Documente Academic
Documente Profesional
Documente Cultură
Guide
daudit des
systmes
dinformation
p. 19
p. 37
Laudit de scurit
p. 43
p. 51
p. 59
p. 67
p. 69
p. 73
Le prsent guide a t labor par un groupe de travail interministriel, sous lgide du Comit dharmonisation de laudit interne (CHAI). Il est
le fruit de plusieurs mois de travaux collectifs, de partage d'expriences et de mise en commun des meilleures pratiques ayant cours dans les
corps de contrle ou les missions ministrielles daudit interne. Son objet est au premier chef de faciliter lharmonisation de la mthodologie
de travail des auditeurs internes et il se rapporte ce titre la partie dispositions recommandes du cadre de rfrence de laudit interne
de lEtat.
Ce document est une premire version, actuellement en cours dexprimentation par les praticiens de laudit interne en fonction dans les
diffrents ministres.
Lattention du lecteur est appele sur le fait que, mme une fois devenu dfinitif, le prsent guide ne pourra en aucun cas tre considr
comme le seul rfrentiel la lumire duquel les auditeurs auront former leur opinion globale et porter leur jugement professionnel dans le
domaine considr.
Ce document a t produit dans le cadre dun groupe de travail du Comit dharmonisation de laudit interne
(CHAI) anim par Marcel DAVID (CGA) compos de :
SOMMAIRE
Introduction ............................................................................................................................................................................................................... 5
1.
1.1.1.
1.1.1.1.
1.1.1.2.
1.2.
1.2.1.
1.2.2.
2.
Gnralits .................................................................................................................................................................................................................................. 13
Les principaux risques informatiques ..................................................................................................................................................................................... 13
2.1.1.
2.1.2.
2.1.3.
2.1.4.
2.1.5.
2.2.
Les missions daudit dont lobjet principal appartient au domaine des SI ..................................................................................................... 29
2.2.1.
2.2.2.
2.2.3.
2.2.4.
2.2.5.
3.
Dfinition ...................................................................................................................................................................................................................................... 7
La performance du SI de ltat ................................................................................................................................................................................................... 7
Les facteurs clefs dun SI performant ........................................................................................................................................................................................ 9
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.7.1.
3.7.2.
3.7.3.
3.7.4.
3.7.5.
3.7.6.
3.7.7.
3.7.8.
3.7.9.
3.7.10.
3.7.11.
3.7.12.
3.7.13.
3.7.14.
3.7.15.
3.8.
3.8.1.
3.8.2.
3.8.3.
3.8.4.
3.8.5.
4.
4.1.1.
4.1.2.
4.1.3.
4.1.4.
4.1.5.
4.1.6.
4.1.7.
4.1.8.
4.1.9.
4.1.10.
4.1.11.
4.1.12.
4.1.13.
4.1.14.
4.1.15.
4.1.16.
4.1.17.
4.2.
Gouvernance du SI .................................................................................................................................................................................................................... 99
Schma directeur et plan stratgique informatique .............................................................................................................................................................. 99
Plan doccupation des sols (POS) ............................................................................................................................................................................................. 99
Maitrise douvrage (MOA) et matrise duvre .................................................................................................................................................................. 100
Propritaire (business owner) dune application ou de donnes ......................................................................................................................................... 101
Base de donnes matresse ...................................................................................................................................................................................................... 101
Politique de scurit ................................................................................................................................................................................................................ 102
Charte dutilisation .................................................................................................................................................................................................................. 102
Environnements de dveloppement (tudes), dintgration et de production (exploitation)....................................................................................... 103
Recette........................................................................................................................................................................................................................................ 104
Convention et contrats de service (SLA / OLA) ................................................................................................................................................................... 104
Plan de continuit de lactivit et plan de reprise de lactivit .......................................................................................................................................... 104
Infogrance et outsourcing ..................................................................................................................................................................................................... 105
Informatique en nuage, ou Cloud Computing .................................................................................................................................................................... 105
Datacenter ................................................................................................................................................................................................................................. 106
Maintenance applicative ou corrective, TMA, TME ........................................................................................................................................................... 106
Progiciel de gestion intgre PGI (ERP) ............................................................................................................................................................................. 107
INTRODUCTION
Lessentiel des travaux daudit relatifs au systme dinformation ne
ncessite pas de connaissances trs approfondies en informatique mais
une bonne matrise des pratiques daudit.
Ce guide sadresse toutefois des auditeurs a minima avertis, cest--dire
ayant suivi une session de sensibilisation ou ayant dj effectu une ou
deux missions daudit dans le domaine en compagnie dun auditeur
spcialis dans le domaine des SI. La sensibilisation pourra, notamment,
sappuyer sur des guides de formation mis disposition par le CHAI.
Il propose dans une premire partie une information gnrale sur les
facteurs cls permettant damliorer la performance de la fonction et du
systme informatique, en les articulant avec les principaux risques du
domaine.
Le systme informatique ne doit pas tre conu comme une fin en soi : il
est lun des outils qui permet lorganisation datteindre ses objectifs. Il
ne se justifie quen tant quil soutient des processus mtier , sans
lesquels il na aucun sens. Il doit donc tre align avec les objectifs
stratgiques de lorganisation. Cet alignement stratgique est
fondamental : dsormais, un systme informatique est un facteur
dterminant de la performance (efficacit, efficience, matrise des
risques) dune organisation. Inversement, un systme informatique
inadapt ou mal matris peut tre une source inpuisable de difficults.
1.1.
LE SYSTEME INFORMATIQUE
1.1.1.
DEFINITION
est scuris ;
est fiable ;
est adaptatif ;
est prenne ;
est disponible ;
est efficient ;
10
11
un dploiement chelonn ;
un accompagnement du changement.
un SI intgr :
un SI est dit intgr quand toutes les applications
communiquent entre elles de faon automatique laide
dinterfaces. Ainsi, les informations ne sont saisies quune
seule fois dans les systmes (notion de base de donnes
matresse) et les changes de donnes font lobjet de
contrles dintgrit automatiques. Laction humaine,
source potentielle derreurs ou de fraude, est donc trs
limite.
12
1.2.
1.2.1.
GENERALITES
1.2.2.
INFORMATIQUES
Les principaux risques, facteurs de risques et dispositifs ou moyens de
contrles des risques informatiques sont les suivants :
scurit logique ;
scurit du rseau ;
scurit de lexploitation ;
scurit des PC ;
etc.
des
les
sauvegardes
rgulirement ;
doivent
tre
testes
14
veille environnementale ;
procdures de maintenances
adaptatives et volutives.
correctives,
les
15
absence
de
cellule
dindisponibilit ;
ractive
en
cas
procdure de maintenance
applications informatiques ;
corrective
contrats de maintenance
informatiques ;
des
des
dans
les
matriels
16
SI non prenne
Facteurs de risque :
utilisation de la sous-traitance informatique sans
transfert de comptence en interne ;
au
18
2. APPROCHE DE CERTAINS
THEMES DAUDIT
Laudit des SI peut soit constituer un sous-domaine dun audit gnraliste
(organisation, processus, rgularit, etc.), soit tre lobjet principal de la
mission (application, projet, scurit, respect de la lgislation, etc.).
2.1.
2.1.1.
Pourtant, les organisations nen ont pas toujours conscience. Celles qui
peroivent limportance de linformatique ne matrisent pas toujours les
arcanes de son pilotage, de sa conduite et de sa scurit. Enfin, quelles
disposent dune fonction informatique en leur sein ou sadressent des
prestataires internes ou extrieurs ladministration, elles sont parfois
peu ou mal organises pour tirer le meilleur de ces ressources.
