1. Introduction
Le concept d’audit des systèmes d’information apparu dans les années 1970 a pour but de s’assurer que les méthodes d’organisation de l’entreprise et les processus de gouvernance du système d’information répondent d’une manière efficace aux besoins et objectifs de l’entreprise.
Concernant la gouvernance du système d’information, son rôle consiste à piloter, gérer des structures organisationnelles et des processus qui garantissent que l’organisation du système d’information soutient bien la stratégie de l’entreprise.
Parmi les nombreux référentiels servant de base à la réalisation des audits, on retiendra dans cette note : COBIT (Control OBjectives for Information and related Technology/Objectifs de contrôle de l’information et des technologies associées), CMMI (Capacity Maturity Model Integration) et ITIL (Information Technology Infrastructure Library).
2. COBIT, le référentiel de gouvernance du système d’information
Le référentiel COBIT a été développé en 1994 et publié pour la première fois par l’ISACA (Information Systems Audit and Control Association) dont la branche française est l’AFAI (Association française de l’audit et du conseil informatiques). En 1998, l’ISACA crée l’ITGI (Information Technology Governance Institute). En 2000, COBIT évolue et devient, sous l’impulsion de l’ITGI qui en assure désormais la conception, le référentiel de gouvernance des SI.
Le référentiel COBIT est structuré selon quatre domaines qui correspondent au cycle de vie des systèmes d’information : planifier et organiser, acquérir et mettre en œuvre, délivrer et supporter, surveiller et évaluer.
Chaque domaine est décrit sous la forme d’un ensemble de processus. La description de chacun des processus est accompagnée d’objectifs à atteindre.
COBIT fournit des objectifs de contrôle général par processus avec une description des exigences métier, des objectifs de contrôle détaillé par activité dans chaque processus avec la description des actions à mettre en œuvre. Il inclut un guide de management et un modèle de maturité qui évalue l’atteinte d’un ou plusieurs objectifs généraux sur une échelle de 0 à 5.
3. CMMI, le référentiel de conduite de projet
Développé en 1987 par le Software Engineering Institute de l’Université Carnegie Mellon, CMMI est un référentiel de bonnes pratiques orienté vers le développement logiciel et la gestion de projet afférente. Il représente une avancée importante dans le monde de l’ingénierie des systèmes d’information.
CMMI s’articule autour de six concepts centraux :
· Les domaines de processus ;
· La représentation du modèle : CMII décrit 5 niveaux de maturité de l’entreprise dans sa représentation étagée et 6 niveaux d’aptitude dans sa représentation continue.
· Les objectifs génériques qui sont communs à tous les domaines de processus ;
· Les objectifs spécifiques, c’est-à-dire propres à chaque domaine de processus ;
· Les pratiques génériques liées aux objectifs génériques ;
· Les pratiques spécifiques liées aux objectifs spécifiques.
4. ITIL, le référentiel de gestion des services informatiques
ITIL a été inventé en 1989 en Grande Bretagne par le Central Computer & Telecom Agency (CCTA). Cet outil rassemble dans une bibliothèque d’ouvrages un ensemble de bonnes pratiques destinées à répondre aux besoins des directions des système d’information dans le domaine de la gestion des services informatiques. Le référentiel ITIL accorde une importance particulière aux notions de qualité de service et de productivité.
Sa mise en œuvre nécessite la définition d’une stratégie de gestion des services et principalement :
· La définition du périmètre des services ;
· La communication auprès des utilisateurs et des clients sur la démarche ITIL ;
· La définition de l’organisation et des moyens nécessaires pour supporter le projet ITIL.
5. Glossaire
Association française de l’audit et du conseil informatiques (AFAI) : Association créée en 1982 ayant pour but de développer l’emploi des techniques et des méthodes visant la maîtrise des systèmes d’information.
L’AFAI est la branche française de l’Association internationale de l’audit et du conseil informatiques (ISACA).
Association internationale de l'audit et du contrôle des systèmes (« Information Systems Audit and Control Association »/ ISACA) : Association mondiale des auditeurs certifiés en systèmes d’information.
Club informatique des grandes entreprises (CIGREF) : Créé en 1970, le CIGREF regroupe plus de cent très grandes entreprises et organismes français et européens de tous les secteurs d’activité (banque, assurance, énergie, distribution, industrie, services, etc.) et a pour mission de promouvoir l’usage de systèmes d’information comme facteur de création de valeur et source d’innovation pour l’entreprise.
Institut de la gouvernance des systèmes d’information (IGSI) : Institut fondé par l’AFAI et le CIGREF en 2004 ayant pour objectifs de rationaliser les systèmes d’information et préparer l’entreprise du futur , de créer de la valeur et mesurer la création de valeur des systèmes d’information et de faire progresser la maîtrise des systèmes d’information.
Processus : Ensemble d’activités visant à mieux maîtriser un ensemble de procédures.
Processus métier (« Business Process ») : Chorégraphie d’activités incluant une interaction entre participants sous la forme d’échanges d’informations. Les participants peuvent être des applications/services du système d’information, des acteurs humains ou d’autres processus métiers.
L’audit des systèmes d’information
- Détails
- Catégorie parente: Chronique
- Catégorie : Nadia Antonin
- Affichages : 13459