Quelle est la démarche pour mener un audit du SI et quels sont les facteurs clés de succès ?

Cet article fait suite à une première interview  « Quand et pourquoi engager un diagnostic de son Système d’Information ? »  dans laquelle nous étudions les contextes dans lesquels sont réalisés les diagnostics ainsi que les déclencheurs les plus courants.

Nous poursuivons dans cette interview la discussion avec  Olivier Parker, porteur de l’offre AIT (Architecture, Intégration et Technologies), sur la démarche et les points d’attention.

Y a-t-il une étape préliminaire avant de lancer son audit du système d’information ?

Avant tout, il faut adapter la granularité de l’audit au besoin et au contexte ! Cela va permettre d’ajuster l’effort selon les objectifs. Par exemple, un diagnostic peut avoir une surface très large, en termes de domaines audités, mais une profondeur faible ou l’inverse. Il peut aussi avoir une précision importante sur une facette précise, et être moins détaillé sur le reste. La démarche peut également être itérative afin de construire d’abord une vue 360° puis de se concentrer sur la cause principale de l’incident quand elle aura été identifiée.

Ces choix vont jouer un rôle très important, car l’audit ne doit surtout pas engendrer un effet tunnel. Celui-ci est particulièrement contre-productif dans le cas d’un audit : il va entraîner une pression sur les équipes et mettre les acteurs impliqués dans un état d’attentisme ou induire un sentiment de culpabilité. Quel que soit l’audit, c’est une source d’impatience pour les participants et la Direction Générale !

L’alignement entre le donneur d’ordre et l’auditeur sur cette granularité et sur la cible sont un prérequis essentiel pour que l’audit puisse être rapide. C’est également un gage de succès : il faut préserver une durée courte pour que l’audit soit efficient et perçu comme tel !

 

La capacité de l’auditeur à réaliser un « audit flash » est pour moi un élément déterminant. Il est toujours possible d’analyser ensuite en profondeur tel ou tel domaine.

 

Quelle est la démarche pour mener un diagnostic du Système d’Information ?

La première étape est de comprendre ce qui a déclenché le diagnostic. Ce déclencheur va constituer le fil rouge, même si on identifie souvent par la suite d’autres causes. Ce déclencheur peut être par exemple un incident, une crainte vis-à-vis d’un risque ou un objectif de transformation.

Ensuite, l’auditeur et le donneur d’ordre doivent s’accorder sur les modalités de réalisation de l’audit. C’est-à-dire les personnes qui pourront être contactées, la posture, le cadre de communication et les éléments de prudence. Ne nous voilons pas la face : un diagnostic peut être vécu comme une intrusion ! La prestation de l’auditeur doit être légitimée en interne pour que le diagnostic soit un succès.

L’auditeur va ensuite préparer le diagnostic avec des trames d’interviews, la liste des données à collecter, et les leviers pour récupérer ces informations. Tout cela est bien sûr partagé en toute transparence avec le donneur d’ordre.

On passe ensuite à la découverte de la situation actuelle au travers d’interviews d’acteurs internes et externes à l’organisation ainsi que d’outils techniques afin par exemple de simuler l’incident, de récupérer des traces ou de collecter des données.

 

Plus l’accès à l’information est ouvert plus l’audit sera efficace !

 

Une fois cette masse de données recueillies, le premier traitement consiste à synthétiser sans analyse et sans interprétation les informations. Cette restitution permet d’identifier un potentiel déficit d’informations, et de rectifier le tir avec le client. C’est aussi une opportunité pour partager des informations complémentaires qui n’auraient pas été identifiées initialement.

 

La synthèse est l’étape pivot : l’auditeur s’assure que la collecte est complète et que le donneur d’ordre valide le socle de départ !

 

Ensuite, c’est la phase d’analyse. C’est elle qui va apporter la vraie valeur pour le client ! Les auditeurs mettent alors pleinement à profit leurs connaissances, leur bagage méthodologique et leurs retours d’expérience. L’objectif est soit d’identifier les chaînes de causalité, c’est-à-dire l’enchaînement cause/effet, cause/effet… qui ont donné toute son ampleur à l’incident, soit, si le déclencheur n’est pas une défaillance, de déterminer les leviers de valeur et les risques.

L’analyse est finalement restituée lors d’un plan de remédiation qui va présenter et prioriser les corrections : processus non documentés, outils obsolètes, points d’attaques informatiques potentiels, contrats avec les prestataires à faire évoluer… Au-delà de pointer les sujets du doigt, il doit aussi proposer le plan d’actions pour y remédier !