Laudit dune organisation doit donc dsormais ncessairement inclure un
audit de sa relation au fait informatique. Comment dfinit-elle ses besoins
fonctionnels, comment alloue-t-elle ses ressources humaines et
financires en vue de les satisfaire, sest-elle organise et a-t-elle mis en
place les processus lui permettant de disposer dune informatique en
phase avec ses besoins (alignement fonctionnel), ractive, sre et
efficiente ?
Lauditeur devra donc, loccasion de laudit dune organisation :
tudier travers les documents dorganisation et financiers
les ressources organisationnelles (structures), humaines et
financires quelle consacre linformatique ;
19
Il devra se procurer :
les politiques SI et de scurit SI de lorganisation ;
la politique RH et de formation.
2.1.2.
Il devra se procurer :
la cartographie des processus de lorganisation ;
22
2.1.3.
Il devra se procurer :
linventaire des ressources informatiques utilises dans le
primtre audit (notamment la cartographie des applications et
des systmes) ;
23
24
2.1.4.
EXTERNALISEES
Rares sont les fonctions externalises qui nont pas besoin dchanger
rgulirement des donnes avec lorganisation, ce qui suppose une
interconnexion entre systmes informatiques. Souvent, le bon
droulement de ces changes de donnes, en temps rel ou non,
constituent une partie des obligations des deux cocontractants. Ils sont
aussi le motif dune ouverture du systme informatique de lorganisation
vers lextrieur, parfois pour des actions aussi sensibles que de
ladministration de serveurs, de donnes ou dapplications.
Plus rares encore sont les fonctions externalises qui nont pas
manipuler des donnes ou informations appartenant au patrimoine de
lorganisation. Le cocontractant a alors la responsabilit de lintgrit, de
laccessibilit et de la protection des donnes.
Dans tous les cas, la dimension informatique de lexternalisation est au
cur de sa rversibilit. Elle peut tre la cause de son irrversibilit.
Laudit dune fonction externalise devra donc en aborder la dimension
informatique, tant pour lorganisation que pour son cocontractant.
Lauditeur devra donc, loccasion de laudit dune fonction externalise :
identifier les donnes et informations numriques changes
loccasion de lexcution de la prestation externalise ;
Il devra se procurer :
le ou les march(s) organisant lexternalisation ;
2.1.5.
Il devra se procurer :
le document de management du projet et les objectifs assigns au
projet ;
28
2.2.
2.2.1.
Une application nexiste que pour rpondre un besoin. Elle est conue,
ralise, paramtre, administre, entretenue et utilise par des agents
appartenant ou non lorganisation. Elle peut tre utile un ou plusieurs
processus, leur tre parfaitement adapte ou au contraire tre une
entrave leur bon droulement. Elle peut sinscrire dans une urbanisation
matrise ou contribuer lhtrognit, la duplication, voire au
dsordre du systme informatique. Elle peut donc tre une source de
force ou de vulnrabilit parfois les deux pour lorganisation.
Au-del des aspects classiques dun audit dapplication en production (cf.
chapitre 3), laudit dune application informatique peut donc ncessiter
lexamen de lurbanisation du systme informatique, de la cohrence
entre les logiciels et les matriels quils utilisent, de lalignement
stratgique du systme informatique sur les objectifs de lorganisation,
voire de la gouvernance du SI, en ce quelle explique pour une large part
les forces et faiblesses observes.
En effet, les recommandations mises au terme de laudit ne peuvent
faire abstraction de cet environnement. Tout cela suppose une
comprhension de la fonction informatique allant trs au-del du simple
objet audit.
29
de lorganisation de ce processus ;
de lurbanisation du SI de lorganisation.
2.2.2.
Au-del des aspects classiques dun audit de projet (cf. chapitre 3),
lauditeur doit donc examiner la qualit de lexpression, du recueil et de la
traduction du besoin, lurbanisation du systme informatique, linscription
du projet dans cette urbanisation, voire la gouvernance du SI, en ce
quelle explique pour une large part les forces et faiblesses observes. En
effet, les recommandations mises au terme de laudit ne peuvent faire
abstraction de cet environnement. Tout cela suppose une comprhension
de la fonction informatique allant trs au-del du simple objet audit.
2.2.3.
Un dispositif de scurit nest pas une fin en soi. Il nexiste que pour
protger des actifs. Il faut donc sassurer, au-del des aspects examins
habituellement dans le cadre de laudit de la scurit gnrale
informatique (cf. chapitre 3), que le dispositif de scurit est justifi et
quilibr.
La scurit informatique ne se rsume pas linformatique. Elle intgre
bien sr les scurits logique et physique de linformatique, y compris
dans leur dimension rsilience , frquemment oublies notamment
pour les systmes priphriques, comme les imprimantes ou tlphones
en rseau, le contrle des accs et temps de travail, linformatique
industrielle ou la gestion technique des btiments, mais stend bien audel. Elle sintgre dans un dispositif global de scurit, destin protger
tous les actifs de lorganisation et non seulement ses actifs informatiques
ou dmatrialiss, et doit tre en cohrence avec les efforts raliss en
dehors du domaine informatique.
Elle dcoule dune culture (ou inculture) de la scurit propre chaque
organisation. Elle procde dune identification et dune valuation de
limportance des actifs, dune analyse des menaces pesant sur eux et des
vulnrabilits de lorganisation, dune dcision quant laversion au
risque de lorganisation et aux modalits et dispositifs de scurit qui en
dcoulent. Elle doit aussi procder dune juste valuation des contraintes
normatives pesant sur lorganisation.
Au-del des aspects classiques dun audit de scurit informatique,
lauditeur doit donc examiner la qualit de linventaire des actifs, de
lvaluation des risques, du processus dcisionnel ayant conduit la
dfinition dun dispositif de scurit et de la pertinence et la qualit de ce
dispositif. En effet, les recommandations mises au terme dun audit de
scurit ne peuvent faire abstraction de ces aspects.
31
2.2.4.
32
33
2.2.5.
34
3. APPROCHE THEMATIQUE ET
TECHNIQUE DES PRINCIPAUX
DOMAINES DAUDIT DES
SI
Les deux premires fiches (3.1 et 3.2) sont transverses. Les fiches
suivantes doivent tre considres comme venant en complment
thmatique des problmatiques de gouvernance et de scurit.
Il est important de noter quelles prsentent des points de contrle
basiques caractre illustratif qui doivent tre adapts au contexte, aux
enjeux et aux risques propres laudit ralis. Ils ne doivent pas ainsi tre
considrs comme exhaustifs ou ncessairement suffisants aux travaux
daudit.
p. 37
p. 43
p. 51
p. 59
p. 67
p. 69
p. 73
p. 91
35
36
3.1.
DINFORMATION
La notion de maturit dune organisation dans le domaine des systmes
dinformation est une notion importante dans la comprhension et
lvaluation du rle et de la performance de linformatique dans
lorganisation. Cette maturit se dcline dabord sur les plans fonctionnel
et technologique, puis sur le plan organisationnel et managrial.
Lobjectif de laudit est dvaluer la maturit informatique de
lOrganisation et ladquation du rle, du positionnement et des objectifs
de la DSI avec les enjeux de lOrganisation.
