeacute
Le choix de Cobit Quickstart Dans le cadre de cette enquecircte je nrsquoai pas choisi de trancher entre le Cobit et le Cobit
Quickstart En effet ces deux reacutefeacuterentiels sont identiques si ce nrsquoest que celui Quickstart est
beaucoup plus leacuteger tout en conservant la plus grande partie des attributs de la version
normale Aussi avant de choisir la version de Cobit il fallait que nous soyons sucircrs drsquoopter
pour ce type de reacutefeacuterentiel Le Cobit reacutepond aujourdrsquohui agrave toutes les attentes drsquoune entreprise
telle que Cance
Suite agrave lrsquoeacutetude succincte des diffeacuterentes possibiliteacutes de reacutefeacuterentiel on peut constater
que chacun pouvait potentiellement ecirctre mis en place reacutepondant plus ou moins agrave un ou
plusieurs critegraveres Chacun a son identiteacute type reacutepondant plus agrave des inspirations tactiques
strateacutegiques ou porteuses drsquoune meacutethode drsquoaudit drsquoune philosophie de gestion des risques des
moyens financiers ou autre Dans cette laquo jungle raquo de meacutethode le plus simple est drsquoopter pour
un reacutefeacuterentiel unique sans superposer 3-4-10 reacutefeacuterentiels parcellaires Le reacutesultat de ce choix
a eacuteteacute celui du Cobit dans lrsquoune ou lrsquoautre de ses versions la philosophie restant la mecircme
Cobit reacutepond agrave toutes les caracteacuteristiques de Cance Une orientation plus tactique et
strateacutegique un reacutefeacuterentiel geacuteneacuteral une meacutethode drsquoaudit et de controcircle et bien sur un
cadre une grille reacuteelle drsquoorganisation Cobit a pris le dessus sur une meacutethode telle qursquoItil
car orienteacute plus tactiquement plus structuranthellip
Le Cobit a une vision crsquoest distingueacute car plus axeacutee sur la strateacutegie et la tactique
reacutepondant agrave lrsquoorientation voulue par les deacutecideurs Le Cobit integravegre de mecircme une grille
drsquoaudit cet outil permet drsquoadopter une deacutemarche drsquoaudit Le Cobit permet aussi lrsquoadoption
drsquoun outil unique car prenant en compte tous les processus informatiques Le Cobit implique
de mecircme une orientation vers le controcircle vers la qualiteacute et la gestion des risques
Du fait de tous ces avantages le Cobit srsquoimposait comme le reacutefeacuterentiel adapteacute agrave un SI
en plein deacuteveloppement deacutejagrave fortement deacuteveloppeacute et vivant une carence organisationnelle
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
24
2 Documents et outils mis en place
Le choix drsquoun reacutefeacuterentiel tel que le Cobit a permis de deacuteterminer des outils de gestion
de processus orienteacute vers le Cobit Diffeacuterents outils ont eacuteteacutes proposeacutes une fiche processus une
fiche fournisseurs et diffeacuterents documents geacuteneacuteraux listing documents techniqueshellip
Lrsquointeacuterecirct mecircme de la gestion de processus est de pouvoir geacuterer un processus pour
geacuterer un processus encore faut il le comprendre Diffeacuterents eacuteleacutements peuvent permettre de
comprendre un processus son historique qui le fait comment avec quels eacuteleacutementshelliptous
ces renseignements ont eacuteteacute consigneacutes dans la fiche descriptive des processus
Fiche processus
Description de la fiche descriptive drsquoun processus2
La fiche descriptive a pour vocation la deacutefinition geacuteneacuterale du processus Cette fiche
a pour but de retracer les diffeacuterents eacuteleacutements qui composent un processus dans le bon
accomplissement de celui ci
La fiche descriptive de processus se deacutecompose en diffeacuterentes parties
-Une partie administrative
-Une partie environnement du processus
-Une partie processus
-Une partie objectif et controcircle deacutefinissant les points a controcircler drsquoun processus et ce
que doit comprendre un processus Cet outil deacutefinit de plus quels sont les points drsquoactions
drsquoun processus personne technologie application donneacutees installationhellip
La partie administrative deacutecrit les grands eacuteleacutements du projet il a pour vocation
purement indicative et permet un suivi du projet de mise en place de lrsquooutil et plus
geacuteneacuteralement du reacutefeacuterentiel Cette partie indique le reacutedacteur du document le responsable du
projet le code auquel correspond le processus dans le reacutefeacuterentiel Cobit ainsi que son nomde
mecircme est indiqueacute un code processus qui assure la liaison entre la structuration Cobit et
informatique la version et la date de modification
La partie speacutecifique du processus indique la situation actuelle du processus (selon
une eacutechelle deacutefinie) ainsi que le niveau agrave atteindre fixeacute par la politique strateacutegique du groupe
Le niveau actuel du processus est deacutefini lors des entretiens le niveau agrave atteindre est issu des
objectifs fixeacutes au service informatique que traduis en chiffres agrave partir de lrsquoeacutechelle de mesure 2 Annexe Fiche processus
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
25
deacutefinie Cet indicateur permet drsquoassurer une plus grande lisibiliteacute pour le gestionnaire dans la
fixation des objectifs et dans le repeacuterage de la situation Pour le personnel du SI il srsquoagit drsquoun
objectif agrave atteindre et un chemin agrave parcourir
Cette partie sert de mecircme au repeacuterage du processus dans son environnement La
fiche consigne les documents lieacutes agrave la fiche documents lieacutes au processus lui- mecircme
(exemple processus drsquoincident fiche drsquointervention) ou processus annexe Un processus a
souvent une origine et une destineacutee par exemple avant le parameacutetrage du progiciel Tiamp il
convient de lrsquoinstaller de mecircme par la suite il convient de mettre agrave jour ce logiciel
Le but du premier champ est de voir le processus de maniegravere plus concregravete en
indiquant les documents qui jalonnent le processus Cela permet aussi de preacutesupposer des
indicateurs de mesure Par exemple dans le cadre du processus de demande drsquointervention
un document relieacute est la fiche drsquointervention ici par exemple on peut fixer comme indicateur
de controcircle le pourcentage de demande drsquointervention reacutesolue et comme objectif 80
On indique de plus lrsquohistorique des processus qui permet de mecircme drsquoinduire une
reacuteflexion globale de qualiteacute au niveau de projet par Exemple le projet Tiamp drsquoERP Cela
pourrait de mecircme permettre lrsquoaccomplissement plus rapide de processus (deacutemarche de
raisonnement par deacuteduction dans le cadre drsquoincident ou accomplissement drsquoune suite de
processus installation parameacutetrage et MAJ corrective dans le cas de lrsquoinstallation drsquoun
nouvel ordinateur)
La fiche de processus deacutefinit le responsable du processus De cette maniegravere on
caracteacuterise les responsables des personnes geacuterant le processus On deacutefinit ensuite une
personne responsable du suivi Cette responsabiliteacute permet de deacutefinir la personne qui peut ecirctre
en charge de lrsquoestimation de lrsquoaccomplissement au niveau qualitatif du processus
On inclut une description du processus pour le rendre intelligible agrave tous On insegravere de
mecircme les donneacutees drsquoentreacutees qui sont neacutecessaires au bon accomplissement du processus
On caracteacuterise ici les documents qui jalonnent les processus ceux ci permettent de
renseigner de maniegravere pratique les tenants et les aboutissants du processus consigneacute crsquoest agrave
dire en pratique les documents drsquoentreacutee et de sortie
Un processus est ensuite caracteacuteriseacute par un but Celui -ci se deacutecompose toujours par
un objectif pratique qui permet drsquoexpliciter le pourquoi de lrsquoaction En deacutefinissant le
pourquoi on peut deacuteterminer de nombreuses autres informations
Pour cela il faut indiquer les critegraveres de satisfaction des clients du processus ici
deacutetermineacutes par le Cobit
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
26
Le cahier des charges des processus consiste agrave expliquer son deacuteroulement A lrsquoopposeacute
afin de deacuteterminer le risque de ne pas atteindre le reacutesultat du processus on doit deacuteterminer les
conseacutequences de cette non- reacuteussite Le risque indique le danger drsquoun processus permettant agrave
lrsquoopeacuterateur de prioriser les processus dans lrsquoaccomplissement de sa mission3 La
deacutetermination du risque et de la criticiteacute permet de fournir des critegraveres de performance des
critegraveres de mesure de qualiteacute dans lrsquoaccomplissement de la mission Ceux ci sont deacutefinis par le
reacutefeacuterentiel Cobit4 et la nature mecircme du processus
Les critegraveres de performance sont une base pour mesurer le processus Ces critegraveres se
doivent drsquoecirctre des objectifs compris et communiqueacutes La communication se fait aupregraves du
principal concerneacute lrsquoopeacuterateur mais aussi ceux qui exeacutecutent le processus crsquoest agrave dire les
usagers Lrsquoopeacuterateur perccediloit ce sur quoi il sera jugeacute alors que les opeacuterateurs perccediloivent ce agrave
quoi srsquoengagent leurs fournisseurs internes (inspireacute sur une organisation de clients et