Je suis convaincu que le plan de remédiation doit être directement exploitable par les clients : il doit expliquer le quoi, pourquoi, comment et le quand. Pour finir, les auditeurs peuvent parfois être acteurs du pilotage des plans d’actions. Cela garantit la continuité entre le bilan et la transformation effective.

 

Quels sont les problèmes identifiés avec plus fort impact ? Quelles sont les actions prioritaires ? Les quick-wins ? Quels changements doit-on inscrire sur le moyen terme ? Comment se mettre en mouvement sur les préconisations ?

 

Quels sont pour toi les facteurs clés de succès de l’audit du Système d’Information ?

Je suis particulièrement attentif à l’effort de synthèse : la schématisation graphique est un bon support d’échange avec le donneur d’ordre ! Les livrables doivent raconter une histoire, par exemple pour expliquer la chaîne d’évènements. Proposer des comparaisons sur les cadres concernés, réglementaires, bonnes pratiques ou concurrents, est aussi l’occasion de mettre en valeur des contrastes pour illustrer les forces et les faiblesses.

 

La restitution ne se résume pas à lister l’ensemble de l’information. Il faut rendre le plan de remédiation visuel pour que le client puisse se projeter et s’approprier l’analyse et les actions à mener.

 

Une autre conviction, c’est que la DSI devrait s’auditer régulièrement et maintenir une cartographie à jour de son Système d’Information. Cependant, cela fait tout de suite écho à une autre conviction : c’est de bien appliquer le principe de Pareto ! Il vaut mieux démarrer avec une granularité modérée et la maintenir dans la durée, qu’avoir une cible très détaillée et l’abandonner. Surtout que l’approche peut être graduelle : on doit avant tout commencer par bâtir le socle et la régularité.

Un bon point de départ est de débuter par une cartographie avec une vision haute. Mettez-y les services fonctionnels rendus aux métiers, comment ils se matérialisent en briques applicatives et comment ces briques interagissent entre elles. Ce sera déjà une excellente base de travail !

Dans tous les cas, l’enjeu réside souvent dans l’embarquement des personnes concernées. Cela implique des impératifs de conduite du changement afin de toujours mettre à jour les connaissances à chaque changement, par chaque projet.

Pour finir, il est évident que le capital de connaissance et d’expérience de l’auditeur auront un impact important sur la qualité de l’audit. Ce capital dépend de la pertinence de la méthodologie, des analogies possibles, de l’expertise technique, du matériel utilisé et de la posture des consultants. Ces atouts se reflètent dans la qualité des interviews autant sur le fond que sur la communication, et bien sûr dans l’analyse et la capacité à synthétiser les messages clés.

 

Même la meilleure DSI du monde  doit connaître son état pour être agile et réactive ! Elle doit avoir conscience des points forts, des défauts, de la dette, sans subjectivité.

 

Comment Projexion accompagne-t-elle les organisations autour des enjeux d’audit ? Quels sont ses atouts ?

Chez Projexion, la complémentarité des expertises permet d’adresser des natures de problématiques très vastes. La compétence en ingénierie de projet, par exemple, va permettre d’auditer la facette de transformation du Système d’Information. Les compétences en processus et en accompagnement du changement apportent un regard critique sur l’organisation et les méthodes. L’architecture d’entreprise assure quant à elle de disposer d’une vision large du SI. Cette capacité à mobiliser toutes ces natures de compétences est un atout pour mener les audits avec une vision exhaustive !

La sensibilité à la dimension humaine fait partie intégrante de l’ADN de Projexion. C’est aussi un différenciateur. Un diagnostic réussi est respectueux de l’écosystème qu’il vient auditer. La posture, la transparence et la bienveillance sont donc essentielles.

Pour finir, Projexion est un acteur de la transformation : le donneur d’ordre peut tirer partie de la continuité entre l’audit et le pilotage de l’évolution effective du SI.

 

Dans le cadre des prestations liées au SI, je suis convaincu que l’audit est parmi celles qui a le plus grand Retour sur Investissement. Les délais et le budget sont modérés alors que les bénéfices opérationnels et l’influence sur l’organisation peuvent être énormes.

Olivier Parker, Consultant en Architecture d'Entreprise et management de Projet

Olivier Parker

Consultant en architecture d’entreprise 
et management de projets

 

Envie d’en savoir plus sur nos prestations d’audits et de diagnostics du SI ? Echangeons !

 

Soyez averti(e) de nos prochains évènements et publications via LinkedIn !