UNIVERSITE PAU ET PAYS DE LADOUR INSTITUT DADMINISTRATION DES ENTREPRISES

INITIATION A LA MISE EN PLACE DUN REFERENTIEL COBIT

Mmoire de Matrise de Science de Gestion des systmes dinformations
Mmoire prsent par : VILLEFLOSE Grgory

Anne Universitaire 2004-2005

UNIVERSITE PAU ET PAYS DE LADOUR INSTITUT DADMINISTRATION DES ENTREPRISES

INITIATION A LA MISE EN PLACE DUN REFERENTIEL COBIT

Mmoire de Matrise de Science de Gestion des systmes dinformations
Mmoire prsent par : VILLEFLOSE Grgory

L'universit n'entend donner aucune approbation ni improbation aux opinions mises dans ce mmoire ; ces opinions doivent tre considres comme propres leur auteur

Anne Universitaire 2004-2005 Suivi par Mr RECASENS et Mr SALLABERY Volume : 50 pages

2

Rsum
A lheure actuelle le systme dinformation dans les entreprises, mme moyennes, est devenu une organisation a lui seul, comprenant des fonctions multiples tout autant que de techniques. Cance ne fait pas exception la rgle cite prcdemment, tout systme dinformation doit donc intgrer une organisation, une structure, permettant denchaner, corrler et structurer les oprations menes. Chez Cance comme chez tant dautres socits cette organisation est dstructure. Ce rapport sinterroge sur la possibilit de mettre en place un rfrentiel processus, tel que le Cobit dans une entreprise du btiment tel que Cance. Cette rflexion porte sur les rfrentiels possibles, leurs adaptations lentreprise. La mise en place dun rfrentiel ne se faisant pas telle quelle, ce rapport sintresse aussi aux outils de gestion de processus mis en place, ainsi que les actions dcoulant de la mise en place dun rfrentiel.

Descripteurs
Systme dinformation, processus, rfrentiel, rfrentiel processus, Cobit, audit, service informatique, gestion de processus

Abstract
This report wonders about the possibility of setting up a reference framework process, such as Cobit in a company of construction. Actually the information system in the firm became an organization, including multiple functions and techniques. Cance doesnt make exception, integrating an

organization and a structure, in order to connect, correlate and making operations. As many other firms Cance is disorganized. This document deals with the possible reference

frameworks and their adaptations to the company. Set up of a not being done reference Framework implicates set up tools of process, as well as, actions rising, from the installation of a reference framework process.

Keywords
Information system, process, reference frame, reference frame process, Cobit, to that, data processing department, management of process

Fiche de renseignement du stagiaire

Stagiaire : Villeflose Grgory Promotion : MSG GSI Anne universitaire : 2004-2005

Fiche de renseignement de lentreprise

Entreprise : CANCE SA Adresse : B.P.35 Route de la Montjoie CP : 64 800, NAY

NSIRET : 097 280 234 00010, Code NAF: 281 A Groupe: CANCE DEVELOPPEMENT Nom du Directeur : Christian CANCE Responsable de stage: Direction des oprations, Maurice PRADE Activit de lentreprise: CANCE Constructions mtalliques tudie, conoit et ralise des btiments industriels, agricoles, commerciaux, sportifs, scolaires, universitaires et hospitaliers. Chiffre daffaire : 50 millions deuros Principaux clients : Les Mairies, ASF, Auchan, EDF, la DDE, Renault

Descripteurs
Systme dinformation, processus, rfrentiel, rfrentiel processus, Cobit, audit, service informatique, gestion de processus

Remerciements
Je tiens tout dabord remercier lensemble du corps enseignant pour les informations quils ont pu me fournir dans le cadre de la recherche du stage ainsi que dans la dtermination des objectifs de stage. Je remercie tout particulirement Mme Darand, pour ses conseils sur les dmarches qualit, Mr Squozie pour tout ce qui concerne laudit ainsi que Mme Bessagnet pour ses cours sur la modlisation et pour ses conseils. Je dois de mme remercier tout particulirement Mr Recasens et Mr Sallabery pour leurs conseils dans la rdaction de ce mmoire. Mes remerciements vont aussi vers Mr Prade, qui a pris sur son temps et a t toujours prsent pour me suivre tout le long du droulement de mon stage. Je dois de mme remercier tout le personnel qui par sa patience a permis que mon stage se droule au mieux Je dois aussi rendre hommage toutes les personnes parents, amis, qui mont aid au cour de la rdaction de ce mmoire et aussi au cour de ce stage.

Plan
INTRODUCTION..................................................................... 8 PROBLEMATIQUE : QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DINFORMATION DUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS ? .................................................................. 13 I. COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI ................................................... 15 A. LE REFERENTIEL PROCESSUS : LA SOLUTION DORGANISATION DUN SI DESORGANISE ............................ 16 1. La situation et les attentes de Cance : la recherche dun cadre organisationnel ....................................................... 16 2. Cahier des charges et orientation de la rflexion ....... 18 B. LES REFERENTIELS POSSIBLES ........................................ 20 1. Cobit loutil le plus adapt lorientation stratgique du SI de Cance .................................................................. 20 2. Documents et outils mis en place ................................ 24 II. UN PROJET DAUDIT DANS LORIENTATION STRATEGIQUE DU SI .......................................................... 31 A. METHODOLOGIE DAUDIT ET LE COBIT .......................... 32 1. Mthodologie et droulement dune mission daudit . 32 2. Droulement de la mission daudit concili au Cobit . 33 B. LES REPERCUSSIONS OPERATIONNELLES ........................ 36 1. Audit technique............................................................ 36 2. Audit orient organisation et stratgie........................ 38 CONCLUSION : CANCE, UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT ......................................... 42 BIBLIOGRAPHIE : .................................................................. 48

Liste des annexes

LEXIQUE : .............................. ERREUR ! SIGNET NON DEFINI. FICHE PROCESSUS .................. ERREUR ! SIGNET NON DEFINI. CLASSIFICATION DES PROCESSUS COBIT ...... ERREUR ! SIGNET NON DEFINI. MODELE DE MATURITE COBIT ERREUR ! SIGNET NON DEFINI. FICHE PROCESSUS COBIT ....... ERREUR ! SIGNET NON DEFINI. QUESTIONNAIRES COBIT......... ERREUR ! SIGNET NON DEFINI. MODELE BUDGET (NON BUDGETE) ...... ERREUR ! SIGNET NON DEFINI. MODELE TABLEAU DE BORD (RESUME) ERREUR ! SIGNET NON DEFINI. TB TELEPHONIE RESUME (1P/5P) ........ ERREUR ! SIGNET NON DEFINI. DIAGRAMME MISSION ............. ERREUR ! SIGNET NON DEFINI. ORGANIGRAMME DE LA SOCIETE ET DU SI.... ERREUR ! SIGNET NON DEFINI. RAPPORT DAUDIT GENERAL (12P/60P) ERREUR ! SIGNET NON DEFINI. QUESTIONNAIRE ELABORE / PERCEPTION DE LA FONCTION HELPDESK .............................. ERREUR ! SIGNET NON DEFINI.

Introduction
Jai ralis mon stage chez Cance constructions mtalliques au sige social Nay. Cance propose de raliser des btiments aux utilisations diverses mais exploitant le mme savoir faire : la production et la matrise du mtal.

Cance de la petite entreprise familiale au groupe industriel

Un peu dhistoire : Cance a t fond en 1961, par Robert Cance pre de lactuel PDG : lorigine destine lactivit de serrurerie, lentreprise va se dvelopper autour de lactivit des charpentes mtalliques, en automatisant trs tt son processus de production. Cance SA connatra un dveloppement important notamment dans le Sud Ouest de la France. La stratgie de dveloppement en lots verra la cration dagences

commerciales Bayonne (1981), La Rochelle (1998), Tours, Narbonne

(2002) et enfin Clermont Ferrand (2004) comprenant pour certaines, leurs propres ateliers. Cance qui doit faire aussi face une concurrence importante, sest aussi implant au Portugal en crant une usine de fabrication Carregal de Sal (2800m2)

Le groupe Cance cr en 1991 regroupe ainsi autour de lentit Cance Dveloppement : -Cance SA : construction mtallique -Cance Mtallerie : mtallerie -Cance Aluminium : menuiserie aluminium Sajoute aussi Cance runion la dernire des filiales, regroupant toutes les activits du groupe sur un mme site.

Mais aujourdhui Le groupe Cance dirig par Christian Cance totalise aujourdhui un chiffre daffaires de 60 millions deuros avec plus de 400 employs et reste en constant dveloppement (ouverture de site dans le nord)

Domaines dactivits
Cance constructions mtalliques tudie, conoit et ralise des btiments industriels, agricoles, commerciaux, sportifs, scolaires, universitaires et hospitaliers. Pour raliser ces btiments, les usines de productions transforment des barres dacier en lments qui, une fois assembls entre eux sur le chantier, constituent lossature ou la structure mtallique du btiment. En 2003, la production reprsentait 10 100 tonnes dacier. Tous les autres matriaux qui interviennent dans la ralisation du btiment ne subissent pas de transformation, ils sont achets diffrents fournisseurs et sont directement ou non achemins sur le chantier afin dtre fixs lossature. Il sagit par exemple des visseries, de la couverture ou de lisolation.

Les clients
Chaque client est part, les btiments, biens immobiliers tant des constructions non standardises. Chaque btiment est ainsi un produit avec ses particularits. Les clients sont trs divers allant du particulier voulant se faire construire un garage, une association dsirant se faire btir une buvette ou encore un grand groupe

aronautique dsirant crer des hangars. Cance a ralis des hpitaux (Pellegrin, Tarbes), la gare de page de Bayonne ou encore certaines infrastructures du tramway de Bordeaux

CHU Pellegrin Bordeaux

 Les moyens de production

CANCE constructions mtalliques dispose de deux sites de production. Le premier Nay, ayant 8000 m2 de superficie et le second Carrgal Do Sal au Portugal de 8200 m2. La production nest pas une activit de pointe mais la plus grande partie est mcanise (pont roulant, palans) et automatise (machine commande numrique reli aux ordinateurs de CAO). Cance ralise la production, la peinture, la construction. La galvanisation (traitement) et le transport sont (en partie) sous traits.

Cance : un march dans la tourmente.