fournisseurs internes)Ces critegraveres seront automatiseacutes en fonction du reacutefeacuterentiel choisi ici
Cobit
En parallegravele agrave ces critegraveres de performances drsquoordre geacuteneacuteral on ajoute des critegraveres plus
opeacuterationnels speacutecifiques agrave chaque processus Le but est de deacuteterminer des critegraveres
mesurables de qualiteacute de service Lrsquoexigence est un objectif de reacuteussite
Le dernier renseignement permet de consigner les ameacuteliorations agrave faire et agrave preacutevoir
Ces renseignements sont issus de lrsquoaudit que jrsquoai pu reacutealiser
Chaque fiche est relieacutee agrave une cateacutegorie de processus deacutefinie par le Cobit (Coin en haut
agrave gauche) Ce lien permet de deacutefinir de grandes indications reacuteparties sur les diffeacuterents
documents du Cobit
Se reacutefeacuterer au Cobit permet ainsi de deacutefinir avec les processus drsquoun SI
-Les facteurs cleacutes de succegraves4 indiquant que faire pour qursquoune action se deacuteroule bien
-Les indicateurs Cleacutes drsquoobjectifs indiquent les objectifs de tel ou tel processus
-Les indicateurs cleacutes de performances indiquent des ratios et controcircle concret agrave
controcircler sur un processus pour en deacuteterminer sa performance
Documents geacuteneacuteraux
Dans le cadre de la gestion du service informatique et plus geacuteneacuteralement du systegraveme
drsquoinformation on doit pouvoir beacuteneacuteficier des droits drsquoaccegraves sur les diffeacuterents eacuteleacutements du
3 Annexe eacutechelle de criticiteacute Cobit 4 Annexe Fiche processus tableau FCS ICO ICP
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
27
systegraveme informatique De fait ont eacuteteacute reacutealiseacutes deux documents reacutecapitulant les accegraves aux
sessions personnelles ainsi qursquoaux comptes administrateurs des serveurs5hellipCes documents
reacutepondent au besoin drsquoaccegraves agrave ces sessions en cas drsquointervention par un tiers lors de lrsquoabsence
de lrsquoadministrateur ou plus simplement agrave fournir un mot de passe oublieacute Ces listings
rassemblent de plus les renseignements neacutecessaires au bon accomplissement de la gestion du
service informatique (classification des droits documentation technique de lrsquoorganisation du
reacuteseauhellip)
La fiche de processus preacutecise des critegraveres geacuteneacuteraux mais ne deacutecrit pas reacuteellement ce
qui se passe Afin de pouvoir relayer lrsquoadministrateur en cas drsquoabsence ou afin de deacuteterminer
des pistes drsquoameacutelioration agrave suivre il faut pouvoir connaicirctre de maniegravere claire le deacuteroulement
drsquoun processus Dans ce but une repreacutesentation graphique srsquoaveacuterait plus claire et rapide agrave
comprendre De plus une repreacutesentation graphique srsquoavegravere beaucoup plus intuitive pour les
informaticiens comme pour les non- informaticiens
Choix drsquoun modegravele MCD MOT MLD
Un choix tel que celui du Cobit a impliqueacute par lagrave-mecircme plusieurs adaptations
theacuteoriques et opeacuterationnelles au niveau des outils de gestion de processus mis en place Le
passage drsquoun modegravele relativement obscur une organisation tregraves formelle impliquait des outils
flexibles et des modegraveles utilisables rapidement Le choix du MCT reacutepond agrave cette obligation
il srsquoagissait du modegravele le plus simple et le plus complet pour une organisation Les outils sont
aussi le reflet de cette constation ils se sont adapteacutes agrave lrsquoorganisation sans bureaucratie
inutile ils ont pour but drsquoindiquer toujours les renseignements les plus utiles sans jouer dans le
superflue tout en faisant reacutefeacuterence au cadre theacuteorique choisi le Cobit
En matiegravere de processus meacutetier de nombreux modegraveles peuvent se poser ou srsquoadapter
agrave la situation On peut par exemple citer MCD MOT MCT UML ou encore des
repreacutesentations speacutecifiquement deacutedieacutees BPMN (repreacutesentation meacutetier) A ce titre il a fallu
eacutetudier quelles repreacutesentations seraient les plus adapteacutees deacutefinir les attentes de lrsquooutil de
lrsquoutilisateurhellipLa repreacutesentation a pour but de deacutecrire la chronologie des actions faites dans un
processus attenant au systegraveme drsquoinformations
La repreacutesentation doit ecirctre simple compreacutehensible par une personne non initieacutee agrave la
structure de lrsquoorganisation En drsquoautres termes une personne professionnelle des techniques
5 Non preacutesent ici car confidentiels
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
28
ayant trait au systegraveme drsquoinformation doit pouvoir comprendre comment se deacuteroule le
processus Cette exigence srsquoexplique par le besoin de plus en plus marqueacute que Cance a vis agrave
vis de la sous traitance ou du remplacement rapide de lrsquoadministrateur par exemple La
repreacutesentation doit de plus ecirctre suffisamment claire pour une personne de Cance non initieacutee
du SI devant engager des actions correctives ou de controcircle par exemple
Il a donc fallu choisir entre diffeacuterents modegraveles MCD MLD MOT UML MCP
MRPhellipLe but eacutetait drsquoavoir une repreacutesentation simple montrant lrsquoenchaicircnement de proceacutedure
Cet enchaicircnement se jalonne de documents Le modegravele devait ecirctre suffisamment deacutetailleacute sans
lrsquoecirctre trop par permettre la reproduction du processus par une laquo personne raquo ne connaissant
pas le systegraveme voir mecircme pour un non- initieacute pour des tacircches simples
UML et les repreacutesentations meacutetiers srsquoaveacuteraient trop complexes pour ecirctre appliqueacutes
ici lrsquoadministrateur ne connaissant que la modeacutelisation de MCD et moi- mecircme ne
connaissant pas ce type de repreacutesentation il eacutetait illusoire de les adopter Drsquoautre part ces
modegraveles srsquoavegraverent difficiles agrave comprendre rapidement
Le MOT paraissait inutile en effet les interactions entre les personnes restent
minimes lrsquoactiviteacute informatique reste cloisonneacutee agrave quelques personnes rendant le MOT
inutile
Le MCD et le MLD ne srsquoaveacuterait pas assez deacutetailleacutes et surtout inadapteacutes agrave une
repreacutesentation processus complexe
Le MCT6 a eacuteteacute choisi car crsquoest celui qui srsquoaveacuterait le plus adapteacute alliant simpliciteacute
clarteacute et srsquoaveacutereacute suffisamment complet pour ecirctre exploitable
Fiche fournisseur Une fiche reacutecapitulative7 permet de syntheacutetiser toutes les relations avec les
partenaires exteacuterieurs Ces documents reacutecapitulent tous les eacuteleacutements pour geacuterer les relations
avec les fournisseurs (contact teacuteleacutephonehellip) La gestion du service informatique implique la
preacutesence de nombreux prestataires exteacuterieurs La preacutesence de ceux-ci implique des
interactions des reacutesultats un lien de causaliteacute un objectifhellip
Pour geacuterer ces relations il a eacuteteacute mis au point un fichier reacutecapitulant la plupart des
eacuteleacutements de la relation avec le fournisseur Cette relation va en srsquointensifiant au fil des
6 Annexe Modegravele de Processus MCT 7 Annexe Listing Fournisseurs
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
29
contrats de sous traitance du fait de la surcharge de travail que vit deacutejagrave le seul administrateur
du service informatique
La fiche fournisseurs8 contient des eacuteleacutements purement indicatifs le nom le
teacuteleacutephone le contact commercial la SAV et la description du contrat Ces informations ont
pour but de renseigner sur lrsquoidentiteacute du co-contractant
La fiche fournisseurs comprend aussi des eacuteleacutements aptes agrave responsabiliser les
personnes autour du processus Elle renseigne la personne responsable de la transaction
crsquoest agrave dire la personne qui engage le groupe On consigne aussi la personne responsable du
suivi qualitatif du produit apporteacute par les fournisseurs Ce jugement reste objectif et sert agrave la
deacutetermination drsquoun cahier des charges pour lrsquooutil futur notamment
De plus on renseigne la localisation du contrat crsquoest agrave dire le lieu ougrave il se trouve Ce
renseignement a une viseacutee purement laquo juridique raquo On doit pouvoir tregraves rapidement pouvoir
trouver les clauses juridiques applicables au contrat Ce document intervient dans la
conclusion des nouveaux contrats ou lors de la remise en cause drsquoun contrat preacutesenthellip
Ces clauses sont expliciteacutees dans la case peacuterimegravetre drsquointervention Cette partie
renseigne les modaliteacutes drsquointervention drsquoun fournisseur ce qursquoil est tenu leacutegalement de
fairehellipcrsquoest sur cette base que le fournisseur sera jugeacute
Dans le but de geacuterer financiegraverement les relations on indique une estimation financiegravere
des contrats Ces estimations vont servir agrave une budgeacutetisation prospective de lrsquoactiviteacute du SI
Cela permet de mecircme de faire valoir lors de neacutegociation avec des fournisseurs pour le
renouvellement drsquoun contrat ou un nouveau contrat
Les relations avec les tiers impliquent toujours un problegraveme dans le suivi qualitatif