Points de contrle
1. Rle et positionnement de l'informatique dans
l'organisation
1.1. La DSI est-elle rattache la DG et prsente au COMEX ?
1.2. Vrifier lexistence dune charte informatique ou de tout autre
document dfinissant le rle et le primtre de responsabilit de la DSI :
sassurer que la DSI est limite son rle de MOE (versus
MOA), comprenant notamment : la conception, ralisation,
mise en uvre et lexploitation des solutions, la
responsabilit des choix darchitecture et des solutions
techniques afin de garantir la cohrence densemble, la
(co)responsabilit des achats informatiques,
1.5. Vrifier que les mtiers assurent leur rle de MOA, en prenant en
charge des aspects suivants :
le pilotage du SI et des projets ainsi que la responsabilit des
budgets ;
37
2. Planification stratgique
2.1. Primtre fonctionnel (couverture, ouverture et dpendance des SI).
2.2. Prendre connaissance du schma directeur de lOrganisation (ou de
ses axes stratgiques et ses grands projets) et analyser le plan
informatique et la feuille de route du SI ministriel :
analyse
de
la
pertinence
du
document
(contenu),
Interfaces) ;
scurit
(confidentialit,
intgrit
authentification, non rpudiation,..) ;
des
cots
(cots
dvolution,
fonctionnement,).
rcurrents
cots
donnes,
de
ltude pralable) ?
40
(information, inventaire,).
6.2. Vrifier que la loi sur la fraude informatique est connue et que des
mesures prventives ont t prises :
les bannires daccueil aux routeurs et aux serveurs daccs
distant (de type Bienvenue.. , Welcome ,) sont-elles
bannies et remplaces par des messages davertissement ?
6.5. Vrifier que la loi sur la proprit intellectuelle / logiciel pirate est
connue et rigoureusement respecte :
vrifier lexistence dun inventaire des configurations
logicielles ;
42
3.2.
AUDIT DE SECURITE
Points de contrle
1. Facteurs cls de succs
1.1. Une politique de scurit est dfinie et correspond l'activit de
l'Organisation.
1.2. Une dmarche de mise en uvre de la gestion de la scurit est
adopte et compatible avec la culture de l'Organisation.
1.3. La direction assure un soutien total et un engagement visible.
1.4. Les exigences de scurit et les risques sont compris et valus.
1.5. Lensemble des responsables et des employs sont sensibiliss et
informs.
1.6. Les lignes directrices de la politique de scurit et des normes de
scurit de l'information sont distribues tous les employs et tous les
fournisseurs.
1.7. Les acteurs de la scurit sont forms de manire approprie.
1.8. Un systme de mesure complet et mis en place afin d'valuer
l'efficacit de la gestion de la scurit de l'information et pour collecter
les suggestions d'amlioration.
2. Politique de scurit
2.1. Il existe une politique de scurit formalise avec une implication de
la direction gnrale et une dfinition claire des responsabilits.
2.2. La communication se fait tous les utilisateurs sous une forme
pertinente, accessible et comprhensible au lecteur.
2.3. Une revue rgulire de la politique est ralise afin de vrifier son
adquation avec :
les volutions des activits de l'organisation et donc des
risques ;
3. Organisation de la scurit
3.1. Il existe une structure ddie la gestion de la scurit de
l'information : un comit scurit, un responsable de la scurit du
systme d'information (RSSI) et des correspondants scurit dans les
units.
3.2. Il y a une attribution claire des responsabilits.
3.3. Un propritaire est dsign, il est responsable de la mise en uvre et
du suivi des volutions apporter.
3.4. Il existe des procdures d'autorisation de nouveaux matriels ou
logiciels.
43
processus disciplinaire.
3.8. Il existe une revue rgulire de la scurit des audits aussi bien
internes qu'externes.
5. Scurit du personnel
5.1. Vrifier que les postes et les ressources sont dfinis :
inclusion de la scurit dans les responsabilits des postes ;
accords de confidentialit ;
44
7. Conformit
7.1. Vrifier la conformit aux exigences lgales et rglementaires :
protection des donnes personnelles ;
changement priodique ;
rgles de composition ;
preuve) ;
tlmaintenance ;
sauvegardes ;
47
audit de la recette ;
audit "post mise en place".
de
Informations collecter
sessions
Organisation :
politique de scurit ;
Volumtrie :
nombre dutilisateurs ;
Matriels :
serveurs ;
stations de travail ;
Logiciels :
scanner
et
systmes dexploitation ;
middleware ;
principales applications utilises.
Communications :
architecture du rseau (topologie) ;
plan de cblage ;
connexions avec lextrieur.
49
50
3.3.
AUDIT DE LA PRODUCTION
INFORMATIQUE
Un audit de la fonction production consiste analyser la capacit de
lorganisation exploiter les systmes dans des conditions rpondant aux
besoins oprationnels dfinis par les directions utilisatrices. Il sagit
danalyser ladquation des moyens humains, matriels, logiciels et
organisationnels (procdures dexploitation, de sauvegardes, ) mis en
uvre pour rpondre aux enjeux de lorganisation en termes de
disponibilit de ses applications, dintgrit et de confidentialit de ses
donnes et enfin de conformit aux besoins oprationnels des utilisateurs
(notion de qualit de service).
Les aspects relatifs la gouvernance et la scurit sont traits dans les
fiches 3.1 et 3.2. Les points de contrle proposs ci-dessous leur sont
complmentaires.
Points de contrle
1. Enjeux, engagements de service et suivi de la
performance
1.1. Sassurer que les niveaux de services sur lesquels sengage la
production sont en adquation avec les enjeux de disponibilit, dintgrit
et de confidentialit des diffrents systmes.
1.2. Sassurer que les moyens organisationnels (ex : escalade), humains
(ex : nombre et comptences des personnels dastreinte), et matriels
(ex : architecture redondante) permettent un respect des engagements
de service.
1.3. Vrifier que les niveaux de service assurs par la production font
2.4. Vrifier qu'il existe une bonne matrise des diffrentes missions de la
production :
identifier le primtre couvert par la production et en
driver les principales missions assumes ;
52
4. Livraisons en production
4.1. Vrifier les conditions et procdures de livraisons en production.
Valider la dmarche de contrle des livraisons en production et a minima
les points de contrles suivants :
recette fonctionnelle entre tudes et utilisateurs (PV de
recette) ;
4.3. Vrifier la nature des tests effectus par la production. Sassurer que
les machines et les environnements disponibles permettent de raliser le
cas chant les tests suivants :
test de montes en charge (volumtrie pour du
transactionnel2 et exploitabilit pour des traitements
asynchrones) ;
existe-t-il
une
procdure
descalade
dcrivant
spcifiquement quels sont les moyens de rsolution des
problmes (troubleshooting) mettre en uvre par chaque
niveau et les dlais rgissant lescalade. La procdure
descalade permet-elle le respect des engagements de
disponibilit (SLA) ?
6.2. Valider que les lments suivants font partie intgrante des
procdures de sauvegarde :
plan de sauvegarde identifiant par serveur / application, le
primtre de sauvegarde (fichiers, programmes, paramtres,
os,..) et la cyclicit ;
Rplication en temps rel des donnes sur deux disques durs miroirs
55
primtres (nouvelle
serveur, ) ;
livraison
applicative,
jour.
migration
les dlais contractuels dintervention et de rparation sontils en adquation avec les engagements de disponibilit ? Les
clauses de pnalits financires sont-elles ralistes et
applicables ?
administration rseau, )
les dlais contractuels dintervention et de rparation sontils en adquation avec les engagements de disponibilit ? Les
clauses de pnalit financire sont-elles ralistes et
applicables ?