Cance se situe sur le march de lacier, march en pleine tempte depuis lan dernier. La situation est parfaitement rsume par Arcelor numro 1 de la sidrurgie. Depuis courant 2003, les prix des aciers ont vritablement explos. En effet aucun fournisseur nest assez puissant pour satisfaire lapptit de linsatiable dragon chinois 1 . LEurope connat une hausse sans prcdent des produits sidrurgiques, avec 50 60% daugmentation des prix. Cance, comme toutes les entreprises du secteur, subissent cet tat de fait. Ce problme est dautant plus saisissant que Cance a une activit o les devis et les fournitures ont des temporalits trs diffrentes. En clair, entre lacceptation du devis pour un prix X (par rapport un niveau du prix de lacier X) et entre la fourniture (fabrication de la charpente) le dlai est de plusieurs mois voir mme une anne. Ce problme est dautant plus critique que la principale matire premire de lactivit de Cance est lacier. Ces faits communs tout le march ont cr plusieurs difficults : -Ralentissement des investissements des btiments industriels face laugmentation des cots -Augmentation de la concurrence face au rtrcissement des marchs

Cette situation a impliqu de nombreuses complications (perte de comptitivit, chantiers perte, complexification face aux avenants). Toutes les entreprises du secteur ont donc d devenir plus comptitives et de fait abaisser leurs cotsLe secteur du btiment est dj trs concurrentiel face une augmentation des cots directs incompressibles ou presque (matire premire lacier et cot de la main doeuvre) il a fallu rduire les cots indirects. Dans cette situation, il convenait de rationaliser la situation du SI. Il a fallu augmenter lefficacit du SI tout en rduisant son cot.

http://www.larevueparlementaire.fr/pages/RP871/RP871_economie_marcheacier.htm

10

 Le SI dinformation Cance : une remise en cause ncessaire

Le SI grands chiffres Le parc informatique est compos de prs de 180 ordinateurs, dont une dizaine de portables dont certains en tltravail. Le reste des ordinateurs est rparti sur prs de 8 sites. Le parc comprend pas moins de 13 serveurs, ainsi quun support de tlphonie. Sajoute ce parc la gestion de plusieurs machines outils commande numrique en tlmaintenance. Le service informatique comprend une personne temps complet, et fait aussi appel un informaticien (30 jours dintervention dans lanne).Sajoute ici lexpertise de nombreux sous traitants travers de nombreux projets travaillant en collaboration avec le service du systme dinformation (projet dERP Tiamp, ou Dveloppement dapplication spcifique Cancesoft). Ce service assure la maintenance du parc et suit les activits de prs de 190 utilisateurs du systme dinformation. Le SI comprend bon nombre dapplications maison : Cancesoft pour les devis, ou encore un ERP, Tiamp. Le systme dinformation dispose de mme doutil help desk et a pour projet la mise en place dun intra net. Le systme dinformation est dirig par Maurice Prade mon tuteur de stage charg de la supervision du systme dinformation ainsi que du contrle et de linitialisation des grands projets du systme dinformation.

Situation du systme dinformation et plus particulirement du systme informatique : Le groupe Cance a vcu un dveloppement particulirement important, le groupe est pass en quelques annes dun parc informatique comprenant une trentaine de postes indpendants prs de 180 aujourdhui relis par un rseau et disposant de moyens allant de pair. Face ce dveloppement les moyens matriels et humains nont pas forcment suivi. A lheure actuelle et bon gr mal gr lentreprise doit faire face diffrents obstacles au niveau du SI tout en continuant son dveloppement. Cance a faire face diffrents problmes rcurrents : -Inexistence de documentation technique -Impossibilit de prvoir son activit -Manque totale de transparence -Mcontentement -Faire face au risque support par le SI : mise en place de lERP et rgularisation des licences.

11

 Un projet : mise en place dun rfrentiel pour grer le SI

Partant de ce constat, lentreprise travers la personne de Maurice Prade a dcid dimposer un cadre de fonctionnement au systme dinformation. Jai donc t choisi pour raliser un audit, de juger de lopportunit de mettre en place un rfrentiel processus et ses outils et dinitialiser la mise en place dun rfrentiel, Cobit, ou non.

Une mission : la description et laudit des processus informatique et lintroduction dun

rfrentiel processus (Cobit)

Le but de ma mission a donc t de prparer lintroduction dun rfrentiel dfinir. Il devait orienter les outils de gestion de processus que je devais mettre en place. Cette mission est relativement particulire car dhabitude, on adapte loutil dj prsent au rfrentiel. Aucun outil ntait prsent, il a donc fallu dfinir de A Z loutil et son contenu. Un rfrentiel est un cadre, une doctrine, qui dfinit comment les activits devraient fonctionner. Un rfrentiel dfinit ce qui doit tre fait pour russir et pour quels objectifs. Ici le rfrentiel concerne lactivit du systme dinformation et dans la plus grande partie lactivit du service informatique. Un rfrentiel dfinit un objectif sans ncessairement dfinir le moyen de latteindre. De fait loutil visant la mise en place dun rfrentiel doit dfinir ce moyen, il se doit de dterminer le comment plus que le pourquoi (lobjectif). Lobjectif de ma mission est la mise en place dune description du comment, pour dfinir les amliorations apporterpour atteindre le pourquoi (rfrentiel). Dfinir loutil dpendait donc du choix du rfrentiel. De fait il ma fallu tout dabord dterminer quel cadre serait certainement mis en place ,pour ensuite dterminer quel outil serait le plus appropri.

12

Problmatique : Quel rfrentiel processus pour le systme dinformation dune entreprise du BTP et pour quelles implications ?
Le choix du rfrentiel a donc compris plusieurs phases : -Dfinition des besoins -Dfinition dun cahier des charges concernant le rfrentiel -Choisir le rfrentiel -Proposition dun outil adapt au rfrentiel -Choix dun outil

Loutil qui devait tre propos a pour but la description des activits informatiques. Mon travail a donc eu pour but la dfinition de plusieurs documents : -La cration dune fiche rcapitulative de processus. -La dfinition dune reprsentation des processus. -La cration de plusieurs documents gnraux pour aider la gestion du systme dinformation. -La cration de documents pour aider la gestion des interactions entre les oprateurs internes et externes du systme dinformation. -La dfinition dune organisation gnrale apte satisfaire les deux parties utilisatrices de loutil : le gestionnaire Mr Maurice Prade, et linformaticien Mr Laurent Garcia La mise en place de cet outil impliquait le droulement dun audit sur de nombreux processus ainsi que sur de nombreux thmes du service informatique. Ma mission passait par lnumration de tous les processus raliss ou non par le service informatique ou les fournisseurs. Je devais, par la suite dcrire de manire gnrale ces processus, puis aider leur description de manire prcise notamment ceux les plus critiques. De plus, la mise en place de cet outil impliqu la tenue de diffrents audits : logiciel, comptablepour complter loutil.

Dans la premire partie du dossier sera prsente la situation laquelle nous avons a faire face : un systme dinformation trs dvelopp sans quune organisation gnrale ne vienne structurer celui ci. Face ce constat sera prsent par la suite, les diffrentes solutions 13

possibles en terme de rfrentiel processus. Ici sera tudier les rfrentiels possibles : Itil, Cobit et leurs caractristiques Dans une seconde partie nous verrons en quoi le choix du rfrentiel a impact la mise en place doutil, la mise en place dun audit et daction corrective. Cette partie sattachera montrer en quoi les outils se sont adapts au Cobit, en quoi laudit sest adapt. Pour finir, seront abordes les actions menes suite ce rfrentiel processus et outils mis en place.

14

I. Cobit le rfrentiel et les outils conformes celui ci

15

Avant de choisir le rfrentiel, il convient de dfinir la situation. La situation dterminera, elle les critres de choix dun rfrentiel processus ceci constituera la premire et la seconde partie de mon argumentation.

A. dsorganis

Le rfrentiel processus : la solution dorganisation dun SI

Comme nous avons pu le voir dans notre introduction Cance doit grer un SI aux multiples fonctions sans que lorganisation, ne sy soit prpare. La partie qui suit tudiera en quoi lorganisation est dfaillante pour dfinir les caractristiques du rfrentiel mettre en place. La dfinition de tout cahier des charges pour un produit comme pour un outil passe par une dfinition de lexistant. Aprs avoir dfini le rel il convient aussi de dfinir le voulu , ce que lon veut atteindre. Le premier permet de voir ce quon a le second ce que lon veut. Ce constat fera lobjet de la premire partie de ce dossier

1. La situation et les attentes de Cance : la recherche dun cadre organisationnel Dysfonctionnements perus :
-Perception de risques importants vis vis de la sauvegarde, de la scurit : le responsable du SI craignait la survenue dincidents pouvant impliquer des rpercussions importantes sur des processus critiques. Par exemple, le responsable du SI craignait le risque inhrent la non sauvegarde dun certain type de donnes qui aurait pu tre perdu suite un crash informatique -Aucune vision claire des activits couvertes ou non par le service informatique : lactivit du service informatique souffre dun manque de clart trs important, il est apparu que certains processus ntaient pas grs alors que dautres ltaient deux fois. -Absence quasi totale de documentation technique : il est apparu lors de labsence de linformaticien limpossibilit de trouver certains documents critiques (mot de passe ou configuration) pour des processus sensibles. -Impossibilit de remplacer court terme linformaticien en cas de dfaillance : lactivit du service informatique du fait de labsence totale de documentation ne peut tre

16

gr par quelquun dextrieur Cance notamment sur une trs courte priode. Les spcificits de Cance ne sont ainsi en aucun cas documentes. -Impossibilit de dfinir des orientations de gestion au SI : du fait de labsence totale de clart dans les activits du SI, aucune stratgie ni orientation ne peuvent tre mises en place par le responsable du SI. -Impossibilit de dfinir des contrles et des objectifs viables pour le SI : le brouillard dans lequel sont les activits empche la mise en place dindicateurs dobjectifs et de contrle fiable. -Apparition de dysfonctionnements : certains dysfonctionnements inquitants sont apparus impliquant la mise plat des processus (sauvegarde non couverte) -Absence dorganisation relle du fonctionnement du service informatique (Pareto) : lactivit du service informatique obit une loi de Pareto : 90% du temps est occup par 10% des activits. Ds lors, il convenait de mettre plat celles- ci pour les automatiser. -Difficult dans ltablissement dune structuration dans la formalisation des procdures : la rdaction des procdures par la personne en charge du processus informatique tait ralentie par son impossibilit de formaliser un cadre ou un modle. -Vision parcellaire et non transversale de lactivit du service informatique : le personnel de la fonction informatique ainsi que le personnel responsable du SI ne voient lactivit informatique que comme un ensemble de certaines activitset non une corrlation dactivits inter- relies. -Manque de temps pour prendre du recul et pouvoir formaliser la documentation : linformatique est gre par une seule personne, les spcificits de Cance empchent toute pause pour formaliser lactivit

Attente de Mr Prade
Document dcrivant les processus : lattente du matre douvrage tait de bnficier de documents qui, mis dans les mains de quelquun de comptent pourraient suppler court terme labsence de ladministrateur. De plus, cette description tait dsire pour permettre de rajouter de la lisibilit aux processus du SI et ainsi orienter ceux- ci et potentiellement lancer des actions damliorations. Il convenait donc de mettre en place une description des processus du SI ainsi quune relation avec un rfrentiel plus lisible pour un non- initi. La description de processus permet de rflchir sur lenchanement des actions du systme dinformation, en dautres termes, la description des actions permet de dcrire qui rentre en jeu dans les processus : fournisseurs (interne ou externe), client, contrleursCela 17

permet aussi de faire le point sur les actions et leurs droulements. Le fait de dcrire le droulement des actions permet de dfinir lexistant, le peru et le voulu. Le but est ainsi de voir sil y a adquation entre ce qui se passe et ce qui devrait se passer. Lcart dtect pourra faire alors lobjet dactions de correction. Le fait de dcrire la chronologie des tches permet de voir les actions pouvant poser problme. De mme cel dfinit laquelle est porteuse de plus de qualit ou non qualit conditionnant contrle et action damlioration. Le fait de rpondre aux attentes des dcideurs ici Monsieur Prade, devait permettre de rsoudre tous les dysfonctionnements constats, en optant pour la description des processus de manires gnrales on rsoudrai bon nombre de problmes. De plus lorientation de cette description dans le sens de ladoption dun rfrentiel permettra ladoption des lments qui font dfaut actuellement (contrle, gestion des risques)

