Mise en page 1 › montreal... · 1. La capacité managériale et la structure de gou - vernance...

L’infogérance

2ème édition

Juin 2012

Copyright © 2012 par l’Institute of Internal Auditors, 247 Maitland Ave., Altamonte Springs, Floride, 32701-4201,États-Unis. Tous droits réservés. Imprimé aux États-Unis. Aucune partie de cette publication ne peut être reproduite,stockée dans un système de consultation ou transmise sous quelque forme que ce soit, ni par aucun moyen (électro-nique, mécanique, reprographie, enregistrement ou autre) sans autorisation écrite préalable de l’éditeur.

L’IIA publie ce document à titre informatif et pédagogique. Cette publication entend donner des informations, maisne se substitue en aucun cas à un conseil juridique ou comptable. L’IIA ne fournit pas ce type de service et ne garantit,par la publication de ce document, aucun résultat juridique ou comptable. En cas de problèmes juridiques ou comp-tables, il convient de recourir à l’assistance de professionnels.

Contenu

3

Résumé ............................................................................................................................................................. 4

1. Introduction ........................................................................................................................................... 5

2. Types d’infogérance .............................................................................................................................. 7

3. Cycle de vie de l’infogérance : éléments à prendre en compte pour les risques et les contrôles . 10

4. Prestations d’infogérance : éléments à prendre en compte pour les risques et les contrôles ....... 19

Annexe A : Programme d'audit du cycle de vie de l’infogérance .............................................................. 33

Annexe B : Programme d'audit des prestations d’infogérance ................................................................. 37

Auteurs, relecteurs et contributeurs ............................................................................................................. 43

Résumé

4

Résumé

Ce Guide pratique d'audit des technologies del'information est consacré à l’infogérance. Il a pourobjectif d'aider les responsables de l'audit interne(RAI) et leurs équipes à déterminer leur degréd'implication lorsque les SI sont en tout ou partieexternalisés. Ce guide fournit des informations surles types d'infogérance, le cycle de vie de l'infogé-rance et la façon dont les auditeurs internes peu-vent appréhender les risques liés aux prestationsd'infogérance.

L’infogérance consiste à externaliser des fonctionsinformatiques auparavant traitées en interne. Lesorganisations sont de plus en plus incitées, pourdes raisons économiques, à externaliser une partiedes processus informatiques afin de se concentrersur leur cœur de métier. Dans le secteur public, lafonction informatique est parfois externaliséeauprès d’un opérateur public, prestataire de ser-vices. Tandis que certaines organisations ontrecours à un seul prestataire, d'autres font appel àplusieurs infogérants (multi-sourcing) pour parve-nir à un équilibre optimal entre prestatairesinternes et externes pour la fourniture d'un éven-tail de services opérationnels et informatiques. Lemulti-sourcing peut accroître la complexité.

Voici les principales questions à se poserlorsqu’une mission d’audit des activités SI exter-nalisées est envisagée : • Dans quelle mesure les activités de contrôle

des SI externalisées sont-elles liées aux proces-sus métier ?

• Les auditeurs internes participent-ils commeil se doit au cycle de vie du processus d’exter-nalisation ?

• Les auditeurs internes disposent-ils desconnaissances et de l’expérience suffisantes enmatière de SI pour prendre en compte lesrisques et apporter une contribution adé-quate ?

• Si les activités de contrôle des SI sont transfé-rées à un prestataire de services informatiques,ce dernier appréhende-t-il les rôles et lesattentes des parties prenantes de l'auditinterne ? Les auditeurs internes sont-ils à

même de détecter les risques informatiques etde formuler des recommandations pour lesprocessus externalisés ?

• Quel rôle les équipes d'audit interne jouent-elles durant la renégociation, la réintégrationet le renouvellement des contrats d'externali-sation ?

GTAG – Introduction

5

1. Introduction

Les raisons d’externaliser les technologies de l’in-formation à des prestataires de services sont nom-breuses – expertise, optimisation des coûts, gestiondes capacités et des risques – mais la direction del'entité utilisatrice reste responsable des activitésde contrôle et des résultats opérationnels.

Les processus financiers et opérationnels cœur demétier dépendent souvent de technologies exter-nalisées. Lorsque les processus SI – tels que lasécurité, la gestion du changement et les opéra-tions qui étayent les principaux processus métier– sont externalisés, l'auditeur interne peut êtreamené à prendre en compte l'impact de l'externa-lisation sur les activités de contrôle. Quelle visibi-lité le prestataire de services donnera-t-il à l'entitéutilisatrice sur ses activités de contrôle permanent?Les technologies telles que le cloud computing faci-litent la réalisation de la stratégie de l'entité utili-satrice, mais peuvent limiter la capacité à rendrecompte de l'efficacité des activités de contrôle.

Selon la nature du processus externalisé, l'auditinterne peut évaluer le caractère adéquat et l'effi-cacité des contrôles des systèmes d’informationréalisés par un prestataire de services, conformé-ment à la Norme 2130.A1 : Contrôle. En consé-quence, il lui est demandé de donner uneassurance sur le niveau de contrôle interne chez leprestataire de services. Les contrôles généraux desSI font en effet partie intégrante de l'évaluationdes risques liés à la fiabilité de l’information, ainsiqu’à l’atteinte des objectifs opérationnels et deconformité.