57
58
3.4.
Points de contrle
INFORMATIQUES EN SERVICE
Une application informatique ( application software ) est un logiciel
accompagnant, automatisant, ou se substituant un processus ou une
partie de processus de lorganisation. Une application comprend des
programmes, des donnes, des paramtres, une documentation mais
aussi des habilitations pour grer les accs aux donnes et aux
transactions de l'application.
Laudit dune application peut avoir deux vises distinctes : laudit de
fiabilit et de scurit ou laudit d'efficacit et de performance. Un audit
complet couvrira ces deux primtres.
Laudit de fiabilit et de scurit a pour objectif dmettre une
apprciation motive sur la fiabilit de l'outil informatique, c'est-dire sur la qualit du contrle interne de l'application et la
validit des donnes traites et restitues. Ce type daudit
permettra de mettre en vidence d'ventuelles failles dans la
chane de contrle compose de contrles programms effectus
par la machine et de contrles manuels restant la charge des
utilisateurs.
59
60
2.8. La piste daudit sur le systme dadministration de lapplication estelle assure et rgulirement contrle ?
2.9. Tous les documents servant de base la saisie sont-ils prpars,
prformats, complets et approuvs avant saisie ?
2.10. Les facilits de saisie, lergonomie de la saisie, les messages crans
et les contrles de format sur les donnes permettent-ils dviter puis de
filtrer les erreurs de premier niveau ? Y-a-t-il unicit de la saisie de
linformation ?
2.11. Les contrles de validation permettent-ils de dtecter les doubles
saisies, les saisies incompltes, les incohrences (contrle de
vraisemblance et de rapprochement avec dautres valeurs, contrle de
limite et dtendue,) et certaines erreurs de saisie (contrle de
sommation, totaux de contrle pour les saisies de masse) ?
2.12. Utilise-t-on des brouillards de saisie pour validation par
rconciliation avec les documents sources ? Cette validation est-elle
indpendante ?
2.13. Les saisies des donnes sensibles et notamment les donnes
permanentes et les paramtres de lapplication sont-elles autorises,
compltes et exactes ?
des
pistes
(couverture,
2.20. Toutes les oprations de mise jour des donnes sensibles sontelles journalises (transactions, traitements batch) ?
2.21. Toutes les oprations de mise jour des donnes sensibles sontelles journalises (transactions, traitements batch) ?
2.21. Rapproche-t-on les totaux de contrle de fin de journe et la
diffrence est-elle analyse au travers des transactions journalises ?
2.22. Des contrles automatiques priodiques, notamment de
vraisemblance, sont-ils effectus afin de vrifier l'intgrit des montants
grs par l'application (niveau applicatif ou base de donnes) ?
2.23. La couverture, le contenu et la distribution des tats de sortie de
l'application sont-ils adapts aux enjeux et lorganisation de
lorganisation ?
2.24. Effectuer une revue dtaille des tats disponibles et de leur
destinataire et vrifier que chaque nouvel tat de sortie fait lobjet dune
procdure de recette.
2.25. Chaque utilisateur dispose-t-il du bon niveau dinformation et de
moyen de contrle adapt ?
2.26. La distribution des tats de sortie est-elle sous contrle (existence
dune procdure permettant lidentification et la validation formelle des
destinataires) et leur niveau de confidentialit assur ?
2.28. Les contrles utilisateurs des tats de sortie font-ils l'objet de
procdures formalises (guide de procdures), connues et appliques ?
2.29. Les procdures de validation des rsultats (Qui, Quand, Comment),
de classement et d'archivage des tats produits sont-elles adaptes,
formalises, connues et appliques ?
existence dune procdure, identification des responsables,
dlai de mise disposition des tats et dlai de validation,
procdures suivre en cas dincident.
2.30. Lorsque l'application est la juxtaposition de plusieurs modules,
l'homognisation des codifications et des rgles de gestion a-t-elle t
assure ?
3.18. Les procdures de sauvegarde et de reprise de lapplication sontelles satisfaisantes et rpondent-elles aux enjeux de lapplication et aux
engagements de service de linformatique ?
3.19. Une partie des sauvegardes est-elle stocke l'extrieur de
l'organisation (banque, socit spcialise) selon une priodicit adapte
aux enjeux ?
3.20. En cas de sinistre grave, existe-t-il un plan de secours en adquation
avec les besoins et les enjeux (plan durgence, plan de repli, plan de
reprise) ?
vrifier le dimensionnement des moyens mis en place ;
direction gnrale.
4.3. Les utilisateurs ont-ils t suffisamment associs la dfinition des
spcifications ou au choix de la solution puis aux volutions successives ?
4.4. Les utilisateurs ralisent-ils toutes leurs tches dans lapplication
(valuation du taux dautomatisation des oprations) ?
4.5. Sinon, maintiennent-ils des systmes parallles (ancien systme,
tableurs) en dehors de lapplication ? Existe-t-il des saisies multiples ?
4.6. Adquation aux besoins des utilisateurs :
la totalit des fonctionnalits de lapplication est-elle utilise
et matrise par les utilisateurs ?
64
5.13. Les outils de mesure de la performance et les tableaux de bord sontils adapts aux besoins et aux indicateurs, sans contestation possible ?
3.5.
LA GESTION DU PARC
La mission de la fonction support est oriente autour de deux axes :
fournir lassistance et le support aux utilisateurs des
systmes dinformation et amliorer en permanence leur
niveau de satisfaction ;
Points de contrle
1. Fonction support : audit fiabilit et scurit
1.1. Quelle structure de centre dassistance (help-desk) (HD) est mise en
place ?
1.2. Existe-t-il une procdure de gestion des demandes, diffuse et
connue des utilisateurs ?
1.3. Quelle est la procdure d'escalade mise en place ?
1.4. Quelle est la couverture gographique du HD ?
1.5. Quelle est la couverture fonctionnelle du HD ?
1.6. Un outil est-il implment pour la prise d'appel et le suivi des tickets ?
1.7. Quelles sont les critres renseigner pour la qualification des
tickets ?
1.8. Existe-t-il une liste de questions drouler lors d'un appel afin
d'identifier au mieux la demande de l'utilisateur ?
1.9. Les problmes sont-ils grs ? Si oui quel est le processus ?
1.10. Les incidents de production de nuit sont-ils saisis aussi dans l'outil ?
1.11. Quels sont les comits mis en place pour suivre les incidents et leur
rsolution ? Qui participe ? Comment sont suivies les actions ?
1.12. Si le HD est externalis, existe-t-il un contrat de service ?
1.13. Quels sont les indicateurs pour suivre le contrat de service ?
1.14. Y-a-t-il un planning systmatique concernant les mises en
production ?
1.15. Interroger le DSI, le responsable HD, des utilisateurs, l'quipe HD si
possible, participer la vie du HD .
1.16. Demander des extractions de la base de ticket :
vrifier le nombre, la compltude des critres, l'adquation
de la qualification, la description de l'incident ;
67
3.6.
Points de contrle
1. Activit de pilotage
1.1. La ligne de partage entre tudes et production est-elle clairement
dfinie et documente ?
1.2. Existe-t-il une cellule ddie en charge du suivi et du contrle des
projets et des ressources (gestion des plannings et des budgets, suivi des
temps et des cots) ?
1.3. Vrifier lexistence dune procdure de planification dtaille par
projet et/ou par ressource (en fonction des besoins et des enjeux : taille
des quipes, nombre et nature des projets) :
vrifier lexistence et lutilisation dun outil de gestion de
projet (PMW, Primavera, MS-Project) ;
69
2. Activits oprationnelles
70
une affectation
demandes ?
et
une
planification
dtailles
des
3.7.