2. Cahier des charges et orientation de la rflexion Orientation de contrle :

En dbut de stage aucun indicateur nt prsent dans le SI. Les objectifs de lanne 2005 avaient 6 mois de retard certains de 2004 toujours non atteints. Le DSI dsirait mettre en place des contrles afin de pouvoir orienter la gestion du SI de Cance. Mon objectif premier a donc t daider la mise en place doutils simples et fiables visant ce contrle de lactivit. Cette constation a impliqu la recherche dun rfrentiel comprenant des pistes au niveau des contrles : propositions

Orientation vers des objectifs

Lopacit des processus du SI faisait que le DSI ne pouvait pas fixer des objectifs viables pour le SI. Laudit et la mise en place de contrle a permis de dfinir de grande orientations celui ci : notamment la mise en place dune politique de stockage et darchivage, ensuite le dveloppement dun help desk plus labor apte dcharger la tche de ladministrateur. Cette situation de surcharge impliquait la mise en place dun outil et dun rfrentiel issus de meilleure pratique du mtier permettant une automatisation plus grande et plus dconomie de temps. La dfinition dune documentation gnrale peut aider la gestion du service informatique : Le matre duvre lui voyait, loutil plus comme une aide dans laccomplissement de sa mission notamment grce une gestion des contrats et une aide dans la mise plat des processus rares .

18

Dtection des risques : le matre douvrage craignait que la gestion de certains processus ne soit pas suffisante pour empcher la survenue de risques notamment en matire de scurit ou stockage. Ce besoin impliquait un audit prcis des processus. On devait donc trouver un rfrentiel comprenant une mthodologie daudit strict et orient sur la gestion des risques. Dtection des processus non grs : Laudit de la fonction du SI relverait de fait certains processus plus ou moins critiques non grs. Cela impliquerait de les dcrire et de les mettre en place.

Dfinition dun cadre de travail : Ladministrateur comptait sur loutil pour avoir une organisation notamment de la documentation. En conclusion des demandes prcdentes a t tir un cahier des charges plus gnral mais nanmoins strict.

Cahier des charges :

-Cadre de rflexion stratgique : besoin dun rfrentiel orientant la rflexion et de contrle grant laction -Un outil consignant des objectifs et des contrles ax sur lactivit du service informatique et plus gnralement du systme dinformation -Mthode de dtection, de gestion et de suivi des risques : mthodologie daudit et rfrentiel ax sur les processus critiques (ou le risque est potentiellement plus important). -Une mthodologie daudit : Laudit est une discipline qui exploite beaucoup le savoir- faire et qui ncessite beaucoup de connaissances transversales. Il convient donc de choisir un rfrentiel complet suffisamment prcis sans tre trop complexe. -Un outil flexible : ladministrateur rseau ayant peu de temps, il convenait que loutil soit facilement grable postrieurement mon dpart. -Une organisation : le dfaut principal du SI actuel est un manque de structuration, le rfrentiel adopt devait donc tre suffisamment large et complet pour permettre dapporter une structuration correcte.

En conclusion, nous pouvons voir que Cance fait face des problmes et des dysfonctionnements plus organisationnels que techniques. Le niveau tactique et stratgique chapotant le niveau oprationnel, il convenait de choisir un outil et plus gnralement un rfrentiel qui soit : gnral, flexible et bien videmment porteur dune organisation (audit, contrle, gestion des risques). 19

B. Les rfrentiels possibles

Il existe de nombreux rfrentiels, chacun ayant ses spcificits propres il convient dtudier chacun en dtail.

1. Cobit loutil le plus adapt lorientation stratgique du SI de Cance

Choix dun rfrentiel : Aucun des modles actuels ne couvre lui seul tous les besoins d'une DSI. Les lments et le schma suivant, proposs par Gartner, offrent un cadre de slection des modles et identifient les options permettant d'obtenir un certain degr d'orientation en matire de qualit et de processus. 9 ASL (Application

Services Library) : listing des Bonnes pratiques bas sur

loptimisation des processus mtiers informatique et sur la gestion des applications. 9

CobiT

(Control

Objectives for Information and related Technology): le Cobit est gnraliste, il veut fournir ladquation entre les processus mtier et informatique. Son but est de fournir des pratiques, des processus minimum et des contrles associs ceux- ci. Avec un objectif fix, Cobit peut venir en complment dItil en matire de gestion du service informatique. 9

ITIL

(Information

Technology

Infrastructure

Library) :

il

sagit

dun

regroupement structur de pratiques issues du monde professionnel pour aider la mise en uvre des processus informatiques (approche mtier). Itil a pour objectif le respect dun objectif financier et qualitatif (non dpassement des cots / qualit dfini)

20

BS 15000 (ITIL implementation) : cette mthode est issue dItil et prcise certains

de ces domaines : mise en place des processus informatiques, contrat de services et contrle. 9

BTO (Business Technology Optimization) : complmentaire dItil dans une

approche mtier ce rfrentiel veut grer une dmarche qualit en terme de gestion des processus informatiques. 9

CMMi (Capability Maturity Model) : il sagit purement dun modle daudit, afin

de dterminer o se situe lorganisation par rapport une chelle 5 marches reprises notamment par le Cobit. Clairement, il sagit didentifier la maturit dun modle .Cela ne fournit aucune information pratique ou de gestion. 9

Zachman (Zachman Framework) : une approche transversale saxant sur la vision

des processus informatiques du point de vue de chacune des parties prenantes: managers, oprationnel, concepteurafin de grer leurs interactions. 9

ISPL (Information Services Procurement Library) : modle spcialis dans la

gestion de la relation fournisseurs, l'externalisation de projets et la gestion de risques. 9

MOF (Microsoft Operations Framework) : cest une aide aux dploiements des

applications microsoft plus ou moins inspire de la Cobit et Itil. 9

TCO (Total Cost of Ownership) : ce modle, cr par un le cabinet Gartner, saxe

sur les cots et les investissements informatiques .Celui -ci gre lobsolescence du matriel et linvestissement par rapport au service fourni ; ce en quoi il est li Itil 9

bITa (The Disaster Recovery Toolkit) : ce modle saxe purement sur la reprise

aprs un dsastre informatique

Autres mthodes adaptables au SI : Six Sigma, ISO9000

Pour finir nous pouvons donc voir que les choix sont multiples chaque rfrentiel ayant ses caractristiques et fondement propres certains sont gnraux, dautres sont plus techniques ou au niveau dabstraction diffrent. 21

Le tableau des pondrations a t fait par mes propres soins en fonction de mes lectures et de la synthse de deux tableaux (Cf. liste bibliographique)

22

Aprs pondration des diffrents critres ne sont retenus que le Cobit et le registre Itil. Le choix entre ces deux rfrentiels nest pas ais, cest finalement le Cobit qui sest impos.

Le choix de Cobit Quickstart

Dans le cadre de cette enqute, je nai pas choisi de trancher entre le Cobit et le Cobit Quickstart. En effet, ces deux rfrentiels sont identiques si ce nest que celui Quickstart est beaucoup plus lger tout en conservant la plus grande partie des attributs de la version normale. Aussi avant de choisir la version de Cobit, il fallait que nous soyons srs dopter pour ce type de rfrentiel. Le Cobit rpond aujourdhui toutes les attentes dune entreprise telle que Cance. Suite ltude succincte des diffrentes possibilits de rfrentiel, on peut constater que chacun pouvait potentiellement tre mis en place, rpondant plus ou moins un ou plusieurs critres. Chacun a son identit type rpondant plus des inspirations tactiques, stratgiques ou porteuses dune mthode daudit, dune philosophie de gestion des risques des moyens financiers ou autre. Dans cette jungle de mthode le plus simple est dopter pour un rfrentiel unique sans superposer 3-4-10 rfrentiels parcellaires. Le rsultat de ce choix a t celui du Cobit dans lune ou lautre de ses versions, la philosophie restant la mme Cobit rpond toutes les caractristiques de Cance : Une orientation plus tactique et stratgique, un rfrentiel gnral, une mthode daudit et de contrle et bien sur un cadre, une grille relle dorganisation. Cobit a pris le dessus sur une mthode telle quItil, car orient plus tactiquement, plus structurant

Le Cobit a une vision cest distingu car plus axe sur la stratgie et la tactique, rpondant lorientation voulue par les dcideurs. Le Cobit intgre de mme une grille daudit : cet outil permet dadopter une dmarche daudit. Le Cobit permet aussi ladoption dun outil unique car prenant en compte tous les processus informatiques. Le Cobit implique de mme une orientation vers le contrle, vers la qualit et la gestion des risques. Du fait de tous ces avantages le Cobit simposait comme le rfrentiel adapt un SI en plein dveloppement, dj fortement dvelopp et vivant une carence organisationnelle.

23

2. Documents et outils mis en place

Le choix dun rfrentiel tel que le Cobit a permis de dterminer des outils de gestion de processus orient vers le Cobit. Diffrents outils ont ts proposs une fiche processus, une fiche fournisseurs, et diffrents documents gnraux : listing, documents techniques

Lintrt mme de la gestion de processus, est de pouvoir grer un processus, pour grer un processus encore faut il le comprendre. Diffrents lments peuvent permettre de comprendre un processus : son historique, qui le fait, comment, avec quels lmentstous ces renseignements ont t consigns dans la fiche descriptive des processus.

Fiche processus:
Description de la fiche descriptive dun processus 2 : La fiche descriptive a pour vocation la dfinition gnrale du processus. Cette fiche a pour but de retracer les diffrents lments qui composent un processus, dans le bon accomplissement de celui ci. La fiche descriptive de processus se dcompose en diffrentes parties : -Une partie administrative -Une partie environnement du processus -Une partie processus -Une partie objectif et contrle dfinissant les points a contrler dun processus et ce que doit comprendre un processus. Cet outil dfinit de plus quels sont les points dactions dun processus : personne, technologie, application, donnes, installation La partie administrative dcrit les grands lments du projet, il a pour vocation purement indicative et permet un suivi du projet de mise en place de loutil et plus gnralement du rfrentiel. Cette partie indique le rdacteur du document, le responsable du projet, le code auquel correspond le processus dans le rfrentiel Cobit, ainsi que son nom,de mme est indiqu un code processus qui assure la liaison entre la structuration Cobit et informatique, la version et la date de modification. La partie spcifique du processus indique : la situation actuelle du processus (selon une chelle dfinie) ainsi que le niveau atteindre fix par la politique stratgique du groupe. Le niveau actuel du processus est dfini lors des entretiens, le niveau atteindre est issu des objectifs fixs au service informatique que traduis en chiffres partir de lchelle de mesure
2

Annexe : Fiche processus

24

dfinie. Cet indicateur permet dassurer une plus grande lisibilit pour le gestionnaire dans la fixation des objectifs et dans le reprage de la situation. Pour le personnel du SI, il sagit dun objectif atteindre et un chemin parcourir. Cette partie sert de mme au reprage du processus dans son environnement. La fiche consigne les documents lis la fiche : documents lis au processus lui- mme (exemple processus dincident: fiche dintervention) ou processus annexe. Un processus a souvent une origine et une destine: par exemple avant le paramtrage du progiciel Tiamp, il convient de linstaller, de mme par la suite il convient de mettre jour ce logiciel. Le but du premier champ est de voir le processus de manire plus concrte en indiquant les documents qui jalonnent le processus. Cela permet aussi de prsupposer des indicateurs de mesure. Par exemple dans le cadre du processus de demande dintervention, un document reli est la fiche dintervention : ici par exemple on peut fixer comme indicateur de contrle le pourcentage de demande dintervention rsolue, et comme objectif 80%. On indique de plus : lhistorique des processus qui permet de mme dinduire une rflexion globale de qualit au niveau de projet par Exemple le projet Tiamp dERP. Cela pourrait de mme permettre laccomplissement plus rapide de processus (dmarche de raisonnement par dduction dans le cadre dincident, ou accomplissement dune suite de processus : installation, paramtrage et MAJ corrective dans le cas de linstallation dun nouvel ordinateur).