des services apporteacutes Ceux-ci restent subjectifs (agrave lrsquoheure actuelle) mais pourront ecirctre de plus
en plus opeacuterationnels
Chaque processus sous-traiteacute implique aussi un risque9 il convient deacutes lors de juger
objectivement celui-ci Ces informations permettent de neacutegocier au mieux les contrats
-De juger du risque induit par un contrat et drsquoassocier des controcircles particuliers
-De deacutetecter des risques
-De se preacutemunir drsquoincidents
Pour faciliter la gestion des contrats on consigne aussi les dates de reacutesiliations et
renouvellement pour se preacutemunir de tout non renouvellement ou au contraire de
renouvellement tacite non voulu
8 Annexe Fiche fournisseur 9 Annexe Fiche processus et tableau drsquoeacutevaluation des risques
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
30
La gestion des processus qursquoils soient informatiques ou non implique que lrsquoon puisse
se reacutefeacuterer agrave des documents deacutecrivant ces mecircmes processus Il apparaicirct totalement illusoire
de vouloir critiquer ou juger drsquoun fait sans le connaicirctre dans ses moindres deacutetails Partant de
ce constat les besoins de la mission qui mrsquoa eacuteteacute deacutevolue mrsquoont imposeacute de creacuteer ces
documents les fiches processus les fiches fournisseurs et de nombreux documents
geacuteneacuteraux ont eacuteteacute creacutees dans ce but
Il est tout de mecircme reacuteducteur de consideacuterer que la mise en place de ces outils pourrait
ecirctre la solution agrave tous les problegravemes drsquoune organisation techniquement viable mais
passablement deacutesorganiseacutee En effet on est en droit de supposer que la viabiliteacute technique
srsquoexplique autrement que par la chance mais plutocirct par une maicirctrise du processus Partant de
ce constat il convenait de pouvoir orienter le SI agrave un niveau autre qursquoopeacuterationnel car tel est
le but agrave long terme Crsquoest dans ce but que le choix drsquoun reacutefeacuterentiel crsquoest poseacute le reacutefeacuterentiel
Cobit plus que tout les autres agrave pour but de donner une vision tactique et strateacutegique tout en
chapotant le coteacute opeacuterationnel
Le Cobit comme reacutefeacuterentiel devrait permettre de structurer notre description des
processus assureacute par les outils mis en place mais devrai aussi non seulement permettre gracircce
agrave son ideacuteologie et outil qursquoelle apporte les conditions permettant la reacuteussite du SI Ces
outils tel que la meacutethodologie drsquoaudit les outils de controcircle ou encore les questionnaires
speacutecifiques ont pu ecirctre exploiteacutes en collaboration avec drsquoautres meacutethodes drsquoaudit classique et
nous allons voir en quoi dans une seconde partie
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
31
II Un Projet drsquoaudit dans lrsquoorientation
strateacutegique du SI
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
32
Lrsquoaudit est une de ces matiegraveres qui tout en eacutetant tregraves structureacutee dans sa meacutethode fait
appel a beaucoup de savoir faire et drsquoexpeacuterience La meacutethodologie drsquoaudit mecircme lieacutee a celle
du Cobit ne fait pas exception agrave cette regravegle
A Meacutethodologie drsquoaudit et le Cobit
Lrsquoaudit reacutepond agrave une meacutethode comme cela va ecirctre eacutetudieacute dans ce dossier la
deacutemarche drsquoaudit structureacutee chronologiquement rigoureuse dans sa meacutethode et dans son
raisonnement a ducirc srsquoadapter agrave lrsquoorganisation et surtout agrave ses acteurs faute de quoi les reacutesultats
fondement drsquoune enquecircte drsquoaudit auraient pu ecirctre fausseacutes Par le fait la meacutethode a reacutepondu agrave
des impeacuteratifs par rapport au Cobit agrave lrsquoAudit et aussi par rapport agrave lrsquoentreprise Celle ci fut
rigoureuse tout en srsquoadaptant aux laquo modaliteacutes du jourraquo
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit
Lrsquoaudit se deacutefinit comme une bonne application de proceacutedure comptable financiegravere ou
autre De part sa deacutefinition lrsquoaudit est un examen meacutethodique drsquoune situation par une
personne indeacutependante et compeacutetente Lrsquoobjectif est de veacuterifier la validiteacute des eacuteleacutements
qursquoelle controcircle Cela implique la veacuterification des faits veacuterifier les normes et proceacutedures qui
controcirclent ces faits
Pour conclure lrsquoauditeur exprime une opinion deacutenoteacutee agrave travers un rapport
circonstancieacute par rapport agrave des normes Une meacutethodologie drsquoaudit se deacuteroule en trois phases
La premiegravere eacutetape deacutefinit les objectifs on cadre la mission On prend connaissance
de lrsquoentreprise son environnement acteurs objectifshellipOn deacutefinit la strateacutegie de
lrsquoorganisation son modegravele ses tactiques notamment par rapport au SI
La suite passe par lrsquoeacutetude des moyens et actions mises en places Tous ces eacuteleacutements
se sont deacuterouleacutes anteacuterieurement agrave mon stage (3 semaines) lrsquoentreprise mrsquoayant laisseacute agrave
disposition sa politique geacuteneacuterale et sa strateacutegie ses objectif (SI) un audit du SI effectueacute en
2002 ainsi que diffeacuterents documents en rapport avec son environnement
La seconde eacutetape a eacuteteacute un programme preacutevisionnel celui-ci a preacutesenteacute mon plan
drsquoaudit
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
33
La suite de la mission est deacutefinie par la reacutealisation du plan de travail10 Il eacutetait deacutefini
des tacircches et actions auquel on a alloueacute des moyens (humains mateacuterielhellip) On valide ensuite
ce programme Celui ci a eacuteteacute tregraves succinct dans mon cas ceci srsquoexpliquant par une mission
tregraves longue des disponibiliteacutes tregraves diffeacuterentes et surtout par lrsquoeacutetendue de la mission
Ce programme est conclu par lrsquoexeacutecution de la mission11 Ce deacuteroulement passe par
la collecte des informations conclu par leurs analyses et leurs synthegraveses
Cette eacutetape se termine par un rapport drsquoaudit12 En soi la mission drsquoAudit nrsquoest
jamais deacutefinitivement finie il srsquoagit drsquoinformer des reacutesultats et de veacuterifier la mise en place
des recommandations formuleacutees Dans une mission drsquoaudit le principal risque est de
srsquoeacuteparpiller drsquoautant quand cette mission est large et les attentes grandes (problegraveme
habituellement non souleveacute)
Le rapport que jrsquoai produit obeacuteit au formalisme de tout rapport drsquoaudit
Un rappel de la mission expliquant situation et mission
La description des actions opeacutereacutees deacutetailleacutees et dateacutees (ici non renseigneacute car fait en
interne et connu)
Le rapport se conclut sur des recommandations et des solutions deacutetailleacutees et planifieacutees
La meacutethodologie ici preacutesente srsquoapplique agrave toute mission drsquoaudit y compris pour une
mission comprenant le reacutefeacuterentiel Cobit Le Cobit apporte des outils suppleacutementaires aidant agrave
la mener drsquoaction drsquoaudit speacutecifique aux processus informatique comme deacutecrit dans la partie
suivante
2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit
Le Cobit propose tout drsquoabord une eacutechelle de mesure du processus13 Celle ci permet de
deacutefinir ougrave le processus se situe par rapport agrave une grille drsquoestimation du Cobit pour chaque
processus le Cobit deacutefinit un niveau drsquoaboutissement Ce niveau est caracteacuteriseacute par diffeacuterentes
actions ou faccedilons de penserhellipCes renseignements permettent de deacutefinir ougrave se situe le
processus selon une eacutechelle agrave 6 barreaux Inexistant initialiseacute au cas par cas reproductible
mais intuitif deacutefini geacutereacute et mesurable optimiseacute
Le second outil est le guide drsquoaudit14 celui-ci deacutefinit pour celui qui interroge
qui est concerneacute par tel ou tel processus responsable IT dirigeant responsabiliteacute du SIhellip
10 Annexe Diagramme de Gantt programme preacutevisionnel 11 Annexe Diagramme de Gantt reacuteel 12 Annexe Rapport drsquoaudit 13 Annexe Echelle de mesure processus 14 Annexe Guide drsquoaudit
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
34
-Quels documents ou informations il doit rassembler documents proceacutedures
politiques compte rendu strateacutegie ou budget
-Quels controcircles il doit veacuterifier et quels outils
-Quels risques cateacutegoriser et identifier
Le Cobit propose aussi des outils de mise en œuvre du Cobit15
-Un questionnaire drsquoenquecircte destineacute a deacutefinir si le Cobit est adapteacute diagnostique de
sensibilisation
-Un tableau reacutecapitulatif des processus de lrsquoaudit
-Un tableau indiquant les interactions possibles entre lrsquoinformation et les processus
Internetintranet architecture reacuteseauxhellip
-Des formulaires permettant de deacutefinir des indicateurs pour les processus risques
serviceshellip
Dans le cas de ma mission les deux meacutethodologies se sont cumuleacutees en deacuteterminant ce
deacuteroulement de la mission 16
-Prise de contact avec lrsquoentreprise phase de prise de connaissance de lrsquoentreprise
