PRESENTEE PAR :
M. DEBBAGH TAIEB – DOCTEUR EN INFORMATIQUE DES ORGANISATIONS, CONSULTANT AUPRES DE L’UNION EUROPEENNE, SECRETAIRE GENERAL DE SEPTI

Télécharger la présentation

Afin d'apporter aux investisseurs les meilleures garanties concernant leur système d'information, les directions générales ont désormais la responsabilité impérieuse de protéger leur informatique sur 2 niveaux : Patrimonial : l'informatique est un enjeu économique fondamental, aussi bien directement (budget informatique), qu'indirectement (risque d'arrêt de la production en cas d'incident). Ces différents aspects patrimoniaux sont désormais surveillés par les investisseurs. Légal : conscient de la nécessité d'obliger l'entreprise à protéger la valeur du capital investi et à garantir la sincérité des rapports annuels, de nombreuses législations imposent désormais aux entreprises de prendre des dispositions de protection du système d'information (Sarbanes-Oxley, LSF, NRE, IAS/IFRS, Bâle II...) Le système d'information est concerné par ces obligations, essentiellement sur 3 axes :
- la réalité du patrimoine que constitue l'investissement informatique lui-même.,
- la garantie que le patrimoine global de l'entreprise ne peut être anéanti par une incurie informatique,
- l'absolue certitude que les rapports d'activité et les comptes financiers sont réalisés à l'aide d'outils performants, fiables et sécurisés.
Aussi, si aucune méthodologie ou certification particulière n'est imposée par l'actionnaire ou le législateur, ceux-ci attendent cependant de la direction générale et de la direction informatique que des méthodes efficaces et reconnues soient implémentées. Le recours aux bonnes pratiques est donc synonyme d'assurance collective. Le système d'information peut, à priori, parfaitement se passer de la mise en place d'un référentiel de bonnes pratiques. Toutefois, il doit répondre à de multiples contraintes : Satisfaction des utilisateurs,
Optimisation de sa gestion financière,
Rassurer la direction générale sur sa fiabilité et sa pérennité,
Rassurer les investisseurs sur la sécurité des investissements,
Organisation compatible avec une évolutivité et une adaptabilité permanentes.
Le recours aux bonnes pratiques est à la fois un support méthodologique efficace et également une sorte de label que le décideur informatique pourra mettre en avant pour démontrer qu'il a pris les meilleures dispositions possibles.

PRESENTEE PAR :
M. EL QASMI Mohamed Jaouad – Docteur en systèmes d’informations, Professeur à l’ISCAE, Expert auprès de l’ISESCO

L’une de critiques majeurs formulées vis-à-vis des méthodes classiques d’audit (MEHARI, MARION, EBIOS, COBIT) est que l’aspect le plus important de l’audit de la fonction informatique est l’audit de la sécurité informatique.
Or le plus important à notre sens est le contrôle de l’activité informatique, qui passe par trouver des réponses à la question pertinente suivante : Alignement stratégique ou non du système d’information?
L’autre critique formulée vis à vis de ces méthodes est l’absence d’une méthode de découpage des systèmes d’information capable d’identifier avec précision les projets informatiques c'est-à-dire les domaines informatisés ou à informatiser.
Il est clair que l’audit rigoureux repose sur une vision globale de l’entreprise, basée sur une énumération précise de toutes les composantes du système d’information.
Le découpage du système d’information en domaines de gestion est la phase la plus créative dans la planification du système d’information -[Bal.92]
C’est un moyen essentiel pour assurer la mise en cohérence de l’organisation, c'est-à-dire :
Enumérer avec précision les besoins de l’entreprise à informatiser, c'est-à-dire, les projets informatiques;
Assurer la comptabilité entre une définition globale du système d’information et sa réalisation progressive;
Intégrer l’évolution de la technologie;
Améliorer l’efficacité entre utilisateurs et spécialistes des technologies de l’information.
Dans ce sens, nous proposons un découpage en métiers d’entreprise [El Qasmi.2002], capable d’énumérer avec précision les projets informatiques, et d’obtenir une cartographie de la réalité.
Enfin le contrôle des pratiques de la gestion interne et qui se matérialise par l’aspect qualité des produits et des services est quasiment absent dans ces méthodes.
Dans cette conférence, nous proposons une démarche d’audit informatique ,qui vient palier aux lacunes des démarches classiques. Nous mesurons le degré de l’alignement stratégique du système d’information , par la présence de tableau de bord général , dans l’objectif d’auditer la fonction informatique.
Nous vérifions le type de la structure de l’organisation, et le taux d’informatisation des processus clés, pour contrôler les pratiques internes de gestion. Et nous optons pour une méthode de découpage des systèmes d’information, pour l’énumération précise des projets informatiques.