La fiche de processus dfinit le responsable du processus. De cette manire, on caractrise les responsables des personnes grant le processus. On dfinit ensuite une personne responsable du suivi. Cette responsabilit permet de dfinir la personne qui peut tre en charge de lestimation de laccomplissement au niveau qualitatif du processus. On inclut une description du processus pour le rendre intelligible tous. On insre de mme les donnes dentres qui sont ncessaires au bon accomplissement du processus. On caractrise ici les documents qui jalonnent les processus ; ceux ci permettent de renseigner de manire pratique les tenants et les aboutissants du processus consign, cest dire en pratique les documents dentre et de sortie. Un processus est ensuite caractris par un but. Celui -ci se dcompose toujours par un objectif pratique qui permet dexpliciter le pourquoi de laction. En dfinissant le pourquoi, on peut dterminer de nombreuses autres informations. Pour cela il faut indiquer les critres de satisfaction des clients du processus ici, dtermins par le Cobit.

25

Le cahier des charges des processus consiste expliquer son droulement. A loppos, afin de dterminer le risque de ne pas atteindre le rsultat du processus, on doit dterminer les consquences de cette non- russite. Le risque indique le danger dun processus, permettant loprateur de prioriser les processus dans laccomplissement de sa mission 3 . La dtermination du risque et de la criticit permet de fournir des critres de performance, des critres de mesure de qualit dans laccomplissement de la mission .Ceux ci sont dfinis par le rfrentiel Cobit4 et la nature mme du processus.

Les critres de performance sont une base pour mesurer le processus. Ces critres se doivent dtre des objectifs compris et communiqus. La communication se fait auprs du principal concern : loprateur mais aussi ceux qui excutent le processus cest dire les usagers. Loprateur peroit ce sur quoi il sera jug alors que les oprateurs peroivent ce quoi sengagent leurs fournisseurs internes (inspir sur une organisation de clients et fournisseurs internes).Ces critres seront automatiss en fonction du rfrentiel choisi : ici Cobit. En parallle ces critres de performances dordre gnral, on ajoute des critres plus oprationnels, spcifiques chaque processus. Le but est de dterminer des critres mesurables de qualit de service. Lexigence est un objectif de russite. Le dernier renseignement permet de consigner les amliorations faire et prvoir. Ces renseignements sont issus de laudit que jai pu raliser. Chaque fiche est relie une catgorie de processus dfinie par le Cobit (Coin en haut gauche). Ce lien permet de dfinir de grandes indications rparties sur les diffrents documents du Cobit. Se rfrer au Cobit permet ainsi de dfinir avec les processus dun SI : -Les facteurs cls de succs 4 : indiquant que faire pour quune action se droule bien -Les indicateurs Cls dobjectifs indiquent les objectifs de tel ou tel processus -Les indicateurs cls de performances indiquent des ratios et contrle concret contrler sur un processus pour en dterminer sa performance

Documents gnraux :
Dans le cadre de la gestion du service informatique et plus gnralement du systme dinformation, on doit pouvoir bnficier des droits daccs sur les diffrents lments du

3 4

Annexe : chelle de criticit Cobit Annexe : Fiche processus, tableau FCS, ICO, ICP

26

systme informatique. De fait, ont t raliss deux documents rcapitulant les accs aux sessions personnelles ainsi quaux comptes administrateurs des serveurs 5 Ces documents rpondent au besoin daccs ces sessions en cas dintervention par un tiers lors de labsence de ladministrateur ou plus simplement fournir un mot de passe oubli. Ces listings rassemblent de plus les renseignements ncessaires au bon accomplissement de la gestion du service informatique (classification des droits, documentation technique de lorganisation du rseau).

La fiche de processus prcise des critres gnraux mais ne dcrit pas rellement ce qui se passe. Afin de pouvoir relayer ladministrateur en cas dabsence ou afin de dterminer des pistes damlioration suivre, il faut pouvoir connatre de manire claire le droulement dun processus. Dans ce but, une reprsentation graphique savrait plus claire et rapide comprendre. De plus, une reprsentation graphique savre beaucoup plus intuitive pour les informaticiens, comme pour les non- informaticiens. Choix dun modle MCD, MOT, MLD

Un choix tel que celui du Cobit, a impliqu par l-mme plusieurs adaptations thoriques et oprationnelles au niveau des outils de gestion de processus mis en place. Le passage dun modle relativement obscur une organisation trs formelle impliquait des outils flexibles, et des modles utilisables rapidement. Le choix du MCT rpond cette obligation, il sagissait du modle le plus simple et le plus complet pour une organisation. Les outils sont aussi le reflet de cette constation, ils se sont adapts lorganisation, sans bureaucratie inutile ils ont pour but dindiquer toujours les renseignements les plus utiles sans jouer dans le superflue, tout en faisant rfrence au cadre thorique choisi : le Cobit.

En matire de processus mtier, de nombreux modles peuvent se poser ou sadapter la situation. On peut par exemple citer : MCD, MOT, MCT, UML ou encore des reprsentations spcifiquement ddies : BPMN (reprsentation mtier). A ce titre, il a fallu tudier quelles reprsentations seraient les plus adaptes, dfinir les attentes de loutil, de lutilisateurLa reprsentation a pour but de dcrire la chronologie des actions faites dans un processus attenant au systme dinformations. La reprsentation doit tre simple, comprhensible par une personne non initie la structure de lorganisation. En dautres termes, une personne professionnelle des techniques
5

Non prsent ici car confidentiels

27

ayant trait au systme dinformation doit pouvoir comprendre comment se droule le processus. Cette exigence sexplique par le besoin de plus en plus marqu que Cance a ,vis vis de la sous traitance ou du remplacement rapide de ladministrateur par exemple. La reprsentation doit de plus, tre suffisamment claire pour une personne de Cance non initie du SI devant engager des actions correctives ou de contrle par exemple. Il a donc fallu choisir entre diffrents modles : MCD, MLD, MOT, UML, MCP, MRPLe but tait davoir une reprsentation simple montrant lenchanement de procdure. Cet enchanement se jalonne de documents. Le modle devait tre suffisamment dtaill, sans ltre trop, par permettre la reproduction du processus par une personne ne connaissant pas le systme, voir mme pour un non- initi pour des tches simples.

UML et les reprsentations mtiers savraient trop complexes pour tre appliqus ici : ladministrateur ne connaissant que la modlisation de MCD et moi- mme ne connaissant pas ce type de reprsentation, il tait illusoire de les adopter. Dautre part, ces modles savrent difficiles comprendre rapidement. Le MOT paraissait inutile, en effet les interactions entre les personnes restent minimes, lactivit informatique reste cloisonne quelques personnes rendant le MOT inutile. Le MCD et le MLD ne savrait pas assez dtaills et surtout inadapts une reprsentation processus complexe. Le MCT 6 a t choisi car cest celui qui savrait le plus adapt alliant simplicit, clart et savr suffisamment complet pour tre exploitable.

Fiche fournisseur :
Une fiche rcapitulative 7 permet de synthtiser toutes les relations avec les partenaires extrieurs. Ces documents rcapitulent tous les lments pour grer les relations avec les fournisseurs (contact, tlphone) La gestion du service informatique implique la prsence de nombreux prestataires extrieurs. La prsence de ceux-ci implique des interactions, des rsultats, un lien de causalit, un objectif Pour grer ces relations, il a t mis au point un fichier rcapitulant la plupart des lments de la relation avec le fournisseur. Cette relation va en sintensifiant au fil des

6 7

Annexe : Modle de Processus MCT Annexe : Listing Fournisseurs

28

contrats de sous traitance du fait de la surcharge de travail que vit dj le seul administrateur du service informatique. La fiche fournisseurs 8 contient des lments purement indicatifs : le nom, le tlphone, le contact commercial, la SAV, et la description du contrat. Ces informations ont pour but de renseigner sur lidentit du co-contractant. La fiche fournisseurs comprend aussi des lments aptes responsabiliser les personnes autour du processus. Elle renseigne : la personne responsable de la transaction cest dire la personne qui engage le groupe. On consigne aussi la personne responsable du suivi qualitatif du produit apport par les fournisseurs. Ce jugement reste objectif et sert la dtermination dun cahier des charges pour loutil futur notamment. De plus, on renseigne la localisation du contrat cest dire le lieu o il se trouve. Ce renseignement a une vise purement juridique . On doit pouvoir, trs rapidement, pouvoir trouver les clauses juridiques applicables au contrat. Ce document intervient dans la conclusion des nouveaux contrats ou lors de la remise en cause dun contrat prsent Ces clauses sont explicites dans la case primtre dintervention. Cette partie renseigne les modalits dintervention dun fournisseur, ce quil est tenu lgalement de fairecest sur cette base que le fournisseur sera jug. Dans le but de grer financirement les relations, on indique une estimation financire des contrats. Ces estimations vont servir une budgtisation prospective de lactivit du SI. Cela permet de mme de faire valoir lors de ngociation avec des fournisseurs pour le renouvellement dun contrat ou un nouveau contrat. Les relations avec les tiers impliquent toujours un problme dans le suivi qualitatif des services apports. Ceux-ci restent subjectifs ( lheure actuelle) mais pourront tre de plus en plus oprationnels. Chaque processus sous-trait implique aussi un risque 9 , il convient ds lors de juger objectivement celui-ci. Ces informations permettent de ngocier au mieux les contrats -De juger du risque induit par un contrat et dassocier des contrles particuliers -De dtecter des risques -De se prmunir dincidents Pour faciliter la gestion des contrats, on consigne aussi les dates de rsiliations et renouvellement pour se prmunir de tout non renouvellement ou au contraire de renouvellement tacite non voulu.