Cette phase a consisteacute dans la prise de connaissance geacuteneacuterale de lrsquoorganisation du SI de son
environnement fournisseurs clients organisationhellipCette prise de connaissance est aussi
passeacutee par la meneacutee drsquoaudit geacuteneacuteraux de la fonction informatique interview drsquoutilisateur
inventaire physique et logiciel
-Etude des reacutefeacuterentiels potentiels cette phase srsquoest deacuterouleacutee anteacuterieurement au
deacutebut du stage deacutes les premiers entretiens avec mon tuteur de stage Cette phase srsquoest conclue
par la forte probabiliteacute drsquoadopter le reacutefeacuterentiel Cobit en version Quickstart Cette phase de
recherche srsquoest donc deacuterouleacutee drsquoune part
-sur un laps de temps drsquoune semaine anteacuterieurement au stage servant agrave la deacutetection des
reacutefeacuterentiels potentiellement applicables
- drsquoautre part sur une peacuteriode de trois agrave quatre semaines pendant le deacutebut du stage
dans le but de deacutefinir les besoins reacuteels de Cance vis agrave vis du reacutefeacuterentiel agrave mettre en place
15 Annexe Outils de mise en œuvre du Cobit 16 Oral Diagramme de Gantt reacuteel
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
35
-Deacutefinition de la situation et des attentes envers le reacutefeacuterentiel cette eacutetape a eacuteteacute la
syntheacutese des attentes et de la situation et srsquoest conclue par lrsquoadoption du cahier des charges du
reacutefeacuterentiel (Cf Premiegravere partie) Celle-ci a eacuteteacute opeacutereacutee avant tout choix
-Choix du reacutefeacuterentiel
Ce choix a eacuteteacute conclu en fin de stage mecircme si lrsquoorientation donneacutee agrave lrsquooutil a eacuteteacute faite tregraves tocirct
Il srsquoagissait plus drsquoune approbation plus qursquoune validation Ce choix a composeacute la
premiegravere partie de mon stage et mecircme de la peacuteriode preacuteceacutedant mon stage Cette peacuteriode allant
du mois preacuteceacutedant mon stage au premier mois de mon stage a consisteacute
-agrave la deacutetermination drsquoune meacutethode drsquoaudit
-agrave la deacutetermination de la situation de lrsquoentreprise
-agrave la deacutefinition drsquoun cahier des charges applicable au reacutefeacuterentiel
-agrave la deacutetermination des reacutefeacuterentiels potentiellement applicables
-agrave le croisement des exigences et des solutions proposeacutees
-Deacutetermination drsquoun outil adapteacute au reacutefeacuterentiel Cette phase a pris beaucoup de
temps Il a fallu tout drsquoabord deacuteterminer les besoins du maicirctre drsquoouvrage le DSI puis
prendre en compte les neacutecessiteacutes imposeacutees par le maicirctre drsquoœuvre agrave savoir lrsquoadministrateur du
parc Cette phase a neacutecessiteacute beaucoup de temps en effet chacun deacutesirait rester sur ses
positions De plus lrsquoacceptation de lrsquooutil devait passer par beaucoup de neacutegociations
-Validation de lrsquooutil par les deux parties et neacutegociation Cette validation srsquoest faite
non sans problegraveme notamment sur la forme de lrsquooutil plus que sur le fond Le maicirctre
drsquoouvrage deacutesirait une forme papier structureacutee sur le modegravele du Cobit A lrsquoopposeacute la forme
qui aurait eacuteteacute la plus adapteacutee dans la gestion de lrsquooutil eacutetait sous la forme drsquoune base de
donneacutees (Cf Choix de lrsquooutil)
Par la suite la mission drsquoaudit srsquoest deacuterouleacutee de maniegravere classique (comme deacutefini plus
haut)
-Audit de la fonction informatique (deacutetailleacute plus haut) Cet audit a consisteacute en la
deacutetection des principaux processus dans leurs globaliteacutes leurs organisations et leurs
structurations Il srsquoagissait aussi de faire le point sur la situation
Le deacuteroulement de la mission drsquoAudit a permis le choix du reacutefeacuterentiel
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
36
-Reacutedaction des documents Audit des processus
Cette phase drsquoaudit est intervenue semaine 24 avec 3 agrave 4 semaines de retard (suite agrave
lrsquoavancement du projet stockage et au ralentissement en raison drsquoune certaine reacutesistance aux
changements) Actuellement 80 processus ont eacuteteacute auditeacutes 10 restent en cours de reacutedaction 17
cateacutegories nrsquoont pas eacuteteacute pris en compte (non pertinentes) Finalement une 60aine de processus
ont eacuteteacute inteacutegralement deacutecrits une 30aine partiellement et enfin 10 deacutelaisseacutes parce que non
critiques Cette phase drsquoaudit est passeacutee par le rattachement de chacun des processus du Cobit
agrave la personnalisation des objectifs et des controcircles des processus Aussi 5 grands controcircles ont
eacuteteacute proposeacutes actuellement et ont eacuteteacute mis en place beaucoup sont planifieacutes
Lrsquoaudit et la meacutethodologie de mise en place drsquooutil de gestion de processus passe donc
par des eacutetapes strictes et deacutefinies Dans le cas de cette mission cette meacutethodologie a vu un
meacutelange de deux meacutethodes compleacutementaires qui a permis la meneacutee de deux missions toutes
aussi compleacutementaires la mise en place drsquooutils de gestion de processus orienteacute vers le
reacutefeacuterentiel Cobit et la meneacutee drsquoun Audit axeacute sur un reacutefeacuterentiel Cobit
B Les reacutepercussions opeacuterationnelles
Lrsquoeacutetude drsquoautant de processus permet de mener un reacuteel audit en profondeur Le fait de
devoir deacutecrire les processus permet de les auditer en mecircme temps de fait jrsquoai pu tout au cours
du stage mener une bonne dizaine de missions drsquoaudit distinctes dont le reacutesumeacute suit
1 Audit technique
Helpdesk A mon arriveacutee chez Cance le projet de la mise en place drsquoune mini- cellule help desk
avait deacutejagrave eacuteteacute initialiseacutee la direction ainsi que le service informatique se sont mis drsquoaccord sur
le besoin de mettre en place une certaine organisation dans le cadre de la reacutesolution des
incidents et des aides aux utilisateurs
Dans ce cadre jrsquoai pu participer agrave la deacutefinition drsquoun mini- cahier des charges en
matiegravere drsquooutil destineacute au help desk Cance ne disposant pas des moyens et nrsquoayant pas une
taille suffisante le service informatique voulait srsquoorienter vers un logiciel creacuteeacute en interne ou
en externe suffisamment deacuteveloppeacute pour pouvoir geacuterer et organiser le service du help desk
mais neacuteanmoins suffisamment souple et geacuteneacuteral pour ne pas ralentir lrsquoactiviteacute du help desk
par lrsquoajout drsquoune bureaucratie informatique inutile
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
37
Jrsquoai donc pu apregraves deacutefinition des besoins dans un mini cahier des charges proposer
diffeacuterents outils aptes agrave ecirctre mis en place chez Cance Jrsquoai ainsi pu tester une dizaine de
solutions sous forme GPL (ainsi que drsquoautres payantes) et proposer les fonctionnaliteacutes
minimum drsquoune application creacuteeacutee en interne
A ce jour le choix est celui drsquoune solution en interne qui actuellement finie et reste
en phase de deacuteploiement
Sauvegarde Le processus de sauvegarde a eacuteteacute auditeacute tregraves tocirct dans le stage celui-ci bien que
apparemment fiable nrsquoeacutetait pas agrave lrsquoabri drsquoun deacutefaut des supports (reacutesolu durant ma mission) et
drsquoun deacutefaut humain (mauvaise manipulation ou non respect des consignes) La deacutetection du
risque au niveau mateacuteriel a eacuteteacute reacutesolue neacuteanmoins le risque humain reste flou et irreacutesolu
Teacuteleacutephonie Cance dispose de nombreux fournisseurs en matiegravere de teacuteleacutephonie ainsi que de
multiples contrats La situation de la teacuteleacutephonie mrsquoayant sembleacute tout particuliegraverement critique
(30 du budget du SI) jrsquoai deacutecideacute drsquoaller plus en avant dans cette mission Jrsquoai donc proceacutedeacute
agrave un audit des contrats (reacutepertorier qualifierhellip) harmoniser reacutegulariser et reneacutegocier
certains drsquoentre eux Dans ce cadres jrsquoai participeacute agrave la reneacutegociation des contrats aupregraves du
fournisseur en location de mateacuteriel reacutefleacutechi agrave lrsquoorientation technologique vers le Centrex IP
opeacutereacute un changement drsquoopeacuterateur pour la filiale de lrsquoIle de la Reacuteunion harmoniser tous les
contrats France Telecom et Colt auditeacute le dimensionnement de la plate forme GSM opeacutereacute un
audit de dimensionnement des forfaits GSM Pour finir en plus des recommandations
formuleacutees jrsquoai eacutetabli un modegravele de tableau de bord17 pour les consommations teacuteleacutephoniques
fixes ainsi qursquoun tableau de bord automatiseacute pour les GSM Ces deacutemarches se sont
accompagneacutees drsquoune initiation drsquoune meacutethode de Cost Killing Ma deacutemarche a permis une
eacuteconomie estimeacutee apregraves de 200 euro par mois auquel il faudrait inclure les recommandations de
mes audits sans compter une simplification importante de la gestion de la teacuteleacutephonie