Points de contrle
3.7.1.
Documents rcuprer
manuel utilisateur ;
manuel d'exploitation ;
73
3.7.2.
DES BESOINS
Points de contrle
2. tude d'opportunit et expression des besoins
2.1 L'expression dtaille des besoins est formalise dans un cahier des
charges fait par la MOA.
2.2 Le cahier des charges prconise une solution fonctionnellement et
techniquement pertinente au regard des besoins exprims.
2.3 Les exigences utilisateurs, les populations cibles, les options et
principes de gestion retenus sont prciss et prioriss.
2.4 Le projet est cohrent avec le plan directeur informatique.
2.5 Le projet est cohrent avec le SI actuel ou futur.
2.6 La direction est bien implique dans le projet.
2.7 Les acteurs de l'quipe projet et leurs responsabilits sont bien
identifis.
2.8 Les comptences du personnel sont en adquation avec les tches.
2.9 Une tude d'opportunit est valide.
2.10 Ce document comprend les objectifs du projet.
2.11 Ce document comprend l'analyse des dficiences des systmes
existants.
2.12 Ce document comprend les enjeux et la faisabilit du projet.
2.13 Ce document comprend les bnfices attendus et la rentabilit
conomique du projet.
2.14 Ce document comprend les contraintes relatives au projet.
2.15 Ce document comprend la liste des acteurs concerns.
2.16 L'tude d'opportunit a t revue par les directions utilisatrices et
par la direction informatique.
2.17 L'approbation de l'tude d'opportunit a t formalise par crit par
une personne ayant autorit pour le faire.
74
Points de contrle
3.7.3.
PLANIFICATION
3. Planification
3.1 Il existe un planning directeur commun tout le projet.
3.2 Il existe un plan de projet initial.
3.3 Ce plan de projet a t rvis.
3.4 Il existe des plans dtaills.
3.5 Ces plans ont t rviss.
3.6 Les plans intgrent une gestion optimale des ressources.
3.7 Il existe une valuation des risques lis la nature du projet.
3.8 Il existe une valuation des risques lis la technologie utilise.
3.9 Il existe une valuation des risques lis aux projets en cours.
3.10 Il existe une valuation des risques lis aux dlais.
3.11 Il existe une valuation des risques lis la synchronisation des
activits.
3.12 Les acteurs se sont engags respecter le planning gnral du projet.
3.13 Les lots sont bien identifis et suivis dans le planning.
3.14 La notion de reste faire est bien comprise par tous les acteurs.
3.15 Une estimation priodique du reste faire est effectue.
3.16 Il existe des "capteurs" d'alerte.
3.17 Il existe des procdures pour traiter les alertes urgentes.
3.18 Un mthode d'estimation des charges est applique.
3.19 Cette mthode est cohrente.
3.20 La mise en adquation des moyens humains est cohrente.
3.21 La mise en adquation des moyens techniques est cohrente.
Documents rcuprer
75
3.7.4.
INSTANCES DE PILOTAGE
Points de contrle
4. Les instances de pilotage
4.1 La structure de pilotage est formalise et connue de tous les acteurs.
4.2 Les diffrentes instances de pilotage connaissent leurs niveaux de
dlgation.
4.3 Les objectifs des dlgations sont atteints.
4.4 Il existe un comit de pilotage.
4.5 Il existe un comit de projet.
4.6 Il existe un comit des utilisateurs ou, a minima, une participation des
utilisateurs.
4.7 Les participants aux diffrents comits sont reprsentatifs et ont le
bon niveau de dcision.
4.8 Les participants ne sont pas trop nombreux.
4.9 Les gestionnaires de la production sont intgrs dans les structures de
pilotage.
4.10 La frquence des comits est approprie.
4.11 Il existe une runion priodique de revue du projet pour suivre son
avancement.
4.12 La traabilit des volutions de primtre, cot et dlai est assure.
4.13 Il existe des indicateurs de suivi du projet.
4.14 Les indicateurs sont adapts l'tape en cours.
4.15 Les indicateurs sont mis jour.
4.16 Les indicateurs sont pertinents par rapport aux objectifs du projet
(contraintes de dlais, de qualit, de cot, ).
4.17 Il existe un formalisme de reporting (tableau de bord par exemple).
4.18 La frquence du reporting est correcte.
Documents rcuprer
77
3.7.5.
METHODES ET OUTILS
Points de contrle
5. Mthodes et outils
Documents rcuprer
78
3.7.6.
Points de contrle
6. Qualit
6.1 Il existe un dispositif d'assurance qualit document.
6.2 Il existe un manuel d'assurance qualit de l'entit.
6.3 Il existe un plan d'assurance qualit du projet.
6.4 Les objectifs qualit du produit sont formaliss.
6.5 Les objectifs qualit du service attendu sont formaliss.
6.6 Le groupe assurance qualit est indpendant des quipes de
dveloppement du projet.
6.7 Une procdure de suivi des revues d'assurance qualit est formalise.
6.8 Les conclusions des revues d'assurance qualit sont prises en compte
par l'quipe projet.
6.9 Il existe un circuit d'approbation des livrables.
6.10 Ce circuit d'approbation est pertinent.
6.11 Il existe un audit de la qualit du projet par une personne extrieure.
Documents rcuprer
79
3.7.7.
Points de contrle
7. Conception gnrale et analyse
7.1 Il existe une analyse des diffrents scnarios possibles en termes de
solution retenue.
7.2 Tous les scnarios ont t envisags, mme celui de ne rien faire.
7.3 Les contraintes lies aux technologies (besoins en matriels, en
formation, en RH, contraintes juridiques, faisabilit oprationnelle, ) ont
t prises en compte.
Documents rcuprer
80
3.7.8.
CONCEPTION DETAILLEE
Points de contrle
8. Conception dtaille
Documents rcuprer
manuel utilisateur ;
manuel d'exploitation ;
81
3.7.9.
DEVELOPPEMENT , REALISATION OU
PARAMETRAGE
Points de contrle
9. Dveloppement, ralisation ou paramtrage
9.1 Il existe une mthode de dveloppement.
9.2 Cette mthode est correctement utilise.
9.3 Cette mthode est parfaitement matrise par les dveloppeurs.
9.4 Il existe des normes de documentation.
9.5 Ces normes sont appliques par les dveloppeurs.
9.6 Les dveloppements sont bien documents.
Documents rcuprer
82
3.7.10.
QUALIFICATION : TEST/RECETTE
Points de contrle
10. Tests et recettes
10.1 La MOE ralise des tests.
10.2 La MOE s'assure que chacun des composants de l'application
fonctionne tel qu'il a t dcrit dans le dossier de spcifications.
10.3 La MOE ralise des tests sur l'ensemble des composants de
l'application sur le plan fonctionnel et technique.
10.4 La MOE ralise des tests sur les interfaces de l'application dans le SI.
10.5 Des tests utilisateurs sont raliss.
10.6 Les tests portent sur l'adquation de l'application livre par la MOE
avec les besoins exprims par la MOA.
10.7 Les tests portent sur l'acceptation technique du systme (ergonomie,
performance, qualit des entres/sorties,).
83
Documents rcuprer
plan de tests ;
plan de recettes ;
manuel utilisateur ;
manuel d'exploitation ;
84
3.7.11.