8 9

Annexe : Fiche fournisseur Annexe : Fiche processus et tableau dvaluation des risques

29

La gestion des processus quils soient informatiques ou non, implique que lon puisse se rfrer des documents dcrivant ces mmes processus. Il apparat totalement illusoire de vouloir critiquer ou juger dun fait sans le connatre dans ses moindres dtails. Partant de ce constat, les besoins de la mission qui ma t dvolue, mont impos de crer ces documents, les fiches processus, les fiches fournisseurs et de nombreux documents gnraux ont t cres dans ce but. Il est tout de mme rducteur de considrer que la mise en place de ces outils pourrait tre la solution tous les problmes dune organisation, techniquement viable mais passablement dsorganise. En effet on est en droit de supposer que la viabilit technique sexplique autrement que par la chance, mais plutt par une matrise du processus. Partant de ce constat, il convenait de pouvoir orienter le SI un niveau autre quoprationnel, car tel est le but long terme. Cest dans ce but que le choix dun rfrentiel cest pos, le rfrentiel Cobit, plus que tout les autres, pour but de donner une vision tactique et stratgique, tout en chapotant le cot oprationnel. Le Cobit comme rfrentiel, devrait permettre de structurer notre description des processus assur par les outils mis en place, mais devrai aussi non seulement permettre grce son idologie et outil quelle apporte les conditions permettant la russite du SI. Ces outils tel que la mthodologie daudit, les outils de contrle ou encore les questionnaires spcifiques ont pu tre exploits en collaboration avec dautres mthodes daudit classique, et nous allons voir en quoi dans une seconde partie.

30

II. Un Projet daudit dans lorientation stratgique du SI

31

Laudit, est une de ces matires qui tout en tant trs structure dans sa mthode, fait appel a beaucoup de savoir faire et dexprience. La mthodologie daudit mme lie a celle du Cobit ne fait pas exception cette rgle.

A. Mthodologie daudit et le Cobit

Laudit rpond une mthode, comme cela va tre tudi dans ce dossier : la dmarche daudit, structure chronologiquement, rigoureuse dans sa mthode et dans son raisonnement a d sadapter lorganisation, et surtout ses acteurs faute de quoi les rsultats fondement dune enqute daudit auraient pu tre fausss. Par le fait la mthode a rpondu des impratifs par rapport au Cobit, lAudit et aussi par rapport lentreprise. Celle ci fut rigoureuse tout en sadaptant aux modalits du jour.

1. Mthodologie et droulement dune mission daudit

Laudit se dfinit comme une bonne application de procdure comptable, financire ou autre. De part sa dfinition laudit est un examen mthodique dune situation par une personne indpendante et comptente. Lobjectif est de vrifier la validit des lments quelle contrle. Cela implique la vrification des faits, vrifier les normes et procdures qui contrlent ces faits. Pour conclure lauditeur exprime une opinion dnote travers un rapport circonstanci par rapport des normes. Une mthodologie daudit se droule en trois phases. La premire tape dfinit les objectifs, on cadre la mission. On prend connaissance de lentreprise, son environnement, acteurs, objectifs.On dfinit la stratgie de lorganisation, son modle, ses tactiques notamment par rapport au SI.

La suite passe par ltude des moyens et actions mises en places. Tous ces lments se sont drouls antrieurement mon stage (3 semaines), lentreprise mayant laiss disposition sa politique gnrale et sa stratgie, ses objectif (SI), un audit du SI effectu en 2002, ainsi que diffrents documents en rapport avec son environnement. La seconde tape a t un programme prvisionnel, celui-ci a prsent mon plan daudit.

32

La suite de la mission est dfinie par la ralisation du plan de travail 10 . Il tait dfini des tches et actions auquel on a allou des moyens (humains, matriel). On valide ensuite ce programme .Celui ci a t trs succinct dans mon cas, ceci sexpliquant par une mission trs longue, des disponibilits trs diffrentes et surtout par ltendue de la mission. Ce programme est conclu par lexcution de la mission 11 . Ce droulement passe par la collecte des informations, conclu par leurs analyses et leurs synthses. Cette tape se termine par un rapport daudit 12 . En soi la mission dAudit nest jamais dfinitivement finie, il sagit dinformer des rsultats, et de vrifier la mise en place des recommandations formules. Dans une mission daudit le principal risque est de sparpiller, dautant quand cette mission est large et les attentes grandes (problme habituellement non soulev). Le rapport que jai produit obit au formalisme de tout rapport daudit : Un rappel de la mission, expliquant situation et mission La description des actions opres, dtailles et dates (ici non renseign car fait en interne et connu) Le rapport se conclut sur des recommandations et des solutions dtailles et planifies.

La mthodologie ici prsente sapplique toute mission daudit y compris pour une mission comprenant le rfrentiel Cobit. Le Cobit apporte des outils supplmentaires aidant la mener daction daudit spcifique aux processus informatique, comme dcrit dans la partie suivante.

2. Droulement de la mission daudit concili au Cobit

Le Cobit propose tout dabord une chelle de mesure du processus 13 . Celle ci permet de dfinir o le processus se situe par rapport une grille destimation du Cobit, pour chaque processus le Cobit dfinit un niveau daboutissement. Ce niveau est caractris par diffrentes actions, ou faons de penserCes renseignements permettent de dfinir o se situe le processus selon une chelle 6 barreaux : Inexistant, initialis au cas par cas, reproductible mais intuitif, dfini, gr et mesurable, optimis. Le second outil est le guide daudit 14 celui-ci dfinit pour celui qui interroge : qui est concern par tel ou tel processus : responsable IT, dirigeant, responsabilit du SI
10 11

Annexe : Diagramme de Gantt programme prvisionnel Annexe : Diagramme de Gantt rel 12 Annexe : Rapport daudit 13 Annexe : Echelle de mesure processus 14 Annexe : Guide daudit

33

-Quels documents ou informations il doit rassembler : documents, procdures, politiques, compte rendu, stratgie ou budget -Quels contrles il doit vrifier et quels outils -Quels risques catgoriser et identifier Le Cobit propose aussi des outils de mise en uvre du Cobit 15 : -Un questionnaire denqute destin a dfinir si le Cobit est adapt : diagnostique de sensibilisation. -Un tableau rcapitulatif des processus de laudit -Un tableau indiquant les interactions possibles entre linformation et les processus : Internet/intranet, architecture rseaux -Des formulaires permettant de dfinir des indicateurs pour les processus : risques, services

Dans le cas de ma mission les deux mthodologies se sont cumules en dterminant ce droulement de la mission 16 :

-Prise de contact avec lentreprise : phase de prise de connaissance de lentreprise. Cette phase a consist dans la prise de connaissance gnrale de lorganisation du SI, de son environnement : fournisseurs, clients, organisation.Cette prise de connaissance est aussi passe par la mene daudit gnraux de la fonction informatique : interview dutilisateur, inventaire physique et logiciel.

-Etude des rfrentiels potentiels : cette phase sest droule antrieurement au dbut du stage ds les premiers entretiens avec mon tuteur de stage. Cette phase sest conclue par la forte probabilit dadopter le rfrentiel Cobit en version Quickstart. Cette phase de recherche sest donc droule dune part : -sur un laps de temps dune semaine antrieurement au stage servant la dtection des rfrentiels potentiellement applicables - dautre part sur une priode de trois quatre semaines pendant le dbut du stage dans le but de dfinir les besoins rels de Cance vis vis du rfrentiel mettre en place.

15 16

Annexe : Outils de mise en uvre du Cobit Oral : Diagramme de Gantt rel

34

-Dfinition de la situation et des attentes envers le rfrentiel : cette tape a t la synthse des attentes et de la situation et sest conclue par ladoption du cahier des charges du rfrentiel (Cf. Premire partie). Celle-ci a t opre avant tout choix.

-Choix du rfrentiel : Ce choix a t conclu en fin de stage, mme si lorientation donne loutil a t faite trs tt. Il sagissait plus dune approbation plus quune validation. Ce choix a compos la premire partie de mon stage et mme de la priode prcdant mon stage. Cette priode allant du mois prcdant mon stage au premier mois de mon stage a consist : - la dtermination dune mthode daudit - la dtermination de la situation de lentreprise - la dfinition dun cahier des charges applicable au rfrentiel - la dtermination des rfrentiels potentiellement applicables - le croisement des exigences et des solutions proposes

-Dtermination dun outil adapt au rfrentiel. Cette phase a pris beaucoup de temps. Il a fallu tout dabord dterminer les besoins du matre douvrage le DSI puis prendre en compte les ncessits imposes par le matre duvre savoir ladministrateur du parc. Cette phase a ncessit beaucoup de temps, en effet chacun dsirait rester sur ses positions .De plus lacceptation de loutil devait passer par beaucoup de ngociations.

-Validation de loutil par les deux parties et ngociation. Cette validation sest faite non sans problme, notamment sur la forme de loutil plus que sur le fond. Le matre douvrage dsirait une forme papier, structure sur le modle du Cobit. A loppos, la forme qui aurait t la plus adapte dans la gestion de loutil tait sous la forme dune base de donnes (Cf Choix de loutil).

Par la suite la mission daudit sest droule de manire classique (comme dfini plus haut) : -Audit de la fonction informatique (dtaill plus haut): Cet audit a consist en la dtection des principaux processus dans leurs globalits, leurs organisations et leurs structurations. Il sagissait aussi de faire le point sur la situation. Le droulement de la mission dAudit a permis le choix du rfrentiel.

35

-Rdaction des documents : Audit des processus Cette phase daudit est intervenue semaine 24 avec 3 4 semaines de retard (suite lavancement du projet stockage et au ralentissement en raison dune certaine rsistance aux changements). Actuellement 80 processus ont t audits, 10 restent en cours de rdaction, 17 catgories nont pas t pris en compte (non pertinentes). Finalement une 60aine de processus ont t intgralement dcrits, une 30aine partiellement et enfin 10 dlaisss parce que non critiques. Cette phase daudit est passe par le rattachement de chacun des processus du Cobit, la personnalisation des objectifs et des contrles des processus. Aussi 5 grands contrles ont t proposs actuellement et ont t mis en place, beaucoup sont planifis.

Laudit et la mthodologie de mise en place doutil de gestion de processus passe donc par des tapes, strictes et dfinies. Dans le cas de cette mission cette mthodologie a vu un mlange de deux mthodes complmentaires, qui a permis la mene de deux missions toutes aussi complmentaires : la mise en place doutils de gestion de processus orient vers le rfrentiel Cobit et la mene dun Audit ax sur un rfrentiel Cobit.

B. Les rpercussions oprationnelles

Ltude dautant de processus permet de mener un rel audit en profondeur. Le fait de devoir dcrire les processus permet de les auditer en mme temps, de fait jai pu tout au cours du stage mener une bonne dizaine de missions daudit distinctes dont le rsum suit.