Inventaire physique Au tout deacutebut de mon stage jrsquoai ducirc reacutealiser un inventaire physique des postes de
travail et imprimantes Cet inventaire reacutealiseacute gracircce au logiciel Synexis inventory (logiciel
drsquoaudit de poste) a eu pour but la veacuterification du dimensionnement du parc notamment
drsquoimprimantes (deacutemarche de Cost Killing et mutualisation des moyens) De plus cet 17 Annexe Tableau de bord GSM et Teacuteleacutephonie
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
38
inventaire a permis le lrsquoeacutepuration des biens informatiques18 injustement compris dans le
bilan En effet un audit rapide avait diagnostiqueacute un surdimensionnement et certaines erreurs
sur lrsquoestimation du parc Ce nettoyage comptable a pour but la reacuteduction de la taxe
professionnelle qui prend en compte ce mecircme parc informatique Drsquoautre part cela a permis
aussi la mise en place drsquoune reacuteelle gestion des biens en leasing (Parc drsquoordinateurs Dell)
Cet inventaire srsquoest termineacute par la veacuterification de la bonne protection des mateacuteriels
vis-agrave-vis des assurances
Choix financier
La poursuite drsquoun inventaire physique ayant eacuteteacute tregraves riche en sources drsquoinformations
jrsquoai pu reacutealiser un audit en matiegravere de choix drsquoinvestissement (location achat creacutedit bail) et
reacutealiser des veacuterifications comptables rapides (veacuterification de la justification de certains
paiements opaques en matiegravere drsquoinformatique)
Gestion logiciel et licence Lrsquoaudit19 meneacute du point de vue leacutegal a tregraves vite abouti agrave la conclusion qursquoil fallait faire
un point sur la gestion des licences chez Cance Jrsquoai donc pu faire un inventaire logiciels
veacuterifier la conformiteacute des logiciels installeacutes par rapport aux licences geacutereacutees notamment dans
le cadre du respect de la charte des NTIC mis en place chez Cance (charte rappellent au
personnel le regraveglement interne par rapport aux NTIC)
Deux points marquants ont influeacute sur ma reacuteflexion
-surenchegravere constante et une explosion du budget deacutedieacute aux logiciels qui repreacutesentent
21 du budget chez Cance contre 18 dans le mecircme secteur A ce titre jrsquoai donc proposeacute un
panel de solutions en logiciels libres pouvant supplanter les logiciels commerciaux
-une gestion des licences deacutefaillante les logiciels sont installeacutes au tout-venant sans
que lrsquoon sache agrave priori si lrsquoon dispose drsquoune licence ou non De plus de nombreuses versions
se cocirctoient Partant de ce constat jrsquoai pu faire un point sur la situation logicielle vis-agrave-vis des
licences eacutetablir une proceacutedure de gestion de licences et enfin proposer un outil pour geacuterer
celles-ci en collaboration avec Synexis inventory
2 Audit orienteacute organisation et strateacutegie
Audit leacutegale
18 Annexe rapport drsquoaudit Inventaire physique 19 Annexe Rapport drsquoaudit logiciel
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
39
Qui dit SI dit information et donc base de donneacutees il est tregraves vite apparu une carence
totale en matiegravere leacutegale vis-agrave-vis des obligations inheacuterentes aux bases de donneacutees A ce titre
jrsquoai donc pu reacutealiser un audit leacutegal20 reacutesumant les obligations de Cance vis-agrave-vis de la Cnil
ou encore de la nouvelle loi en la confiance en lrsquoeacuteconomie numeacuterique Jrsquoai chercheacute agrave deacutetecter
de potentiels bases de donneacutees agrave deacuteclarer en indiquant aussi la forme de deacuteclaration agrave adopter
ainsi que les dispositions agrave prendre si il y avait lieu De plus en matiegravere leacutegale jrsquoai aussi veacuterifieacute
le respect des obligations leacutegales vis agrave vis de la vie priveacutee des employeacuteshellipCet audit a aussi
compris lrsquoeacutetude du site Internet wwwcancefr ainsi que les obligations par rapport agrave la charte
des NTIC (regraveglement inteacuterieur NTIC et leurs utilisations)
Intranet Mon arriveacutee chez Cance srsquoest faite en parallegravele agrave une reacuteflexion sur la mise en place
drsquoun intranet Dans ce cadre- lagrave jrsquoai pu reacutealiser une partie du cahier des charges21 en rapport
avec celui-ci Jrsquoai proposeacute les applications potentielles de celui-ci ainsi que les eacutecheacuteances
pouvant ecirctre abordeacutees jrsquoai aussi pu apporter mon eacuteclairage au niveau de la politique de
protection des donneacutees et sur les choix techniques en rapport avec celle-ci
Stockage Cette partie devait ecirctre initialement la plus grosse partie de ma seconde mission Ma
vision transversale de lrsquoorganisation de Cance aurait ducirc me permettre drsquoinitier une reacuteflexion
sur la structuration du reacuteseau de stockage de Cance22 notamment sur les implantations en
dehors du site- megravere Cet objectif avait pour but de permettre une plus grande homogeacuteneacuteiteacute
dans les organisations drsquoameacuteliorer le partage de donneacutees ainsi que de reacutealiser des eacuteconomies
de place non neacutegligeable Ma mission mrsquoa permis drsquoeacutetablir en collaboration avec 4
personnes deux architectures de stockage23 aptes agrave ecirctre mis en place prenant en compte non
seulement la situation actuelle (que jrsquoai auditeacute) mais aussi les orientations du groupe (monteacute
en charge de filiales rocirclehellip) Preacutealablement agrave toute mise en place agrave grande eacutechelle il a eacuteteacute
convenu que cette structuration serait testeacutee Ce test a eacuteteacute reacutealiseacute sur un service celui des
bacirctiments agricoles comprenant 4 utilisateurs et 2 en teacuteleacutetravail Apregraves cette mise en place
diffeacuterents problegravemes sont apparus
-manque de temps dans la reacutealisation de cette mission
20 Annexe audit leacutegal 21 Annexe rapport sur lrsquointranet 22 Annexe Audit sur le stockage 23 Annexe Structuration du stockage reacuteseau
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
40
-demande de formation tregraves importante en inadeacutequation avec le temps estimeacute et avec
mes possibiliteacutes
-mauvais moment le public touchant agrave lrsquoinformatique est agrave lrsquoheure actuelle
bouleverseacute par de nombreux projets en cours de deacuteploiement mise en place geacuteneacuteraliseacutee de
lrsquoERP Tiamp en V3 mise en place du logiciel interne de devis
-impossibiliteacute drsquoassurer une teacuteleacuteformation viable sur les agences
Neacuteanmoins lrsquoaudit reacutealiseacute a permis de
-deacutetecter et former les services agrave problegravemes
-reacutediger des recommandations et des fiches formation pour lrsquoorganisation du reacuteseau
-initier une deacutemarche de stockage en matiegravere de courriel
-deacutegagement de ressources important gracircce agrave un meilleur stockage mutualiseacute
Archivage Un audit rapide du stockage chez Cance a releveacute de nombreux problegravemes au niveau
du stockage jrsquoai donc attireacute lrsquoattention de la direction sur ce point et jrsquoai notamment pu initier
cette deacutemarche chez le service agricole permettant de deacutegager des ressources de stockage
Tableau de bord Le but drsquoun audit est de deacutetecter les problegravemes et de proposer des ameacuteliorations agrave ce
titre Il est tregraves vite apparu que faute drsquoinstrument de controcircle viable le SI de Cance eacutetait geacutereacute
bon greacute mal greacute sans reacuteellement savoir si les volonteacutes strateacutegiques de la direction eacutetaient
reacuteellement respecteacutees De fait jrsquoai donc proposeacute diffeacuterents indicateurs ainsi que plusieurs
tableaux de bord24
-Tableau de bord teacuteleacutephonie destineacute au service informatique (suivi des
consommations de dimensionnement et des contrats)
-Tableau de bord geacuteneacuteral du SI destineacute aux deacutecideurs et au service informatique
Faute de grands indicateurs et faute de reacuteelle comparaison possible les choix tactiques se sont
faits pour la plupart avec succegraves gracircce au bon sens neacuteanmoins dans le contexte actuel de
concurrence exacerbeacutee et de neacutecessaire compeacutetitiviteacute il est apparu le besoin de se situer par
rapport agrave la concurrence au niveau du SI drsquoinformation et des moyens mis en place
-Proposition de tableau de bord pour la cellule help desk ce tableau de bord a pour
objectif la deacutetection et la reacutesolution prospective des incidents notamment par la deacutetection de
carence de formation ou par la reacutesolution des problegravemes reacutecurant agrave leurs sources mecircme
-Proposition drsquoindicateurs seacutecuriteacute antivirus courriel stockage coucircthellip 24 Annexe Tableau de bord (Chiffres confidentiels)
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
41
Budget Jusqursquoagrave preacutesent lrsquoinformatique fonctionnait au tout venant sans budget ni limite
preacutevue ni objectif de coucirct Cette carence a mis en deacutefaut le groupe au niveau de certains
projets (explosion des coucircts de lrsquoERPhellip) Au vu des nombreux deacutefis agrave relever il est apparu
neacutecessaire drsquoinitier une deacutemarche de budgeacutetisation des coucircts informatique et teacuteleacutephonique
