DSI et auditeurs : une table ronde 01 Informatique

En période de restriction des budgets informatiques, les auditeurs, qu’ils soient internes ou externes à l’entreprise, ont un rôle particulièrement important à jouer. De quelle nature sont, aujourd’hui, les relations entre auditeurs et directeurs des systèmes d’information ? C’est ce que nous avons souhaité analyser en organisant une table ronde. Trois représentants des directions informatiques ?” Brigitte Cochon, à la tête de la DSI et du contrôle de gestion d’Air Liquide Engineering ; Christophe Grattarola, chef du service stratégie et architecture des systèmes d’information de Bouygues Construction (et venu tout récemment de l’audit) ; et Jorge Molinero, chargé de mission infrastructures-sécurité à la DSI d’EDF RTE (Réseau de transport d’électricité) ?” ont été confrontés à des auditeurs : deux internes ?” Anne Juniel et François Vidaux, respectivement responsables de l’audit informatique de la Banque de France et de l’audit d’Apicil Agira ?” et trois externes : Gérard Pomper, directeur d’Ernst & Young Audit ; Serge Yablonsky et Dominique Moisand, les président et vice-président de l’Afai. Cette rencontre a mis en lumière la complexité des relations tissées entre auditeurs et DSI.

Auditeur interne, un métier interfrontières

Toutes les entreprises n’ont certes pas les contraintes d’une banque centrale, comme la Banque de France. En raison de la hauteur de l’enjeu, son gouverneur a placé un responsable sécurité des systèmes d’information aux côtés de l’audit informatique interne, tous deux sous la houlette du contrôleur général. Mais dans les grands groupes disposant d’un auditeur interne, sa mission ne doit pas empiéter sur celles du responsable sécurité ou du responsable qualité, puisque les processus informatiques sont désormais couramment soumis aux normes qualité. Aux limites de l’activité de conseil, il a pour objectif l’amélioration des performances du système d’information, et donc de l’entreprise. Il doit en outre l’exercer en perturbant le moins possible le travail des équipes informatiques. C’est l’une des raisons pour lesquelles, chez Air Liquide Engineering, l’auditeur interne n’opère pas pendant la vie des projets et que, à la Banque de France, ses interventions ne concernent que les grands projets et ne sont pas systématiques. Ce métier, qui repose sur des méthodes de travail rigoureuses et nécessite une bonne connaissance de l’entreprise, est soumis au phénomène d'” usure “, comme le souligne Serge Yablonsky, président de l’Afai. Celui-ci a constaté que de nombreux auditeurs s’orientaient ensuite vers le conseil.

La perception de l’audit dans les entreprises

Selon l’origine de l’audit ?” mission commandée par la direction générale, la direction financière, la DSI ou une direction utilisatrice ?” , et le moment de l’intervention ?” audit de projet ou d’application ?”, les auditeurs apparaîtront comme des alliés ou des empêcheurs de tourner en rond.

Christophe Grattarola : la perception de l’audit par la DSI dépend beaucoup du type de mission. Lorsque l’auditeur vient sur sa demande pour résoudre un problème entre elle et ses clients ou concernant son fonctionnement interne, elle le verra comme un partenaire. Il guidera le DSI dans ses réflexions ou ses relations avec les maîtrises d’ouvrage. Mais quand, par exemple, l’auditeur est sollicité par la direction financière, il peut être perçu comme un empêcheur de tourner en rond. Le DSI a tant de sujets à traiter que ce type d’audit, focalisé sur un point particulier, ne répond pas forcément à ses priorités.

Anne Juniel : nous sommes souvent perçus comme des empêcheurs de tourner en rond, car, à la Banque de France, la DSI est quasiment la seule direction a être auditée en permanence, une structure d’audit lui étant dédiée. La DSI est également susceptible de faire appel à nous dans le cas d’incidents. Mais cela reste relativement exceptionnel par rapport à l’essentiel de nos missions, qui s’exercent soit à notre initiative, soit à la demande d’autres directions, telle celle du budget, ou des directions utilisatrices.

Gérard Pomper : aujourd’hui, dans de nombreux cas, s’instaure une relation de partenariat. Au début de l’audit informatique, l’informaticien a opposé de franches résistances, car les auditeurs manquaient un peu de compétence. Nous intervenons aujourd’hui pour des missions de certification de comptes ou liées au contrôle interne et à la sécurité dans les systèmes. Les responsables informatiques nous perçoivent le plus souvent comme des alliés, car nous leur apportons un point de comparaison (aspect benchmarking), et ils profitent de notre présence pour faire passer leurs idées. C’est d’autant plus vrai quand arrive un nouveau DSI. En revanche, lorsque nos interventions s’effectuent au cours de grands projets, nous sommes généralement moins bien accueillis.