1. Audit technique Helpdesk :

A mon arrive chez Cance, le projet de la mise en place dune mini- cellule help desk avait dj t initialise, la direction ainsi que le service informatique se sont mis daccord sur le besoin de mettre en place une certaine organisation, dans le cadre de la rsolution des incidents et des aides aux utilisateurs. Dans ce cadre, jai pu participer la dfinition dun mini- cahier des charges en matire doutil destin au help desk. Cance ne disposant pas des moyens et nayant pas une taille suffisante, le service informatique voulait sorienter vers un logiciel cr en interne ou en externe suffisamment dvelopp pour pouvoir grer et organiser le service du help desk, mais nanmoins suffisamment souple et gnral pour ne pas ralentir lactivit du help desk par lajout dune bureaucratie informatique inutile. 36

Jai donc pu, aprs dfinition des besoins dans un mini cahier des charges, proposer diffrents outils aptes tre mis en place chez Cance. Jai ainsi pu tester une dizaine de solutions sous forme GPL (ainsi que dautres payantes), et proposer les fonctionnalits minimum dune application cre en interne. A ce jour, le choix est celui dune solution en interne, qui actuellement finie, et reste en phase de dploiement.

Sauvegarde
Le processus de sauvegarde a t audit trs tt dans le stage, celui-ci bien que apparemment fiable ntait pas labri dun dfaut des supports (rsolu durant ma mission) et dun dfaut humain (mauvaise manipulation ou non respect des consignes). La dtection du risque au niveau matriel a t rsolue, nanmoins le risque humain reste flou et irrsolu.

Tlphonie
Cance dispose de nombreux fournisseurs en matire de tlphonie, ainsi que de multiples contrats. La situation de la tlphonie mayant sembl tout particulirement critique (30% du budget du SI), jai dcid daller plus en avant dans cette mission. Jai donc procd un audit des contrats (rpertorier, qualifier), harmoniser, rgulariser et rengocier certains dentre eux. Dans ce cadres jai particip la rengociation des contrats auprs du fournisseur en location de matriel, rflchi lorientation technologique vers le Centrex IP, opr un changement doprateur pour la filiale de lIle de la Runion, harmoniser tous les contrats France Telecom et Colt, audit le dimensionnement de la plate forme GSM, opr un audit de dimensionnement des forfaits GSM. Pour finir, en plus des recommandations formules, jai tabli un modle de tableau de bord 17 pour les consommations tlphoniques fixes ainsi quun tableau de bord automatis pour les GSM. Ces dmarches se sont accompagnes dune initiation dune mthode de Cost Killing. Ma dmarche a permis une conomie estime aprs de 200 par mois auquel il faudrait inclure les recommandations de mes audits, sans compter une simplification importante de la gestion de la tlphonie.

Inventaire physique
Au tout dbut de mon stage, jai d raliser un inventaire physique des postes de travail et imprimantes. Cet inventaire, ralis grce au logiciel Synexis inventory (logiciel daudit de poste), a eu pour but la vrification du dimensionnement du parc notamment dimprimantes (dmarche de Cost Killing et mutualisation des moyens). De plus, cet
17

Annexe : Tableau de bord GSM et Tlphonie

37

inventaire a permis le lpuration des biens informatiques 18 injustement compris dans le bilan. En effet un audit rapide avait diagnostiqu un surdimensionnement et certaines erreurs sur lestimation du parc. Ce nettoyage comptable a pour but la rduction de la taxe professionnelle qui prend en compte ce mme parc informatique. Dautre part, cela a permis aussi la mise en place dune relle gestion des biens en leasing (Parc dordinateurs Dell). Cet inventaire sest termin par la vrification de la bonne protection des matriels vis--vis des assurances. Choix financier La poursuite dun inventaire physique ayant t trs riche en sources dinformations, jai pu raliser un audit, en matire de choix dinvestissement (location, achat, crdit bail) et raliser des vrifications comptables rapides (vrification de la justification de certains paiements opaques en matire dinformatique)

Gestion logiciel et licence

Laudit 19 men du point de vue lgal a trs vite abouti la conclusion quil fallait faire un point sur la gestion des licences chez Cance. Jai donc pu faire un inventaire logiciels, vrifier la conformit des logiciels installs par rapport aux licences gres notamment dans le cadre du respect de la charte des NTIC, mis en place chez Cance (charte rappellent au personnel le rglement interne par rapport aux NTIC) . Deux points marquants ont influ sur ma rflexion : -surenchre constante et une explosion du budget ddi aux logiciels qui reprsentent 21% du budget chez Cance contre 18% dans le mme secteur. A ce titre, jai donc propos un panel de solutions en logiciels libres, pouvant supplanter les logiciels commerciaux. -une gestion des licences, dfaillante : les logiciels sont installs au tout-venant sans que lon sache priori si lon dispose dune licence ou non. De plus de nombreuses versions se ctoient. Partant de ce constat, jai pu faire un point sur la situation logicielle vis--vis des licences, tablir une procdure de gestion de licences, et enfin proposer un outil pour grer celles-ci en collaboration avec Synexis inventory.

2. Audit orient organisation et stratgie Audit lgale

18 19

Annexe : rapport daudit Inventaire physique Annexe : Rapport daudit logiciel

38

Qui dit SI dit information et donc base de donnes, il est trs vite apparu une carence totale en matire lgale vis--vis des obligations inhrentes aux bases de donnes. A ce titre, jai donc pu raliser un audit lgal 20 , rsumant les obligations de Cance vis--vis de la Cnil ou encore de la nouvelle loi en la confiance en lconomie numrique. Jai cherch dtecter de potentiels bases de donnes dclarer, en indiquant aussi la forme de dclaration adopter ainsi que les dispositions prendre si il y avait lieu. De plus en matire lgale jai aussi vrifi le respect des obligations lgales vis vis de la vie prive des employsCet audit a aussi compris ltude du site Internet www.cance.fr ainsi que les obligations par rapport la charte des NTIC (rglement intrieur / NTIC et leurs utilisations).

Intranet
Mon arrive chez Cance sest faite en parallle une rflexion sur la mise en place dun intranet. Dans ce cadre- l jai pu raliser une partie du cahier des charges 21 en rapport avec celui-ci. Jai propos les applications potentielles de celui-ci, ainsi que les chances pouvant tre abordes, jai aussi pu apporter mon clairage, au niveau de la politique de protection des donnes et sur les choix techniques en rapport avec celle-ci. Stockage : Cette partie devait tre initialement la plus grosse partie de ma seconde mission. Ma vision transversale de lorganisation de Cance aurait d me permettre dinitier une rflexion sur la structuration du rseau de stockage de Cance 22 notamment sur les implantations en dehors du site- mre. Cet objectif avait pour but de permettre une plus grande homognit dans les organisations, damliorer le partage de donnes ainsi que de raliser des conomies de place non ngligeable. Ma mission ma permis dtablir en collaboration avec 4 personnes, deux architectures de stockage23 aptes tre mis en place prenant en compte non seulement la situation actuelle (que jai audit) mais aussi les orientations du groupe (mont en charge de filiales, rle). Pralablement toute mise en place grande chelle, il a t convenu que cette structuration serait teste. Ce test a t ralis sur un service : celui des btiments agricoles comprenant 4 utilisateurs, et 2 en tltravail. Aprs cette mise en place diffrents problmes sont apparus : -manque de temps dans la ralisation de cette mission

20 21

Annexe : audit lgal Annexe : rapport sur lintranet 22 Annexe : Audit sur le stockage 23 Annexe : Structuration du stockage rseau

39

-demande de formation trs importante en inadquation avec le temps estim et avec mes possibilits -mauvais moment : le public touchant linformatique, est lheure actuelle boulevers par de nombreux projets en cours de dploiement, mise en place gnralise de lERP Tiamp en V3, mise en place du logiciel interne de devis -impossibilit dassurer une tlformation viable sur les agences Nanmoins laudit ralis a permis de : -dtecter et former les services problmes -rdiger des recommandations et des fiches formation pour lorganisation du rseau -initier une dmarche de stockage en matire de courriel -dgagement de ressources important grce un meilleur stockage mutualis

Archivage
Un audit rapide du stockage chez Cance a relev de nombreux problmes au niveau du stockage, jai donc attir lattention de la direction sur ce point, et jai notamment pu initier cette dmarche chez le service agricole, permettant de dgager des ressources de stockage.

Tableau de bord
Le but dun audit est de dtecter les problmes et de proposer des amliorations ce titre. Il est trs vite apparu que faute dinstrument de contrle viable, le SI de Cance tait gr bon gr mal gr sans rellement savoir si les volonts stratgiques de la direction taient rellement respectes. De fait jai donc propos diffrents indicateurs ainsi que plusieurs tableaux de bord 24 : -Tableau de bord tlphonie, destin au service informatique (suivi des consommations, de dimensionnement et des contrats) -Tableau de bord gnral du SI destin aux dcideurs et au service informatique. Faute de grands indicateurs et faute de relle comparaison possible les choix tactiques se sont faits, pour la plupart avec succs, grce au bon sens, nanmoins dans le contexte actuel de concurrence exacerbe et de ncessaire comptitivit, il est apparu le besoin de se situer par rapport la concurrence au niveau du SI dinformation et des moyens mis en place -Proposition de tableau de bord pour la cellule help desk : ce tableau de bord a pour objectif la dtection et la rsolution prospective des incidents notamment par la dtection de carence de formation ou par la rsolution des problmes rcurant leurs sources mme -Proposition dindicateurs : scurit, antivirus, courriel, stockage, cot
24

Annexe : Tableau de bord (Chiffres confidentiels)

40

 Budget
Jusqu prsent linformatique fonctionnait au tout venant : sans budget ni limite prvue, ni objectif de cot. Cette carence a mis en dfaut le groupe au niveau de certains projets (explosion des cots de lERP). Au vu des nombreux dfis relever, il est apparu ncessaire dinitier une dmarche de budgtisation des cots informatique et tlphonique aptes faire les bons choix stratgiques et aptes orienter les choix tactiques. De fait, par une dmarche parallle au cost. killing que jai pu effectuer et en parallle llaboration des tableaux de bord du SI, je me suis intress llaboration dun modle de budget 25 . Ce budget 2006, en cours de validation, sest bas sur lvaluation des cots de 2005 et de 2004, et cette mthode permettra une gestion relle du budget, danticiper les dpassements voir mme de les rectifier.

Respect de la charte des NTIC

En dcembre de cette anne, une charte des NTIC 26 a t dite par le groupe, qui constatant des abus dans lutilisation des NTIC a tenu rappeler les rgles respecter. Beaucoup de processus gravitant autour de cette charte, je me suis intress son respect par les usagers, sa viabilit et sa lgalit. Il est ressorti que certains abus ncessitaient un rappel lordre, mais surtout que de nombreux abus taient issus dune non- prise de conscience des risques ou des problmes engendrs par certaines actions, voir mme limpossibilit de se passer de ces dites actions (du type changer les mots de passe). De fait, il ma paru bon de faire un petit rappel et surtout dexpliquer lutilisation de la charte et sa raison dtre.

Etude des attentes des utilisateurs

Pour initier des dmarches damlioration, encore faut- il savoir comment est peru le service informatique par les utilisateurs. Il faut de mme savoir quelles sont leurs attentes, des entretiens orients permettent de comprendre quels sont les besoins vis--vis de linformatique ainsi que leur perception. A ce titre il a t ralis au cours des entretiens un audit de la perception du service informatique 27 . De plus deux modles de questionnaires ont pu tre tablis.