aptes agrave faire les bons choix strateacutegiques et aptes agrave orienter les choix tactiques De fait par une
deacutemarche parallegravele au cost killing que jrsquoai pu effectuer et en parallegravele agrave lrsquoeacutelaboration des
tableaux de bord du SI je me suis inteacuteresseacute agrave lrsquoeacutelaboration drsquoun modegravele de budget25 Ce
budget 2006 en cours de validation srsquoest baseacute sur lrsquoeacutevaluation des coucircts de 2005 et de 2004
et cette meacutethode permettra une gestion reacuteelle du budget drsquoanticiper les deacutepassements voir
mecircme de les rectifier
Respect de la charte des NTIC En deacutecembre de cette anneacutee une charte des NTIC26 a eacuteteacute eacutediteacutee par le groupe qui
constatant des abus dans lrsquoutilisation des NTIC a tenu agrave rappeler les regravegles agrave respecter
Beaucoup de processus gravitant autour de cette charte je me suis inteacuteresseacute agrave son respect par
les usagers sa viabiliteacute et sa leacutegaliteacute Il est ressorti que certains abus neacutecessitaient un rappel agrave
lrsquoordre mais surtout que de nombreux abus eacutetaient issus drsquoune non- prise de conscience des
risques ou des problegravemes engendreacutes par certaines actions voir mecircme lrsquoimpossibiliteacute de se
passer de ces dites actions (du type eacutechanger les mots de passehellip) De fait il mrsquoa paru bon de
faire un petit rappel et surtout drsquoexpliquer lrsquoutilisation de la charte et sa raison drsquoecirctre
Etude des attentes des utilisateurs Pour initier des deacutemarches drsquoameacutelioration encore faut- il savoir comment est perccedilu le
service informatique par les utilisateurs Il faut de mecircme savoir quelles sont leurs attentes des
entretiens orienteacutes permettent de comprendre quels sont les besoins vis-agrave-vis de
lrsquoinformatique ainsi que leur perception A ce titre il a eacuteteacute reacutealiseacute au cours des entretiens un
audit de la perception du service informatique27 De plus deux modegraveles de questionnaires
ont pu ecirctre eacutetablis
25 Annexe Budget 2006 (Chiffres Confidentiel) 26 Annexe Rapport drsquoaudit charte des NTIC 27 Annexe Rapport drsquoaudit de la vision de la fonction informatique
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
42
Conclusion Cance une gestion des processus lieacutee au
Cobit en plein deacuteveloppement
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
43
Reacutesultats Environ 50 fiches fournisseurs
80 fiches processus
Dizaines modegraveles de processus
4 laquo tableaux de bord raquo
Documents geacuteneacuteraux (listing drsquoaccegraves listing fournisseurshellip)
Budget 2006
1 Choix drsquoun reacutefeacuterentiel Cobit Quickstart
1 inventaire physique un logiciel
1 planning drsquoaction
3 reneacutegociations commerciales drsquoimportance
2 questionnaires
35-40 entretiens
Economie mensuelle estimeacutee agrave 300 euro mensuel
Actions commerciales de demande de remboursement et reacuteduction commerciale
Approximativement 60p de rapport drsquoAudit geacuteneacuterale ou speacutecifique
Les entreprises du bacirctiment ne sont pas reacuteputeacutees pour leurs caractegraveres innovants
historiquement plus porteacutees sur la production que sur les services supports (marketing
informatique controcircle de gestionhellip) Cance est de celle ci cet eacutetat de fait doit changer
Cance est donc une entreprise dont le systegraveme drsquoinformation a exploseacute en quelques
anneacutees Face agrave cette explosion des techniques et des fonctions ni les meacutethodes
drsquoorganisations ni une certaine rationalisation des actions ne sont venues structurer le
systegraveme
Aujourdrsquohui le SI a besoin de se structurer de srsquoorganiser sans laquo reacuteinventer la
poudre raquo Le SI nrsquoest pas ce que lrsquoon peut appeler un domaine strateacutegique chez les entreprises
du bacirctiment et lrsquoadoption drsquoun reacutefeacuterentiel a eacuteteacute vu comme le moyen le plus efficace le plus
complet et le plus rapide pour se doter drsquoune organisation permettant de geacuterer les moyens les
risques et bien sur les actions Deacutes lors il a fallu srsquointerroger sur les besoins de Cance et ses
attentes dans lrsquoadoption drsquoun reacutefeacuterentiel
Le SI chez Cance est devenu complexe couvrant de nombreux processus divers de
nombreux fournisseurs et par lagrave-mecircme de nombreux risques Face agrave une carence
organisationnelle Cance a ducirc faire face agrave une absence quasi totale de documentation un
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
44
manque de clarteacute certain dans les actions meneacutees mais aussi dans les objectifs mecircme de son
SI
Le Cobit dans sa version Quickstart srsquoavegravere semble trsquoil le reacutefeacuterentiel le plus adapteacute
reacutepondant agrave la probleacutematique de Cance et plus geacuteneacuteralement des entreprises dans son cas Ce
reacutefeacuterentiel se conccediloit dans le cas des entreprises importantes complexes (icirclot complexiteacute de
productionhellip) doteacutees de moyens importants (ERP Site web logiciels interneshellip) et agrave
lrsquoorganisation deacutestabiliseacutee bien qursquoayant des processus efficaces (fiabiliteacute du SI et reacutesultats
importants)
Lrsquoadoption du Cobit a une conclusion toute logique la mise en place drsquooutils de
gestion processus la meneacutee drsquoaction drsquoaudit la meneacutee drsquoactions de correction la mise agrave
plat et la structuration de lrsquoorganisation Le choix du Cobit a permis de mettre en place des
outils deacutecrivant lrsquoenvironnement (fournisseurshellip) les processus (fiche processus action
descriptive documentation technique) et lrsquoorganisation Cette mise agrave plat a permis
lrsquoinstauration de documents supports budget tableau de bord listinghellip
Celle ci a naturellement meneacutee agrave des audits sur certains processus la meneacutee drsquoaction
sur drsquoautres si bien que le help desk les inventaires le stockage la sauvegarde et tant drsquoautres
processus ont eacuteteacute mis agrave plats jugeacutes et corrigeacutes au neacutecessaire
Ce dossier doit avoir permis de voir en quoi la mise en place drsquoun reacutefeacuterentiel
processus peut permettre drsquoaider agrave la gestion drsquoun systegraveme drsquoinformation correspondant aux
caracteacuteristiques de Cance moyens importants fort deacuteveloppement et fiable au niveau
opeacuterationnel deacutesorganiseacute agrave un niveau supeacuterieur
On peut neacuteanmoins srsquointerroger en se demandant srsquoil nrsquoaurait pas eacuteteacute judicieux de
passer par la mise en place drsquoItil drsquoabord pour passer plus facilement agrave Cobit De plus il sera
inteacuteressant dans le futur de voir en quoi la mise en place du reacutefeacuterentiel qui se situe agrave un niveau
tactique et strateacutegique au niveau des deacutecideurs impactera sur le niveau opeacuterationnel et donc
sur lrsquoadministrateur mecircme Pour finir il conviendrait certainement de srsquointerroger sur les
impacts au niveau des ressources humaines de la mise en place drsquoun tel systegraveme quand le
personnel informatique nrsquoest pas ou peu impliqueacute et que laquo la roue continue de tourner raquohellip
Ce projet ne sera reacuteellement abouti que par la poursuite de certaines de mes tacircches la
poursuite de lrsquoaudit pour les processus non auditeacutes la poursuite de description des processus
et bien sur la correction des problegravemes releveacutes poursuite que jrsquoespegravere suivre de pregraves durant
les mois agrave venir
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
45
Difficulteacutes Tout au cours de ces diffeacuterents mois de stage jrsquoai veacutecu de nombreuses situations
mrsquoayant poseacute de multiples problegravemes
-Conflit de vision entre gestionnaire et responsable de la fonction informatique
Lrsquoadministrateur voyait en ma mission une opportuniteacute pour se deacutecharger de
nombreuses tacircches administratives plus ou moins laborieuses pour lui il voyait en lrsquooutil agrave
mettre en place une structuration de fichiers sans autre but A lrsquoopposeacute le responsable du SI
lui attendait de lrsquooutil une organisation non encore mise en place un guide pour la fonction
informatique et teacuteleacutephonie et pour finir un jugement critique
Ce problegraveme a eacuteteacute reacutecurrent et srsquoest mateacuterialiseacute par un deacutesaccord quasi-total sur mon
rocircle dans ma mission sur les implications de celle-ci
-Obligation de geacuterer laquo au tout venant raquo des parties speacutecifiques de ma mission Malgreacute
un plan drsquoaudit processus deacutefini il est vite apparu la neacutecessiteacute de le bouleverser tout au long
de ma mission notamment du fait drsquoeacutecheacuteances particuliegraveres (fin de contrat reneacutegociationhellip)
ou du fait drsquoattentes particuliegraveres (reacuteunion ou survenue drsquoincidents)Ces obligations ont
impliqueacute lagrave mise agrave jour et le bouleversement constant de mon plan drsquoaudit
-Manque de reconnaissance et manque drsquoimplication Le personnel avec qui jrsquoai pu
travailler au cours de mon audit mrsquoont bien souvent assimileacute agrave lrsquoinformaticien entraicircnant par
la mecircme une certaine rancœur et un certain scepticisme par rapport agrave ma mission Cette