UVRE
Enjeu capital dans la russite ou lchec dun projet, le changement vcu
par les organisations lors dune volution du systme dinformation doit
tre matris et gr comme un processus part entire.
Il sagit de lensemble de moyens, ressources, mthodes pour transfrer
la connaissance de lapplication de lquipe projet vers les utilisateurs et
les exploitants de lapplication.
Ce processus doit aboutir une relle appropriation du nouveau systme
dinformation par tous les utilisateurs ds la phase de dmarrage. La
dmarche de conduite du changement/mise en uvre est habituellement
structure en 6 phases :
identification et valuation des changements ;
plan de communication ;
plan de formation ;
organisation du soutien ;
dans les cas simples, la reprise des donnes peut tre incluse dans
cette phase.
Points de contrle
11. Conduite du changement et mise en uvre
11.1 Il existe une synthse de l'valuation des changements.
11.2 L'valuation des changements a t valide.
11.3 Les entretiens raliss sont reprsentatifs.
11.4 Les utilisateurs participent l'valuation des changements.
11.5 Il existe un plan de communication complet.
11.6 Les messages sont clairs et simples.
11.7 La communication volue et progresse par rapport au
dveloppement du projet.
11.8 La communication est fortement soutenue par la MOA.
11.9 Il existe un plan de formation.
11.10 La hirarchie des personnes former est implique.
11.11 Les profils types des personnes former sont identifis.
11.12 La population former est pertinente.
11.13 Les objectifs de chaque formation sont identifis et affichs.
11.14 Les sessions de formations sont values et repenses selon
l'valuation.
11.15 Le planning de formation est cohrent avec le planning du projet.
11.16 La dure du programme de formation est pertinente.
11.17 Les formateurs et le contenu de la formation sont de qualit.
11.18 Il existe une procdure d'valuation des forms et des formateurs.
11.19 Une organisation de soutien aux utilisateurs a t mise en place
dans la phase d'exploitation du nouveau systme.
11.20 Son organisation gnrale est bien anticipe.
11.21 Les diffrents niveaux de soutien sont coordonns et cohrents.
11.22 Il existe un dossier d'organisation de la reprise des donnes.
11.23 Le niveau de qualit des donnes d'origine est bien matris.
11.24 Il existe des contrles automatiques de la qualit des donnes
85
Documents rcuprer
plan de communication ;
plan de formation ;
86
3.7.12.
DOCUMENTATION
Points de contrle
12. Documentation
12.1 Il existe un manuel d'utilisation.
12.2 Le manuel utilisateur est conforme aux normes en vigueur.
12.3 Le manuel utilisateur est disponible et comprhensible par
l'ensemble des utilisateurs.
12.4 Le manuel utilisateur comprend les objets du systme et la
description des dessins d'cran et des commandes disponibles.
12.5 Le manuel utilisateur comprend les responsables concernant le
redressement des erreurs ou anomalies.
12.6 Le manuel utilisateur comprend la description des sorties et leur
mode de diffusion.
12.7 Le manuel utilisateur comprend les responsabilits en matire de
sauvegarde/archivage/purge.
12.8 La manuel utilisateur fait l'objet d'une procdure de mise jour.
12.9 Il existe un manuel d'exploitation.
12.10 Le manuel d'exploitation est accessible et comprhensible pour les
oprateurs.
12.11 Le manuel d'exploitation a t test lors des tests finaux.
12.12 Le manuel d'exploitation comprend la fonction des programmes.
12.13 Le manuel d'exploitation comprend le libell exact des fichiers
concerns.
Documents rcuprer
tableau de bord ;
manuel utilisateur ;
manuel d'exploitation ;
87
3.7.13.
ROLES ET RESPONSABILITES
Points de contrle
13. Structures mises en place l'occasion du projet
13.1 Les rles et les responsabilits respectifs de la MOA et de la MOE
sont clairement dfinis.
13.2 Les prrogatives du chef de projet sont clairement dfinies.
13.3 Le chef de projet dispose de l'autorit suffisante pour rsoudre les
ventuels conflits.
13.4 La MOA et la MOE disposent des comptences et des ressources
managriales, techniques et fonctionnelles suffisantes.
13.5 Les principales dcisions et orientations du projet sont prises par le
niveau de management adquat.
13.6 Les principaux intervenants sur le projet sont 100% ddis au projet
avec suppression, pendant la dure du projet, des anciens liens
hirarchiques.
13.7 La MOA ou la MOE ont bnfici d'une assistance extrieure au
cours du projet.
13.8 La consultation et l'implication des utilisateurs a t suffisante au
cours des diffrentes phases du projet.
13.9 Il existe un contrat de prestation entre la MOA et la MOE.
13.10 Si oui, il existe un engagement de rsultat.
Documents rcuprer
88
3.7.14.
Documents rcuprer
Points de contrle
14. Gestion des volutions
14.1 Les demandes d'volution du primtre sont frquentes.
14.2 Les demandes d'volutions sont formalises.
14.3 Il existe une procdure de gestion des volutions du primtre.
14.4 Une mesure d'impact est effectue.
14.5 Il existe une gestion des versions.
14.6 Les dcisions sont prises avec un dlai satisfaisant.
14.7 Les dcisions sont prises sur la base d'un niveau d'information
pertinent.
14.8 Le manuel utilisateur fait l'objet d'une procdure de mise jour.
14.9 Le manuel d'exploitation fait l'objet d'une procdure de mise jour.
14.10 Lorganisation de soutien aux utilisateurs est informe des
volutions et les a anticipes.
14.11 Les diffrents niveaux de soutien restent coordonns et cohrents.
14.12 Il existe un bilan de qualit de lvolution.
14.13 Le bilan de qualit prend comme rfrence les exigences qualit
fixes par la MOA et traduites par la MOE en objectifs et critres
respecter.
14.14 Lvolution est conforme aux besoins fonctionnels exprims par le
cahier des charges.
manuel utilisateur ;
manuel d'exploitation ;
89
3.7.15.
MISE EN PRODUCTION
Points de contrle
15. Mise en production
15.1 Les responsabilits respectives des directions des projets et de la
production sont clairement tablies et les primtres dcrits respectent
les principes de sparation des tches.
15.2 Il existe un document dcrivant les responsabilits respectives des
projets et de la production lors dune mise en production.
15.3 Les quipes projet et de production connaissent et respectent ce
document.
15.4 Les oprations de mise en production sont traces et conformes.
15.5 Les obligations respectives de lorganisation et de ses fournisseurs
lors de la mise en production sont clairement indiques dans les
documents contractuels.
15.6 Les membres de lorganisation et les fournisseurs respectent leurs
obligations lors de la mise en production.
15.7 La bascule de la garantie vers la maintenance est organise travers
des documents contractuels clairs.
Documents rcuprer
90
3.8.
DOMAINE INFORMATIQUE
Ce paragraphe est consacr aux marchs spcifiques au domaine
informatique. Il a vocation complter le guide des bonnes pratiques des
achats de services informatiques du service des achats de ltat (SAE), qui
reste la rfrence.
Les risques propres ces marchs sont notamment :
limprcision des responsabilits des acteurs tatiques et privs,
en raison de lutilisation dans les marchs des notions de MOA,
MOE, AMOA, etc. sans accord explicites des parties sur la porte
de ces notions ;
91
3.8.1.