François Vidaux : étant à la fois source de progrès dans l’entreprise et consommateurs de ressources, notre rôle est un peu ambigu. En effet, il arrive que la direction informatique ne puisse pas satisfaire à nos recommandations, car elle a des contraintes budgétaires. Mise en difficulté, elle doit alors demander l’arbitrage soit de la direction générale, soit d’un comité d’audit. Malgré tout, nous sommes considérés comme une source de progrès. Nos relations sont courtoises. Comme l’a formulé un ancien directeur général de l’entreprise : nous sommes ” détestés cordialement “.

Jorge Molinero : l’auditeur est un accélérateur d’évolution quand on a l’intuition qu’une partie du système d’information commence, par exemple, à présenter certains risques en matière de sécurité. Il apparaît alors plutôt comme un allié.

Les problématiques auxquelles les auditeurs sont confrontés

L’auditeur n’accède pas toujours facilement aux données de l’entreprise. Sur ce point, la mise en ligne du dictionnaire permanent des systèmes d’information d’Apicil Agira peut faciliter sa tâche (voir encadré ci-contre). En outre, il intervient dans des domaines jugés non prioritaires par les DSI.

François Vidaux : l’auditeur doit avoir accès, à partir de son poste de travail, à toutes les données sans exception, partout et quasi instantanément. Et cela pour effectuer des vérifications, des calculs et s’assurer aussi qu’il n’y a ni manques ni doublons. Il appartient à la DSI de jouer le rôle de centralisateur des opérations, quitte à obtenir l’autorisation des propriétaires d’applications. Si leurs données sont mises à la disposition de l’auditeur avec un décalage de huit, dix ou quinze jours, on peut se demander s’il n’y a pas eu, entre-temps, atteinte à leur intégrité. Et, par voie de conséquence, le rapport de l’auditeur sera faussé.

Anne Juniel : les préoccupations des auditeurs ne sont pas toujours identiques à celles des DSI. L’objectif principal de ces derniers est de rendre un service efficace, d’offrir la disponibilité et d’obtenir la satisfaction des utilisateurs. Quant à nous, nous sommes un peu la ” bonne conscience “?” sur les aspects sécurité, par exemple. Souvent, lorsqu’on évoque ce sujet, la DSI entend seulement ” disponibilité “. Il nous revient de mettre plus en avant le risque de fraude, l’atteinte à l’intégrité ou à la confidentialité. Or, renforcer les mesures de sécurité est toujours coûteux en moyens, en budget et en effectif.

La valeur ajoutée de l’audit

Tous les auditeurs contribuent à prévenir les risques. Or, plus ils interviendront en amont dans les projets, plus leur valeur ajoutée sera importante. Même si ce contrôle a priori n’est pas pratiqué dans toutes les entreprises. Celui exercé a posteriori, une fois l’application opérationnelle, apporte également un plus en évitant des erreurs futures. Mais, comme chez Bouygues Construction, on peut refuser de mener ce dernier type d’audit retour d’expérience, perçu comme ” donneur de leçons “.

Anne Juniel : depuis deux ans, notre rôle dans les audits de projet a été reconnu et institutionnalisé. Nous n’auditons des projets à froid ?” c’est-à-dire à notre initiative ?” que lorsqu’ils dépassent 2 millions d’euros, et essentiellement sur l’aspect conduite de projet. Et ce afin de prévenir tout risque de dérapage sur les coûts ou les délais. Cependant, il faut savoir que, de son côté, le responsable sécurité de l’information joue également un rôle de conseil en amont des projets. Comme l’audit informatique, il est rattaché au contrôle général.

Jorge Molinero : chez RTE, l’aspect préventif est émergent, mais réel. L’auditeur ne va pas seulement contrôler la sécurité de l’existant, mais également s’assurer que la solution de remplacement va vraiment apporter un bonus. En fait, cela permet de ne pas répondre trop facilement à des propositions d’évolutions techniques supposées générer des gains substantiels.