hostiliteacute plus ou moins latente srsquoest reacutesolue avec beaucoup de communication au niveau
interpersonnel faute de moyens de communication de laquo masse raquo
-Manque de creacutedibiliteacute notamment vis-agrave-vis des fournisseurs dans le cadre de
lrsquoobtention de renseignements
-Manque de moyens La tenue drsquoune mission drsquoaudit de processus et de modeacutelisation
ou la tenue de certaines missions a impliqueacute de nombreux besoins sans que forceacutement tout
soit satisfait dans le meilleur deacutelai (logiciel livrehellip)
-Manque de laquo source raquo et modegravele lrsquoaudit est une matiegravere qui implique beaucoup de
savoir- faire et autant de connaissances Aussi mecircme si jrsquoai pu au cours de ma mission
combler mes manques en termes de teacuteleacutephonie ou de gestion de parchellipil mrsquoa fallu me faire agrave
la meacutethodologie drsquoaudit qui si je puis la qualifier ainsi fut tregraves particuliegravere chez Cance
Aussi de maniegravere geacuteneacuterale jrsquoai pu suivre les conseils de Mr Squozie non sans devoir
les adapter et les modifier Il va sans dire que replacer dans un contexte tel que celui-ci
jrsquoadopterai une conduite plus ou moins diffeacuterente En effet ma mission a eacutevolueacute clairement en
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
46
fonction des personnes et de la culture drsquoentreprise sa strateacutegie hellip Avec le recul actuel et
replaceacute dans une situation eacutequivalente je pense que je serais tour agrave tour plus entreprenant
dans certains cas plus communicatif dans drsquoautreshellipIl mrsquoest apparu que lrsquoaudit est une
domaine tregraves large qui implique un grand sens relationnel sans oublier un coteacute technique non
moins prononceacute
-Atomiciteacute des sources drsquoinformations les sujets traiteacutees durant mon stage eacutetant tregraves
reacutecents les retours drsquoexpeacuteriences theacuteoriques et meacutethodes sont rares et atomiseacutes Il est tregraves
courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir
naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels
informatiques
-Difficulteacute dans lrsquoaudit lui mecircme le principal risque drsquoune mission drsquoaudit est de
srsquoeacuteparpiller ce qui mrsquoest arriveacute Habituellement les missions drsquoaudit durent 3 semaines pour
4-5 j drsquoentretien ici la dureacutee de la mission a eacuteteacute de 5 mois Lrsquoactualiteacute du jour (reneacutegociation
problegravemes reacuteunionhellip) mrsquoa contraint agrave mrsquoeacuteparpiller mrsquoobligeant agrave mener 3-4 tacircches en mecircme
temps et il a souvent eacuteteacute difficile de revenir sur une tache deacutelaisseacutee dans laquo lrsquourgence raquo
Exploitation des savoirs Bien que perplexe quand agrave lrsquoutiliteacute drsquoune telle diversiteacute de cours relativement peu
pousseacutes avant mon stage je dois avouer qursquoapregraves 5 mois dans le monde de lrsquoentreprise mon
point de vue a changeacute du tout au tout Mon stage a eacuteteacute lrsquoapplication parfaite de tous les
enseignements que jrsquoai pu recevoir dans la MSG et mecircme dans mes eacutetudes anteacuterieures
Apport Je suis arriveacute chez Cance avec la conviction que tous les savoirs acquis au cours de
mon cursus universitaire seraient suffisants pour reacutesoudre ma mission de maniegravere
convenable Bien que ne posseacutedant pas de savoir- faire particulier en audit je supposais que
le panel de connaissances dont je disposais suffirait agrave ma tacircche En reacutealiteacute la situation fut tout
autre ce qui fucirct paradoxalement tregraves stimulant La mission drsquoaudit et de description de
processus que jrsquoai pu effectuer mrsquoont forceacute sans cesse agrave me renseigner sur les techniques de
managements ou aux technologieshellipcar comment deacutecrire ce que lrsquoon ne comprend pas De
plus je pensais que les reacutesistances face aux changements ne pourraient ecirctre que neacutegligeables
chez Cance pour une entreprise de taille moyenne en pleine mutation En reacutealiteacute il a fallu
composer avec de nombreuses reacutesistances tout aussi prononceacutees que la demande de certains
de changement Ces reacutesistances autant que ces demandes furent un reacuteel moteur dans mon
apprentissage des meacutethodologies drsquoaudit des meacutethodes drsquoorganisation et de communication
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
47
Ce stage a eacuteteacute un superbe tremplin dans lrsquoexploitation de nombreux cours speacutecifiques ou non
au SI Les cours reccedilus en SQA et audit ont pu ecirctre particuliegraverement exploiteacutes car au cœur
mecircme de mon sujet de stage De plus les cours de reacuteseau programmation et de nombreuses
interventions mrsquoont permis de percevoir dans le cadre de lrsquoentreprise Cance toute la
complexiteacute que peut avoir un SI drsquoentreprise De plus il serait terriblement reacuteducteur drsquooublier
lrsquoimportance qursquoont eu les cours de SI notamment dans le cadre de la modeacutelisation des
processus Je peux aussi ajouter agrave ceux -ci la communication ou encore la GRH qui mrsquoa servi
lors de ce stage En allant au -delagrave jrsquoai pu aussi exploiter mes connaissances de mon DUT
GEA dans le cadre de la comptabiliteacute et de lrsquoanalyse fiscale et plus geacuteneacuteralement de la
gestion
En allant plus loin Poursuite drsquoeacutetudes Ce stage mrsquoaura donc permis de structurer mes savoirs et drsquoacqueacuterir de lrsquoexpeacuterience en
audit controcircle de gestion speacutecifique au SI Ce stage mrsquoa ainsi donneacute lrsquoenvie de poursuivre
dans la branche de lrsquoaudit et de controcircle dans le cadre drsquoun master GSI agrave Pau
De plus je preacutevois de continuer de suivre certains projets que jrsquoai initieacutes de maniegravere agrave
voir leurs eacutevolutions notamment lrsquoutilisation de lrsquooutil que jrsquoai mis en place et la mise en
place drsquoun intranet
Remerciements finaux Je remercie donc toutes les personnes qui se sont donneacutees la peine de lire mon
meacutemoire Ainsi que toutes les personnes professeurs intervenants et professionnels drsquoavoir
suivi mon stage et plus geacuteneacuteralement mon meacutemoire Je dois souligneacute lrsquoimplication de
personnes preacutesentes ici M Prade pour avoir suivi mon stage Mr Sallabery et Recassens pour
leurs conseils
En allant plus loin la soutenance orale du meacutemoire La soutenance orale du meacutemoire aura pour but parmi tan drsquoautre le deacuteveloppement des
points laisseacutes volontairement en retrait Cette preacutesentation aura pour objet de preacutesenter de plus
preacutes le Cobit et son interaction avec les outils que jrsquoaurai mis en place ainsi que les technique
drsquoAudit que jrsquoai pu mettre en place
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
48
Bibliographie La bibliographie ici preacutesenteacutee comporte un panel de documents de reacutefeacuterences utiliseacutes
Celle ci se constitue de cours suivis en MSG-GSI de documents universitaires (traitant de
volets theacuteoriques speacutecifiques) de tregraves nombreux articles drsquoactualiteacute (notamment sur la
technologie et les meacutethodes nouvelles) et de quelques livres (rares du fait drsquoune orientation
tregraves pratique et drsquoactualiteacute de mon stage)
Cours principaux utiliseacutes -Cours de SQA 2004 Mme Darand
-Cours drsquoAudit 2005 Mr Squozzie
-Cours de SI 2004-2005 Mme Bessagnet
Livres Association Franccedilaise de lrsquoaudit et du conseil informatique Ensemble des documents Cobit
(451p au format eacutelectronique)
Alain Fernandez Lrsquoessentiel du tableau de bord eacutedition drsquoorganisation 2005 livre traitant de
la creacuteation de tableau de bord inteacuteressant volet theacuteorique comprenant des exemples illustreacutes
compleacuteteacute par un accegraves payant au site de lrsquoauteur comprennent des tutoriaux plus pratiques
(concret exemple 180p)
itSMF 2001 gestion des Services Lieacutes aux technologies de lrsquoinformation livre simple et
large traitant du reacutefeacuterentiel Itil (complet graphique 80p)
Nombreux livres drsquoinformatiques pratiques speacutecifiques aux actions opeacuterationnelles
meneacutee parmi lesquels lrsquoeacutetat de la pratique informatique Monter son intranet ou encore
Reacuteseaux hellip
Meacutemoire et thegravese universitaire David GILLET Freacutedeacuteric HARNOIS et Natacha NOEumlL 2004 Control Objectives for
Information and Related Technology DESS QUASSI rapport sur le Cobit introduction au
niveau du Cobit (simple et claire 33p)
Hicham HIDDAK 2003 Du controcircle de gestion informatique agrave lrsquoIT Meacutemoire de thegravese
drsquoInformatique et gestion eacutetude drsquoun modegravele de tableau de bord baseacute sur un meacutelange des
reacutefeacuterentiels Itil et Cobit (Complet 35p)
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
49
Schimikratch 2004 Note drsquoinformation sur les bonnes pratiques en matiegravere drsquoinformatique
Consultant en seacutecuriteacute informatique ensembles de recommandations en matiegravere informatique
(21p complet simple)
Ludovic Me Veacuteronique Alanou Deacutetection drsquointrusion dans un systegraveme informatique
meacutethodes et outils meacutemoire traitant des meacutethode de deacutetection drsquointrusion approche