TECHNIQUE
L'assistance technique (qui se retrouve frquemment en conduite de
projets sous la forme dAMOA) est un besoin pour les services du
ministre qui ne disposent pas de toutes les comptences pour mener
bien toutes les missions qui leur sont confies. Nanmoins, les marchs
passs dans ces domaines prsentent diffrents risques :
risque de perte de comptence pour les services ;
risque pnal car ces marchs, s'ils sont mal rdigs, mal passs ou
mal excuts, courent le risque d'tre requalifis, par le juge, en
prt illgal de main d'uvre ou en dlit de marchandage.
Points de contrle
1. Marchs dAMOA
1.1 Les responsabilits respectives de ladministration et du titulaire sont
clairement tablies et le march ou un document qui lui est annex les
prcise.
1.2 Les quipes du titulaire et les reprsentants de ladministration
connaissent et respectent ce document.
1.3 Lobjet du march est rgulier :
la prestation, objet du march, nest pas irrgulire par nature
(liquidation de factures, rdaction de marchs, ) ;
93
3.8.2.
Le march peut avoir pour objet la prestation de services dont le prix est
fix forfaitairement, la date de conclusion du contrat. Mme dans le
cadre dun forfait, le contrat peut dtailler les sommes alloues au titre
des redevances de licences, de maintenance, ou du prix de la formation
ventuelle, des dveloppements spcifiques
Si le client a lavantage de bnficier dun prix forfaitaire, il faut tenir
compte dun certain nombre de risques. Par exemple, le calendrier peut
driver, la charge de travail du prestataire peut tre sous-value, ou le
rfrentiel trop imprcis peut enfermer ladministration dans un
primtre excessivement restreint.
Points de contrle
2. Marchs de prestation sur la base dun forfait
2.1 Sagissant des licences, le march prvoit les droits concds par
lditeur et les conditions daccs au code source en cas de rsiliation.
2.2 Le contrat prcise quels documents constituent le rfrentiel des
spcifications afin de dterminer le champ des prestations entrant dans le
montant du march fix forfaitairement.
2.3 Le march distingue le traitement des volutions qui pourront
entraner une facturation complmentaire, dans des conditions prvues
entre les parties, et celles, simples prcisions ou adaptations, qui
resteront incluses dans le prix tabli forfaitairement.
2.4 Un mcanisme de pnalits de retard sanctionne le non-respect du
calendrier (y compris les jalons intermdiaires), ou un bonus est prvu si
le prestataire atteint ses objectifs dans des dlais plus courts que prvu.
2.5 Les jalons intermdiaires ne sont pas artificiels.
2.6 Le march prcise bien quels sont les prrequis (disponibilit du
personnel du client, configuration matrielle, ).
94
3.8.3.
Points de contrle
3. Marchs de prestation sur la base dun forfait horaire
3.1 La nature de la mission confie au prestataire est matrialise et
dfinie prcisment. Le recours des personnes extrieures (expertise
particulire par exemple) est justifi.
3.2 Le march attribue explicitement la responsabilit de lexcution des
travaux incombant au prestataire et prcise que le lien de subordination
du personnel nest en rien transfr ladministration. Les relations sont
formalises dans les pices constitutives du march.
3.3 La dure du march est clairement limite la mission dcrite dans
lobjet du contrat, ou un terme prcisment fix dans le temps est prvu.
3.4 Les clauses du march prvoient (et lexcution montre) que lorsque
le personnel de la SSII intervient dans les locaux de ladministration, il doit
respecter les rgles dhygine et de scurit ainsi que les rgles gnrales
et permanentes relatives la discipline, issues du rglement intrieur du
client (il nest toutefois pas soumis aux mmes contraintes horaires et de
congs).
3.5. Le prestataire est, dans la mesure du possible, isol dans un local qui
lui est confi pendant la dure de la prestation (rdaction dun protocole).
Cette disposition peut tre contraire lobjet mme du march,
notamment dans le cas dune plateforme commune au cur de la
mthode AGILE. Dans ce cas, lattention doit tre porte sur la stricte
limitation des ressources accessibles aux agents du prestataire.
95
3.8.4.
(TMA)
La norme AFNOR Z67 801-1 dfinit linfogrance comme tant un service
dfini comme le rsultat de lintgration dun ensemble de ressources
lmentaires, visant confier un prestataire informatique tout ou partie
du systme dinformation du client dans le cadre dun contrat pluriannuel,
base forfaitaire, avec un niveau de service et une dure dfinis.
Une TMA consiste, comme pour le SaaS, en lexternalisation dune
infrastructure et/ou dune application. Il ne sagit pas de lexternalisation
dun processus (BPO, pour Business Process Outsourcing, en anglais).
Ainsi, dans une TMA, lutilisateur tatique demeure responsable de
lutilisation qui est faite des matriels et logiciels externaliss, et du
rsultat de leur emploi.
Aux intrts stratgiques (optimiser la gestion de son systme
dinformation, rduire les cots, gagner du temps) rpond le risque de
dpendance vis--vis du prestataire.
Points de contrle
4. Marchs dinfogrance ou de TMA
4.1 Le march notifi prcise convenablement lopration projete et sa
dlimitation. Un audit technique et juridique des caractristiques des
applications de lentreprise cliente pourra avoir t ralis en phase
pralable.
4.2 Le march inclut un engagement du prestataire sur des performances
et une qualit du service. Une clause du CCAP fixe les indicateurs de
qualit, par exemple par une rfrence un PAQ (qui peut tre le premier
livrable du march) ou loffre du fournisseur, avec des pnalits
associes en cas de non-respect.
4.3 Le march prvoit lobligation pour le prestataire, quelle que soit la
cause du terme du contrat, de prendre toutes les dispositions utiles ou
dapporter son client son concours pour assurer la rversibilit de la
mise en infogrance de son systme informatique (soit parce quil
souhaite lexploiter lui-mme, soit parce quil souhaite en confier
lexploitation un tiers de son choix). Le contrat prcise les conditions
dapplication et les modalits pratiques de cette rversibilit.
4.4 Les dispositions du march organisant la rversibilit sont mises en
uvre de manire dmontrable, la fois par le prestataire et par les
services de ladministration qui en sont bnficiaires.
4.5 La TMA ne camoufle pas du dveloppement.
96
3.8.5.
Points de contrle
5. Marchs FAH
5.1 Le march prvoit lobligation, pour le prestataire, dassurer la
scurit des donnes traites, et ce dautant plus si celles-ci sont sensibles
(donnes comptables, fiscales, sociales ou de paie notamment). Cette
obligation de scurit concerne tant le traitement de donnes que leur
conservation, voire leur archivage.
5.2 Sagissant des licences, le march prvoit les droits concds par
lditeur et les conditions daccs au code source en cas de rsiliation. Il
prvoit galement la possibilit de transfrer le savoir-faire du prestataire
relatif un produit, qui est galement une condition de la rversibilit.
5.3 Le contrat prvoit ltendue des prestations fournies par le prestataire
(les conditions daccs aux services, les niveaux du service et les causes
dexclusion du service).
5.4 Le contrat prcise les niveaux de service attendus par le client tant en
termes de performances quen termes de disponibilit des applications.
97
98
4. DICTIONNAIRE DES
EXPRESSIONS SPECIFIQUES ET
ACRONYMES
4.1.
SPECIFIQUES DU DOMAINE
Ces dfinitions rapides doivent permettre aux auditeurs de vrifier quils
partagent avec les audits une mme comprhension de certaines
notions spcifiques et complexes. Cette vrification est particulirement
ncessaire lorsquune tierce partie un prestataire est implique, par
exemple lors de lexamen des conditions de ralisation dun march.
4.1.2.