25 26

Annexe : Budget 2006 (Chiffres Confidentiel) Annexe : Rapport daudit charte des NTIC 27 Annexe : Rapport daudit de la vision de la fonction informatique

41

Conclusion : Cance, une gestion des processus lie au Cobit en plein dveloppement

42

Rsultats
Environ 50 fiches fournisseurs 80 fiches processus Dizaines modles de processus 4 tableaux de bord Documents gnraux (listing daccs, listing fournisseurs) Budget 2006 1 Choix dun rfrentiel : Cobit Quickstart 1 inventaire physique, un logiciel 1 planning daction 3 rengociations commerciales dimportance 2 questionnaires 35-40 entretiens Economie mensuelle estime 300 mensuel Actions commerciales de demande de remboursement et rduction commerciale Approximativement 60p de rapport dAudit gnrale ou spcifique

Les entreprises du btiment ne sont pas rputes pour leurs caractres innovants, historiquement plus portes sur la production que sur les services supports (marketing, informatique, contrle de gestion), Cance est de celle ci ; cet tat de fait doit changer. Cance est donc une entreprise dont le systme dinformation a explos en quelques annes. Face cette explosion des techniques et des fonctions, ni les mthodes dorganisations, ni une certaine rationalisation des actions ne sont venues structurer le systme. Aujourdhui le SI a besoin de se structurer de sorganiser, sans rinventer la poudre . Le SI nest pas ce que lon peut appeler un domaine stratgique chez les entreprises du btiment et ladoption dun rfrentiel a t vu comme le moyen le plus efficace, le plus complet et le plus rapide pour se doter dune organisation permettant de grer les moyens, les risques et bien sur les actions. Ds lors il a fallu sinterroger sur les besoins de Cance et ses attentes dans ladoption dun rfrentiel. Le SI chez Cance est devenu complexe couvrant de nombreux processus divers, de nombreux fournisseurs et par l-mme de nombreux risques. Face une carence organisationnelle Cance a d faire face une absence quasi totale de documentation, un

43

manque de clart certain, dans les actions menes, mais aussi dans les objectifs mme de son SI. Le Cobit dans sa version Quickstart savre semble til le rfrentiel le plus adapt rpondant la problmatique de Cance et plus gnralement des entreprises dans son cas. Ce rfrentiel se conoit dans le cas des entreprises importantes, complexes (lot, complexit de production), dotes de moyens importants (ERP, Site web, logiciels internes), et lorganisation dstabilise bien quayant des processus efficaces (fiabilit du SI et rsultats importants). Ladoption du Cobit a une conclusion toute logique : la mise en place doutils de gestion processus, la mene daction daudit, la mene dactions de correction, la mise plat et la structuration de lorganisation. Le choix du Cobit a permis de mettre en place des outils dcrivant lenvironnement (fournisseurs), les processus (fiche processus, action descriptive, documentation technique), et lorganisation. Cette mise plat a permis linstauration de documents supports : budget, tableau de bord, listing Celle ci a naturellement mene des audits sur certains processus, la mene daction sur dautres si bien que le help desk, les inventaires, le stockage, la sauvegarde et tant dautres processus ont t mis plats, jugs et corrigs au ncessaire.

Ce dossier doit avoir permis de voir en quoi la mise en place dun rfrentiel processus peut permettre daider la gestion dun systme dinformation correspondant aux caractristiques de Cance : moyens importants, fort dveloppement, et fiable au niveau oprationnel dsorganis un niveau suprieur. On peut nanmoins sinterroger en se demandant sil naurait pas t judicieux de passer par la mise en place dItil dabord pour passer plus facilement Cobit. De plus il sera intressant dans le futur de voir en quoi la mise en place du rfrentiel qui se situe un niveau tactique et stratgique au niveau des dcideurs impactera sur le niveau oprationnel et donc sur ladministrateur mme. Pour finir, il conviendrait certainement de sinterroger sur les impacts au niveau des ressources humaines de la mise en place dun tel systme quand le personnel informatique nest pas ou peu impliqu, et que la roue continue de tourner Ce projet ne sera rellement abouti que par la poursuite de certaines de mes tches : la poursuite de laudit pour les processus non audits, la poursuite de description des processus et bien sur la correction des problmes relevs, poursuite que jespre suivre de prs durant les mois venir.

44

 Difficults
Tout au cours de ces diffrents mois de stage, jai vcu de nombreuses situations mayant pos de multiples problmes : -Conflit de vision entre gestionnaire et responsable de la fonction informatique Ladministrateur voyait en ma mission une opportunit pour se dcharger de nombreuses tches administratives plus ou moins laborieuses pour lui, il voyait en loutil mettre en place, une structuration de fichiers sans autre but. A loppos, le responsable du SI lui attendait de loutil une organisation non encore mise en place, un guide pour la fonction informatique et tlphonie et pour finir un jugement critique. Ce problme a t rcurrent et sest matrialis par un dsaccord quasi-total sur mon rle dans ma mission, sur les implications de celle-ci. -Obligation de grer au tout venant des parties spcifiques de ma mission. Malgr un plan daudit processus dfini, il est vite apparu la ncessit de le bouleverser tout au long de ma mission, notamment du fait dchances particulires (fin de contrat, rengociation) ou du fait dattentes particulires (runion ou survenue dincidents).Ces obligations ont impliqu l mise jour et le bouleversement constant de mon plan daudit -Manque de reconnaissance et manque dimplication. Le personnel avec qui jai pu travailler au cours de mon audit mont bien souvent assimil linformaticien, entranant par la mme une certaine rancur et un certain scepticisme par rapport ma mission. Cette hostilit plus ou moins latente sest rsolue avec beaucoup de communication au niveau interpersonnel faute de moyens de communication de masse . -Manque de crdibilit lobtention de renseignements. -Manque de moyens. La tenue dune mission daudit de processus et de modlisation, ou la tenue de certaines missions a impliqu de nombreux besoins, sans que forcment tout soit satisfait dans le meilleur dlai (logiciel, livre) -Manque de source et modle : laudit est une matire qui implique beaucoup de savoir- faire et autant de connaissances. Aussi, mme si jai pu au cours de ma mission combler mes manques en termes de tlphonie ou de gestion de parcil ma fallu me faire la mthodologie daudit, qui, si je puis la qualifier ainsi, fut trs particulire chez Cance. Aussi, de manire gnrale, jai pu suivre les conseils de Mr Squozie non sans devoir les adapter et les modifier. Il va sans dire que replacer dans un contexte tel que celui-ci jadopterai une conduite plus ou moins diffrente. En effet, ma mission a volu clairement en 45 notamment vis--vis des fournisseurs, dans le cadre de

fonction des personnes et de la culture dentreprise, sa stratgie Avec le recul actuel et replac dans une situation quivalente, je pense que je serais tour tour plus entreprenant dans certains cas, plus communicatif dans dautresIl mest apparu que laudit est une domaine trs large qui implique un grand sens relationnel sans oublier un cot technique non moins prononc. -Atomicit des sources dinformations : les sujets traites durant mon stage tant trs rcents les retours dexpriences thoriques et mthodes sont rares et atomiss. Il est trs courant pour savoir de quoi retourne par exemple tel ou tel aspect technique de devoir naviguer sur de nombreux sites ou consulter de nombreux magazines professionnels informatiques. -Difficult dans laudit lui mme : le principal risque dune mission daudit est de sparpiller, ce qui mest arriv. Habituellement les missions daudit durent 3 semaines pour 4-5 j dentretien, ici la dure de la mission a t de 5 mois. Lactualit du jour (rengociation, problmes, runion) ma contraint mparpiller mobligeant mener 3-4 tches en mme temps, et il a souvent t difficile de revenir sur une tache dlaisse dans lurgence .

Exploitation des savoirs

Bien que perplexe quand lutilit dune telle diversit de cours relativement peu pousss avant mon stage, je dois avouer quaprs 5 mois dans le monde de lentreprise, mon point de vue a chang du tout au tout. Mon stage a t lapplication parfaite de tous les enseignements que jai pu recevoir dans la MSG et mme dans mes tudes antrieures.

Apport
Je suis arriv chez Cance avec la conviction que tous les savoirs acquis au cours de mon cursus universitaire seraient suffisants pour rsoudre ma mission de manire convenable. Bien que ne possdant pas de savoir- faire particulier en audit, je supposais que le panel de connaissances dont je disposais suffirait ma tche. En ralit, la situation fut tout autre ce qui ft paradoxalement trs stimulant. La mission daudit et de description de processus que jai pu effectuer mont forc sans cesse me renseigner sur les techniques de managements ou aux technologiescar comment dcrire ce que lon ne comprend pas. De plus, je pensais que les rsistances face aux changements ne pourraient tre que ngligeables chez Cance, pour une entreprise de taille moyenne en pleine mutation. En ralit, il a fallu composer avec de nombreuses rsistances tout aussi prononces que la demande de certains de changement. Ces rsistances autant que ces demandes furent un rel moteur dans mon apprentissage des mthodologies daudit, des mthodes dorganisation et de communication. 46

Ce stage a t un superbe tremplin dans lexploitation de nombreux cours spcifiques ou non au SI. Les cours reus en SQA et audit ont pu tre particulirement exploits car au cur mme de mon sujet de stage. De plus les cours de rseau, programmation et de nombreuses interventions mont permis de percevoir dans le cadre de lentreprise Cance toute la complexit que peut avoir un SI dentreprise. De plus il serait terriblement rducteur doublier limportance quont eu les cours de SI notamment dans le cadre de la modlisation des processus. Je peux aussi ajouter ceux -ci la communication ou encore la GRH, qui ma servi lors de ce stage. En allant au -del, jai pu aussi exploiter mes connaissances de mon DUT GEA dans le cadre de la comptabilit, et de lanalyse fiscale et plus gnralement de la gestion.

En allant plus loin : Poursuite dtudes

Ce stage maura donc permis de structurer mes savoirs et dacqurir de lexprience en audit, contrle de gestion spcifique au SI. Ce stage ma ainsi donn lenvie de poursuivre dans la branche de laudit et de contrle dans le cadre dun master GSI Pau. De plus, je prvois de continuer de suivre certains projets que jai initis de manire voir leurs volutions notamment lutilisation de loutil que jai mis en place et la mise en place dun intranet.

Remerciements finaux
Je remercie donc toutes les personnes qui se sont donnes la peine de lire mon mmoire. Ainsi que toutes les personnes : professeurs, intervenants et professionnels davoir suivi, mon stage et plus gnralement mon mmoire. Je dois soulign limplication de personnes prsentes ici : M Prade pour avoir suivi mon stage, Mr Sallabery et Recassens pour leurs conseils.

En allant plus loin : la soutenance orale du mmoire

La soutenance orale du mmoire aura pour but parmi tan dautre le dveloppement des points laisss volontairement en retrait. Cette prsentation aura pour objet de prsenter de plus prs le Cobit et son interaction avec les outils que jaurai mis en place, ainsi que les technique dAudit que jai pu mettre en place.

47

Bibliographie :
La bibliographie ici prsente comporte un panel de documents de rfrences utiliss. Celle ci se constitue de cours suivis en MSG-GSI, de documents universitaires (traitant de volets thoriques spcifiques), de trs nombreux articles dactualit (notamment sur la technologie et les mthodes nouvelles), et de quelques livres (rares, du fait dune orientation trs pratique et dactualit de mon stage).