Gérard Pomper : la tendance est effectivement à une implication de l’audit dans les projets le plus en amont possible. Et ce pour la bonne raison que les entreprises réalisent l’efficacité de cette approche. Il est, par exemple, très coûteux et difficile d’instaurer un contrôle interne de la sécurité une fois les applications ou les systèmes paramétrés et mis en place. Concrètement, notre intervention porte sur la qualité des choix techniques et fonctionnels, et sur le respect des contraintes légales en amont d’un projet. Il ne s’agit pas pour nous d’effectuer des choix opérationnels, mais de fournir à l’entreprise un garde-fou sur ces aspects-là.

Brigitte Cochon : dans notre entreprise, l’audit est toujours conduit a posteriori ou à froid. Nous parlons donc en termes de capitalisation et de facteur d’amélioration des processus dans le futur. Ce sont les responsables qualité qui interviennent en amont. Il existe un plan qualité surtout pour les gros projets.

Christophe Grattarola : la valeur ajoutée de l’audit réside davantage dans le retour d’expérience. Mais on n’est plus alors dans l’action. Et je pense que, dans ce cas, l’auditeur apparaît un peu comme un ” donneur de leçons “. Ce qui contribue à nuire à son image. Lorsque j’étais responsable de l’audit, nous avions décidé de rejeter ce type de missions. La valeur ajoutée de l’audit n’est pas toujours chiffrable. C’est une ” réduction de l’éventualité ” ou des pertes évitées. Chez Bouygues Construction, 80 % des missions s’effectuent à la demande des audités eux-mêmes. La vraie valeur ajoutée des auditeurs vient peut-être du fait que les DSI les appellent.

Audit informatique : des indicateurs qui varient selon les entreprises

Seul référentiel reconnu au niveau international, le modèle Cobit apparaît trop contraignant. Les entreprises préfèrent développer leur propre grille.

Pour mener à bien leurs missions, les auditeurs s’appuient sur différents indicateurs. Le seul référentiel reconnu en la matière à l’échelle internationale est le modèle Cobit, défini par l’association Isaca (Information Systems Audit and Control Association). Dans sa démarche, l’auditeur s’intéressera à trois aspects : les processus couverts par sa mission, les ressources informatiques concernées, et les critères auxquels doit satisfaire l’information ?” qualité ; efficacité, fiabilité, respect des lois ; sécurité, etc. Ce référentiel est généralement mixé à d’autres sources, tel le benchmarking, issues de grands cabinets comme le Gartner ou le Metagroup. Toutefois, le meilleur auditeur ne pourra contrôler que les données mises à sa disposition. L’extension des normes qualité à l’ensemble des activités de l’entreprise, y compris l’informatique, a contribué à faire évoluer les DSI en matière de méthodologie. Ainsi, chez Air Liquide Engineering, les trois tableaux de bord de la DSI ?” financier ; support production/performances du système ; suivi de projet ?” sont en cours de refonte pour mise en conformité avec les normes ISO 9000 version 2000. Cela conduit à des audits plus élaborés, comprenant parfois du benchmarking.

Christophe Grattarola, chef du service Stratégie et Architecture des systèmes d’information de Bouygues Construction

Anne Juniel, responsable de l’audit informatique de la Banque de France

Jorge Molinero, chargé de mission Infrastructures-Sécurité à la DSI d’EDF RTE

Une base de données en ligne pour faciliter les audits

Dans nos missions d’audit, il est difficile de dissocier deux aspects du système d’information : ce qui est propre aux métiers de l’entreprise ?” ici, les repères existent, puisque cette dernière est comparable à ses homologues ?” et ce qui ne l’est pas ?” les repères sont alors complètement éclatés. “, indique François Vidaux responsable de l’audit d’Apicil Agira. Par ailleurs, celui-ci considère que sa tâche est largement facilitée par un outil qu’il a mis en place avec la DSI : un dictionnaire permanent des systèmes d’information, qu’elle actualise régulièrement. On y trouve l’architecture détaillée du système d’information, le nombre d’informaticiens internes et externe (avec les types de contrats), la nature des tâches, la configuration technique, la périodicité des sauvegardes, la maintenance, etc. S’y ajoutent des tableaux de bord : compte rendu des incidents de production et suivi des activités transactionnel et batch, des applications, des projets techniques, et de la production. Ce dictionnaire permanent est visible sur l’intranet par la direction générale, la DSI, les auditeurs externes, les commissaires aux comptes, la direction de l’audit et la direction générale.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

La rédaction