STRATEGIQUE INFORMATIQUE
Le schma directeur est un plan stratgique destin piloter le
dveloppement de l'informatique dans l'organisation, en cohrence avec
sa stratgie gnrale.
Un schma directeur informatique dcrit le systme informatique actuel
et futur, dans une logique dobjectifs et de services attendus. Il offre donc
une vue globale de ltat prsent du systme, un inventaire et une
spcification des besoins et dfinit des orientations.
Il est approuv par le plus haut niveau de lorganisation. Il doit faire
lobjet darbitrages clairs portant sur les finalits vises, les adaptations de
processus oprationnels, les ressources humaines et financires affectes
et les tapes et le calendrier de ralisation.
Sa dure de vie est gnralement comprise entre deux et six ans.
4.1.3.
4.1.1.
GOUVERNANCE DU SI
4.1.4.
4.1.5.
APPLICATION OU DE DONNEES
Un propritaire dapplication est charg de veiller la bonne adaptation
dune application ou dun portefeuille dapplications aux besoins du
mtier (notion dalignement stratgique) et son environnement logiciel
et matriel.
Il est, ce titre, linterlocuteur du responsable des processus et mtiers
utilisant lapplication, de lurbaniste du systme informatique, du
gestionnaire des budgets informatiques (maintenance, volution et
nouveaux projets), du responsable de la scurit informatique et du
responsable des plans de continuit et de reprise de lactivit de
lorganisation.
4.1.6.
4.1.7.
4.1.8.
CHARTE DUTILISATION
POLITIQUE DE SECURITE
Elle couvre l'ensemble des orientations suivies par une entit en matire
de scurit. la lumire des rsultats de l'analyse de risques, elle :
dfinit le cadre d'utilisation des ressources du SI ;
le poste de travail ;
o
identifie les techniques de scurisation mettre en uvre dans
les diffrents services de l'organisation ;
le rseau local ;
internet ;
la messagerie lectronique ;
le tlphone.
102
4.1.9.
ENVIRONNEMENTS DE DEVELOPPEMENT
(ETUDES ), DINTEGRATION ET DE PRODUCTION
(EXPLOITATION)
La sgrgation des environnements et des fonctions de dveloppement et
de production informatique est un lment essentiel de la scurit
informatique et de la lutte anti-fraude. Elle joue en matire informatique
un rle quivalent la sparation entre ordonnateurs et comptables en
matire de dpense publique, et revt la mme sensibilit.
Toute modification des applications informatiques, depuis les grands
projets applicatifs jusqu la mise jour dune composante du systme
dexploitation, doit respecter cette sgrgation. Elle est dveloppe sur
un environnement SI spcifique (qui peut tre celui dun prestataire), sur
lequel elle est teste une premire fois.
Elle est ensuite qualifie par les quipes de la production, dans un
environnement
distinct
de
lenvironnement
de
production
(lenvironnement accessible aux utilisateurs, sur lequel sont ralises les
activits relles de lorganisation) mais aussi reprsentatif que possible de
ce dernier.
Cette qualification inclut les tests de bon fonctionnement, mais aussi la
revue du code (ou, dfaut, des spcifications dtailles) et de la
documentation.
Cette acceptation par la production est un prrequis indispensable au
transfert de la modification sur lenvironnement de production.
Les interventions directe des tudes sur lenvironnement de production
doivent tre limites au strict minimum et parfaitement traces et
encadres.
103
4.1.10.
RECETTE
4.1.11.
CONVENTION ET CONTRATS DE SERVICE
(SLA / OLA)
Le contrat de service, appel aussi convention de service, souvent dsign
par lacronyme anglais SLA (pour service level agreement) , est un
document qui dfinit la requise entre un prestataire dun service
informatique et les usagers de ce service, ou clients .
Un SLA est la formalisation dun accord ngoci entre deux parties. Il met
donc par crit un niveau de service, exprim par lattente des parties sur
le contenu des prestations, leurs modalits d'excution, les
responsabilits des parties, et des garanties, notamment en termes de
continuit ou de rtablissement de service.
4.1.12.
Les PRA et PCA vont trs au-del de la seule informatique. Ils sont donc un
dispositif cl de lorganisation, qui conditionne sa capacit agir en
situation de crise interne ou externe, et doivent, ce titre, faire partie de
sa stratgie de scurit. Ils doivent toujours tre en conditions
oprationnelles, ce qui implique de mettre en place une politique de tests
rguliers.
104
4.1.13.
INFOGERANCE ET OUTSOURCING
4.1.14.
INFORMATIQUE EN NUAGE , OU CLOUD
COMPUTING
Linformatique en nuage est une technologie qui consiste sappuyer sur
les capacits des rseaux pour mettre la disposition des utilisateurs
finaux un service, fourni par des logiciels et une infrastructure
informatique souvent distants.
105
Le cloud computing peut donc aller du trs basique au trs complet (IaaS,
PaaS, SaaS, etc., le contenu prcis de chacune de ces notions tant en
dbat). Les offres IaaS et PaaS sadressent aux services informatiques. Les
offres SaaS sadressent directement aux utilisateurs des applications.
4.1.15.
DATACENTER
4.1.16.
MAINTENANCE APPLICATIVE OU
CORRECTIVE, TMA, TME
condition
4.1.17.
PROGICIEL DE GESTION INTEGREE PGI
(ERP)
Un PGI (progiciel de gestion intgr) ou ERP (Enterprise Resources
Planning) est un progiciel qui intgre les principales composantes
fonctionnelles de l'entreprise : gestion de production, gestion
commerciale, logistique, ressources humaines, comptabilit, contrle de
gestion. l'aide de ce systme unifi, les utilisateurs de diffrents mtiers
travaillent dans un environnement applicatif identique qui repose sur une
base de donnes unique. Ce modle permet d'assurer lintgrit des
donnes, la non-redondance de l'information, ainsi que la rduction des
temps de traitement.
107
108
4.2.
Les acronymes ci-dessous sont ceux qui, cits dans le document, nont pas
t dfinis ou explicits par ailleurs.
GB : Help desk
IaaS
Batch
BPR
BSC
ITIL
MCD
OS
PaaS
Service dhbergement
GB : Platform as a Service
PCI/PRI
COMEX
Comit excutif
SaaS
CPU
DBA
COBIT
GB : Software as a service
SAN
GB : Database administration
GB : Storage Area Network
HD
SSO
TP
UML
YTD
Anne glissante
GB : Year to date
110
SECRETARIAT GENERAL
..
6. Le niveau de dtail abord vous a-t-il sembl adquat ?
Oui :
..
Non :.
..
7. Le cas chant, quels aspects auriez-vous souhait voir plus
dvelopps ? Quels aspects vous ont-ils parus trop dvelopps ?
Pas assez dvelopps :
..
..
..
Trop dvelopps :
..
..
8. Pouvez-vous valuer lutilit de ce guide sur une chelle de 1
(peu utile) 5 (extrmement utile) ?
1. Peu utile
2. Assez utile
3. Utile
4. Trs utile
5. Extrmement utile
9. Souhaitez-vous
suggestions ?
formuler
dautres
*
* *
Vous pouvez galement tlcharger ce formulaire au format
lectronique ladresse suivante :
http://www.action-publique.gouv.fr/files/questionnaire_guide_si.doc
Formulaire renvoyer :
a) par voie lectronique : sec-gen.chai@finances.gouv.fr ;
b) ou voie postale :
Secrtariat gnral du CHAI - Tldoc 659
139 rue de Bercy
75572 Paris Cedex 12
commentaires ou
112