Cours principaux utiliss :

-Cours de SQA 2004: Mme Darand -Cours dAudit 2005: Mr Squozzie -Cours de SI 2004-2005: Mme Bessagnet

Livres
Association Franaise de laudit et du conseil informatique : Ensemble des documents Cobit, (451p, au format lectronique) Alain Fernandez : Lessentiel du tableau de bord, dition dorganisation 2005: livre traitant de la cration de tableau de bord: intressant volet thorique comprenant des exemples illustrs, complt par un accs payant au site de lauteur comprennent des tutoriaux plus pratiques (concret, exemple, 180p) itSMF, 2001 : gestion des Services Lis aux technologies de linformation: livre simple et large traitant du rfrentiel Itil (complet , graphique, 80p) Nombreux livres dinformatiques pratiques spcifiques aux actions oprationnelles mene parmi lesquels : ltat de la pratique informatique, Monter son intranet ou encore Rseaux

Mmoire et thse universitaire

David GILLET, Frdric HARNOIS et Natacha NOL, 2004 : Control Objectives for Information and Related Technology. DESS QUASSI : rapport sur le Cobit, introduction au niveau du Cobit (simple et claire, 33p) Hicham HIDDAK, 2003 : Du contrle de gestion informatique lIT. Mmoire de thse dInformatique et gestion : tude dun modle de tableau de bord bas sur un mlange des rfrentiels Itil et Cobit (Complet, 35p)

48

Schimikratch, 2004 : Note dinformation sur les bonnes pratiques en matire dinformatique. Consultant en scurit informatique : ensembles de recommandations en matire informatique (21p, complet, simple) Ludovic Me Vronique Alanou : Dtection dintrusion dans un systme informatique

mthodes et outils : mmoire traitant des mthode de dtection dintrusion, approche statistique (Complexe mais complet, 22p) Fabio LALOLI, 2003 : Approche combine de laudit des systmes dinformation: mmoire de thse en informatique et gestion, universit de Lausanne, prsentation dune mthode daudit exploitant le Cobit laide dun modle informatique (travail trs complet, ides intressantes, 63p) Jacky AKOKA et Isabelle COMYNWATTIAU , 2003 : Audit dun site web, Une dmarche structure, Professeur CEDRIC, Conservatoire National des Arts et Mtiers (CNAM) et Institut National des Tlcommunications. Rapport de recherche sur la mthodologie daudit dun site web, trs reprsentatif des missions daudit informatique (complet et domaine dtude rare, 13p) Guy Bourassa, 2005 : Joindre lItil Joindre lItil lagrable, Service de la technologie Rgie des rentes du Qubec. Support de prsentation de lItil et dautres rfrentiels (complet, clair, 56p)

Articles de magazines issus de sites Internet & sites Internet

Mon stage ayant port sur des domaines trs larges notamment au niveau oprationnel, je ne dvelopperai pas plus cette bibliographie. Ici sont prsents les documents et sites de rfrences sans que soient dtaills les articles, les auteurs tant leur nombre est important. Pour plus de dtail, sont joint avec mon projet sous format lectronique ma liste de favoris ainsi que les plus grands documents de rfrence que jai pu utiliser (consult le 21/08/05).

http://www.01net.com/rubrique/4188.html: recueil darticles publis dans les magazines 01 net 01 reseaux, decisiontude des dossiers darticles sur la scurit, le rseau, budget et autres sujets oprationnel ou thorique Cobit et Itil notamment (source fiable et de rfrence) http://www.journaldunet.com/: utiliss pour son recueil darticle sur la DSI (budget, tableau de bord), ainsi que pour sa partie Intranet et rseau (source fiable, complet) http://www.indexel.net/: site trs complet sur le SI en entreprise, trs utilis dans le cadre des techniques dorganisation (dmarche de Cost Killing), et orientations gnrales du SI. (Source professionnel, dune entreprise connue en matire dinformatique professionnelle)

49

http://www.microsoft.com: utilis pour ses nombreux dossiers pour les entreprises notamment en terme de gestion rseau et logiciel (point de vue du gant logiciel pour les entreprise, introduction a des sujets diverses de manire simple) http://costkiller.net/: site de rfrence sur la mthode de Cost Killing, mthodologie et conseils avec leurs exemples (Site de rfrence, complet) http://www.zdnet.fr : site utilis pour ses dossiers en matire de techniques informatiques, rseaux, intranet (Site plus ax logiciel et solution technique que les prcdents) https://adullact.net/projects: site trs complet sur les projets ayant trs au SI en matire de logiciels libres, utilis dans le cadre de la recherche de solutions logicielles et de cahier des charges (un des rares sites proposant des logiciels libres destination professionnelle). http://glpi.indepnet.org/: site dune solution de Help desk libre de droit beaucoup utilis (utilis dans le cadre de la mission help desk) http://www.framasoft.org/: site rpertoriant un grand nombre de logiciels libres http://web.archive.org/web/20010825021437/xavinho.free.fr/intranet/: Document trs complet sur la possibilit dun intranet sa mise en place (Document trs complet) http://www.itsmf.fr: site sur lItil, utilis dans le cadre dune recherche bibliographique http://www.cnil.fr: site de la CNIL, nombreux documents sur les obligations lgales des entreprises vis vis de linformatique et les bases de donnes (rfrence en la matire, complet) http://www.bpms.info: site de rfrence sur les solutions logiciels et les mthodologies de modlisation de processus et de leurs modles (Point de vue des professionnels du secteur, trs complet, accs restreint payant) http://top1000.decideur.com: la rfrence de recherche de source bibliographique sur Internet (trs complet et exhaustif) http://blog.piloter.org: site sur le contrle de gestion et lanalyse de cot en liaison avec linformatique (accs restreint, payant) Nombreux documents commerciaux et comparatifs commerciaux (logiciels, modlisation de processus, intranet)

Publication dentreprise
Document commercial de lentreprise pronoas.ch, 2005 : document prsentant les possibilits dun intranet, les grands choix techniques et les organisations possibles, 9p ( Rapport de lobservatoire de lIntranet 2004 : tendances, possibilits, grandes caractristiques, 53p (Organisme de rfrence, trs complet)

50

Thierry CHAMFRAULT, Atelier BNP PARIBAS, 2005: Cobit, CMMI, ITIL concrtement quen est il? Rapport dune commission sur les diffrents rfrentiels, apports, utilits, problmes (Complet, rfrence professionnel, 44p) Paul VINCENT, 2003: Itil, les Meilleures Pratiques un livre volutif. Rapport dun

professionnel de linformatique Consultant renomm, prsentation Itil, et des mthodes et outils en rapport (complet, ouverture un public de non informaticien) Paul VINCENT : Dmarche Open Source pour les Grandes Entreprises, Mission d'Intrt Gnral Open Source d'EDF GDF .Prsentation des possibilits et mthodes de passage des solutions libres en entreprises (complet, crdibilit de la source, ouverture un public de non informaticien) Logiciels principaux utiliss -Suite Microsoft Office, Visio, Project : logiciel de bureautique, gestion de projet et dition de reprsentations graphiques -Dia, Gantt Project : logiciel libre ddition de diagramme et de schma -Synexis inventory : Logiciel de gestion de parc informatique -Tiamp : ERP de lentreprise Cance, utilisation dans la recherche dlment comptable -Rep-listing : logiciel libre danalyse dinfrastructure de stockage -Fa7 : logiciel danalyse financire (non utilis personnellement) -Portail Flotte On-line : application de bases de donnes Orange

51

Plan
INTRODUCTION ................................................................................................ 8 Cance de la petite entreprise familiale au groupe industriel................ 8 Un peu dhistoire : ................................................................................... 8 Mais aujourdhui...................................................................................... 9 Domaines dactivits............................................................................ 9 Les clients............................................................................................. 9 Les moyens de production ................................................................. 10 Cance : un march dans la tourmente. ............................................... 10 Le SI dinformation Cance : une remise en cause ncessaire............ 11 Le SI grands chiffres ............................................................................. 11 Situation du systme dinformation et plus particulirement du systme informatique : ........................................................................................ 11 Un projet : mise en place dun rfrentiel pour grer le SI................ 12 PROBLEMATIQUE : QUEL REFERENTIEL PROCESSUS POUR LE SYSTEME DINFORMATION DUNE ENTREPRISE DU BTP ET POUR QUELLES IMPLICATIONS ? .......................................................................... 13 I. COBIT LE REFERENTIEL ET LES OUTILS CONFORMES A CELUI CI 15 A. LE REFERENTIEL PROCESSUS : LA SOLUTION DORGANISATION DUN SI DESORGANISE .................................................................................................... 16 1. La situation et les attentes de Cance : la recherche dun cadre organisationnel............................................................................................. 16 Dysfonctionnements perus : ............................................................. 16 Attente de Mr Prade ........................................................................... 17 2. Cahier des charges et orientation de la rflexion ................................. 18 Orientation de contrle : .................................................................... 18 Orientation vers des objectifs............................................................. 18 Cahier des charges : ........................................................................... 19 B. LES REFERENTIELS POSSIBLES .................................................................... 20 1. Cobit loutil le plus adapt lorientation stratgique du SI de Cance20 Le choix de Cobit Quickstart ............................................................. 23 2. Documents et outils mis en place .......................................................... 24 Fiche processus: ................................................................................. 24 Documents gnraux :........................................................................ 26 Fiche fournisseur :.............................................................................. 28 II. UN PROJET DAUDIT DANS LORIENTATION STRATEGIQUE DU SI 31 A. METHODOLOGIE DAUDIT ET LE COBIT ...................................................... 32
52

1. Mthodologie et droulement dune mission daudit........................... 32 2. Droulement de la mission daudit concili au Cobit........................... 33 B. LES REPERCUSSIONS OPERATIONNELLES .................................................... 36 1. Audit technique ...................................................................................... 36 Helpdesk :........................................................................................... 36 Tlphonie.......................................................................................... 37 Inventaire physique ............................................................................ 37 Gestion logiciel et licence .................................................................. 38 2. Audit orient organisation et stratgie.................................................. 38 Audit lgale ........................................................................................ 38 Intranet ............................................................................................... 39 Archivage ........................................................................................... 40 Tableau de bord.................................................................................. 40 Budget ................................................................................................ 41 Respect de la charte des NTIC........................................................... 41 Etude des attentes des utilisateurs...................................................... 41 CONCLUSION : CANCE, UNE GESTION DES PROCESSUS LIEE AU COBIT EN PLEIN DEVELOPPEMENT .............................................................................................. 42 Difficults........................................................................................... 45 Exploitation des savoirs ..................................................................... 46 Apport ................................................................................................ 46 En allant plus loin : Poursuite dtudes.............................................. 47 Remerciements finaux........................................................................ 47 En allant plus loin : la soutenance orale du mmoire ........................ 47 BIBLIOGRAPHIE : .............................................................................................. 48 Cours principaux utiliss :.................................................................. 48 Livres.................................................................................................. 48 Mmoire et thse universitaire........................................................... 48 Articles de magazines issus de sites Internet & sites Internet ........... 49 Publication dentreprise ..................................................................... 50

53