statistiquehellip (Complexe mais complet 22p)
Fabio LALOLI 2003 Approche combineacutee de lrsquoaudit des systegravemes drsquoinformation meacutemoire
de thegravese en informatique et gestion universiteacute de Lausanne preacutesentation drsquoune meacutethode
drsquoaudit exploitant le Cobit agrave lrsquoaide drsquoun modegravele informatique (travail tregraves complet ideacutees
inteacuteressantes 63p)
Jacky AKOKA et Isabelle COMYNWATTIAU 2003 Audit drsquoun site web Une deacutemarche
structureacutee Professeur CEDRIC Conservatoire National des Arts et Meacutetiers (CNAM) et
Institut National des Teacuteleacutecommunications Rapport de recherche sur la meacutethodologie drsquoaudit
drsquoun site web tregraves repreacutesentatif des missions drsquoaudit informatique (complet et domaine
drsquoeacutetude rare 13p)
Guy Bourassa 2005 Joindre lrsquoItil agrave Joindre lrsquoItil agrave lrsquoagreacuteable Service de la technologie
Reacutegie des rentes du Queacutebec Support de preacutesentation de lrsquoItil et drsquoautres reacutefeacuterentiels (complet
clair 56p)
Articles de magazines issus de sites Internet amp sites Internet Mon stage ayant porteacute sur des domaines tregraves larges notamment au niveau opeacuterationnel
je ne deacutevelopperai pas plus cette bibliographie Ici sont preacutesents les documents et sites de
reacutefeacuterences sans que soient deacutetailleacutes les articles les auteurs helliptant leur nombre est important
Pour plus de deacutetail sont joint avec mon projet sous format eacutelectronique ma liste de favoris
ainsi que les plus grands documents de reacutefeacuterence que jrsquoai pu utiliser (consulteacute le 210805)
httpwww01netcomrubrique4188html recueil drsquoarticles publieacutes dans les magazines 01
net 01 reseaux decisionhellipeacutetude des dossiers drsquoarticles sur la seacutecuriteacute le reacuteseau budget et
autres sujets opeacuterationnel ou theacuteorique Cobit et Itil notamment (source fiable et de reacutefeacuterence)
httpwwwjournaldunetcom utiliseacutes pour son recueil drsquoarticle sur la DSI (budget tableau
de bordhellip) ainsi que pour sa partie Intranet et reacuteseau (source fiable complet)
httpwwwindexelnet site tregraves complet sur le SI en entreprise tregraves utiliseacute dans le cadre des
techniques drsquoorganisation (deacutemarche de Cost Killinghellip) et orientations geacuteneacuterales du SI
(Source professionnel drsquoune entreprise connue en matiegravere drsquoinformatique professionnelle)
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
50
httpwwwmicrosoftcom utiliseacute pour ses nombreux dossiers pour les entreprises notamment
en terme de gestion reacuteseau et logiciel (point de vue du geacuteant logiciel pour les entreprise
introduction a des sujets diverses de maniegravere simple)
httpcostkillernet site de reacutefeacuterence sur la meacutethode de Cost Killing meacutethodologie et
conseils avec leurs exemples (Site de reacutefeacuterence complet)
httpwwwzdnetfr site utiliseacute pour ses dossiers en matiegravere de techniques informatiques
reacuteseaux intranethellip (Site plus axeacute logiciel et solution technique que les preacuteceacutedents)
httpsadullactnetprojects site tregraves complet sur les projets ayant tregraves au SI en matiegravere de
logiciels libres utiliseacute dans le cadre de la recherche de solutions logicielles et de cahier des
charges (un des rares sites proposant des logiciels libres agrave destination professionnelle)
httpglpiindepnetorg site drsquoune solution de Help desk libre de droit beaucoup utiliseacute
(utiliseacute dans le cadre de la mission help desk)
httpwwwframasoftorg site reacutepertoriant un grand nombre de logiciels libres
httpwebarchiveorgweb20010825021437xavinhofreefrintranet Document tregraves complet
sur la possibiliteacute drsquoun intranet sa mise en placehellip (Document tregraves complet)
httpwwwitsmffr site sur lrsquoItil utiliseacute dans le cadre drsquoune recherche bibliographique
httpwwwcnilfr site de la CNIL nombreux documents sur les obligations leacutegales des
entreprises vis agrave vis de lrsquoinformatique et les bases de donneacutees (reacutefeacuterence en la matiegravere
complet)
httpwwwbpmsinfo site de reacutefeacuterence sur les solutions logiciels et les meacutethodologies de
modeacutelisation de processus et de leurs modegraveles (Point de vue des professionnels du secteur
tregraves complet accegraves restreint payant)
httptop1000decideurcom la reacutefeacuterence de recherche de source bibliographique sur Internet
(tregraves complet et exhaustif)
httpblogpiloterorg site sur le controcircle de gestion et lrsquoanalyse de coucirct en liaison avec
lrsquoinformatique (accegraves restreint payant)
Nombreux documents commerciaux et comparatifs commerciaux (logiciels modeacutelisation de
processus intranethellip)
Publication drsquoentreprise Document laquo commercial raquo de lrsquoentreprise pronoasch 2005 document preacutesentant les
possibiliteacutes drsquoun intranet les grands choix techniques et les organisations possibles 9p (
Rapport de lrsquoobservatoire de lrsquoIntranet 2004 tendances possibiliteacutes grandes caracteacuteristiques
53p (Organisme de reacutefeacuterence tregraves complet)
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
51
Thierry CHAMFRAULT Atelier BNP PARIBAS 2005 Cobit CMMI ITIL concregravetement
qursquoen est il Rapport drsquoune commission sur les diffeacuterents reacutefeacuterentiels apports utiliteacutes
problegravemeshellip (Complet reacutefeacuterence professionnel 44p)
Paul VINCENT 2003 Itil les Meilleures Pratiques un livre eacutevolutif Rapport drsquoun
professionnel de lrsquoinformatique Consultant renommeacute preacutesentation Itil et des meacutethodes et
outils en rapport (complet ouverture agrave un public de non informaticien)
Paul VINCENT Deacutemarche Open Source pour les Grandes Entreprises Mission dInteacuterecirct
Geacuteneacuteral Open Source dEDF GDF Preacutesentation des possibiliteacutes et meacutethodes de passage agrave des
solutions libres en entreprises (complet creacutedibiliteacute de la source ouverture agrave un public de non
informaticien)
Logiciels principaux utiliseacutes
-Suite Microsoft Office Visio Project logiciel de bureautique gestion de projet et
eacutedition de repreacutesentations graphiques
-Dia Gantt Project logiciel libre drsquoeacutedition de diagramme et de scheacutema
-Synexis inventory Logiciel de gestion de parc informatique
-Tiamp ERP de lrsquoentreprise Cance utilisation dans la recherche drsquoeacuteleacutement comptable
-Rep-listing logiciel libre drsquoanalyse drsquoinfrastructure de stockage
-Fa7 logiciel drsquoanalyse financiegravere (non utiliseacute personnellement)
-Portail Flotte On-line application de bases de donneacutees Orange
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
52
Plan
INTRODUCTION 8 Cance de la petite entreprise familiale au groupe industriel 8 Un peu drsquohistoire 8 Mais aujourdrsquohui 9 Domaines drsquoactiviteacutes 9 Les clients 9 Les moyens de production 10 Cance un marcheacute dans la tourmente 10 Le SI drsquoinformation Cance une remise en cause neacutecessaire 11 Le SI grands chiffres 11 Situation du systegraveme drsquoinformation et plus particuliegraverement du systegraveme informatique 11 Un projet mise en place drsquoun reacutefeacuterentiel pour geacuterer le SI 12
PROBLEMATIQUE QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DrsquoINFORMATION DrsquoUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS 13 I COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15
A LE REFERENTIEL PROCESSUS LA SOLUTION DrsquoORGANISATION DrsquoUN SI DESORGANISE 16
1 La situation et les attentes de Cance la recherche drsquoun cadre organisationnel 16
Dysfonctionnements perccedilus 16 Attente de Mr Prade 17
2 Cahier des charges et orientation de la reacuteflexion 18 Orientation de controcircle 18 Orientation vers des objectifs 18 Cahier des charges 19
B LES REFERENTIELS POSSIBLES 20 1 Cobit lrsquooutil le plus adapteacute agrave lrsquoorientation strateacutegique du SI de Cance20
Le choix de Cobit Quickstart 23 2 Documents et outils mis en place 24
Fiche processus 24 Documents geacuteneacuteraux 26 Fiche fournisseur 28
II UN PROJET DrsquoAUDIT DANS LrsquoORIENTATION STRATEGIQUE DU SI 31
A METHODOLOGIE DrsquoAUDIT ET LE COBIT 32
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
53
1 Meacutethodologie et deacuteroulement drsquoune mission drsquoaudit 32 2 Deacuteroulement de la mission drsquoaudit concilieacute au Cobit 33
B LES REPERCUSSIONS OPERATIONNELLES 36 1 Audit technique 36
Helpdesk 36 Teacuteleacutephonie 37 Inventaire physique 37 Gestion logiciel et licence 38
2 Audit orienteacute organisation et strateacutegie 38 Audit leacutegale 38 Intranet 39 Archivage 40 Tableau de bord 40 Budget 41 Respect de la charte des NTIC 41 Etude des attentes des utilisateurs 41
CONCLUSION CANCE UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT 42
Difficulteacutes 45 Exploitation des savoirs 46 Apport 46 En allant plus loin Poursuite drsquoeacutetudes 47 Remerciements finaux 47 En allant plus loin la soutenance orale du meacutemoire 47
BIBLIOGRAPHIE 48 Cours principaux utiliseacutes 48 Livres 48 Meacutemoire et thegravese universitaire 48 Articles de magazines issus de sites Internet amp sites Internet 49 Publication drsquoentreprise 50
Recommended