La complexité de la fonction SI, les évolutionstechnologiques et le degré d'expertise exigécontraignent le RAI de l'entité utilisatrice à évaluerles risques relatifs aux activités, à l'efficacité opé-rationnelle des contrôles réalisés par le prestatairede services.

L'implication de l'auditeur interne varie selon : 1. La capacité managériale et la structure de gou-

vernance existantes pour gérer les risquesmétier et SI.

2. L'expérience du management dans lesdomaines de l'externalisation d'activités com-plexes et la gestion de projets importants.

3. L'implication d'autres fonctions telles que lemanagement des risques, la conformité oud'autres prestataires internes d’assurance.

4. La nature des activités de contrôle réalisées parle prestataire de services informatiques.

5. Les attentes des principales parties prenantesde l'audit interne.

Ce guide : • Expose les risques courants liés à l'externalisa-

tion des SI qui doivent être pris en compte parles RAI, ainsi que les mécanismes pour évaluerleur niveau de maîtrise.

Normes de Fonctionnement

2130 – Contrôle : L’audit interne doit aider l’organi-sation à maintenir un dispositif de contrôle appropriéen évaluant son efficacité et son efficience et enencourageant son amélioration continue.2130.A1 – L'audit interne doit évaluer la pertinenceet l'efficacité du dispositif de contrôle choisi pour faireface aux risques relatifs au gouvernement d'entre-prise, aux opérations et systèmes d'information del'organisation. Cette évaluation doit porter sur lesaspects suivants :

• l’atteinte des objectifs stratégiques de l’organisa-tion.

• la fiabilité et l'intégrité des informations finan-cières et opérationnelles.

• l'efficacité et l'efficience des opérations et desprogrammes.

• la protection des actifs.• le respect des lois, règlements, règles, procédures

et contrats.

• Passe en revue les types les plus courants d'in-fogérance et analyse les sept phases du cyclede vie d’un projet d’infogérance : 1. Adéquation stratégique et évaluation de

l'infogérance. 2. Processus de prise de décision et d’analyse

préalable (business case). 3. Processus d'appel d'offres et de contrac-

tualisation.

GTAG – Introduction

6

4. Mise en œuvre et transition. 5. Surveillance et remontée d’informations. 6. Renégociation. 7. Réversibilité.

• Fournit à l'entité utilisatrice des lignes direc-trices sur les questions concernant les risqueset les contrôles lorsqu'elle décide d'externaliserune fonction auprès d’un prestataire de ser-vices informatiques.

• Fournit au prestataire de services des lignesdirectrices sur les questions concernant lesrisques et les contrôles liés aux prestationsd’infogérance.

L'annexe contient un programme d'audit du cyclede vie et des prestations d’infogérance.

Ces lignes directrices sont propres aux risques etaux processus liés à l’infogérance. Lorsque lesmétiers sont interdépendants et qu’il existe desrelations « externes » et « étendues », les auditeursinternes trouveront également des indicationsutiles dans le Guide pratique intitulé « L’audit desrelations avec les partenaires externes ».

GTAG – Types d’infogérance

7

2. Types d’infogérance

L'infogérance a évolué des services classiquesd’externalisation, tels que le développement d’ap-plications et les services d’assistance informa-tiques, vers des services spécialisés tels ledéveloppement de produits, la R&D et le supportdu parc informatique. Les organisations ne cessentd’externaliser les services de SI au fur et à mesuredes avancées technologiques. L'externalisation est souvent confondue avec ladélocalisation. La différence entre les deux est lasuivante : Externalisation : Sous-traitance à un prestatairede services externe de la réalisation d’activités spé-cifiques à un métier ou de travaux nécessitant desconnaissances particulières. Délocalisation : Déplacement d'activités aupara-vant gérées à l'échelle nationale.

Ce guide couvre l’infogérance, quelle que soit lalocalisation des SI. Toutefois, les risques liés auxprestataires nationaux et ceux liés aux prestatairesà l’étranger devraient être pris en compte dans lecadre d’une analyse préalable formalisée par unbusiness case. Ce guide ne s'applique pas aux acti-vités de délocalisation interne, quoique de nom-breux aspects puissent être similaires. Parmi les services informatiques les plus externa-lisés citons : • Le développement et la maintenance d’appli-

cations. • La gestion de l’infrastructure. • Le help desk. • Les tests et validations indépendants. • La gestion des centres de traitement de don-

nées. • L’intégration de systèmes. • La R&D. • La gestion de la sécurité. • Le cloud computing.

Les prestataires de services et les entités utilisa-trices peuvent employer une terminologie diffé-rente pour les types de services externalisés. Cesentités peuvent également externaliser un ou plu-sieurs de ces services auprès de différents presta-taires.

Le développement et la maintenanced’applications

Lorsque le développement ainsi que des fonction-nalités ou modules spécifiques d'une applicationsont externalisés, l’entité utilisatrice devrait donnerla priorité à des sociétés de développement delogiciels possédant les compétences techniques etles connaissances et l'expérience leur permettantde répondre aux demandes clients. La program-mation devrait être réalisée une fois la méthodeSDLC (software development life cycle – cycle de viedu développement du logiciel) mise en place dansle cadre du processus qualité du prestataire de ser-vices. Dans certains accords, les phases de cetteméthode peuvent être spécifiées, surveillées etgérées directement par l'entité utilisatrice. Lesbesoins des utilisateurs ou le cahier des chargesdevraient être clairement définis dès les premièresétapes de la phase de développement. Le GTAG« Audit des projets SI » recommande d’impliquerles auditeurs internes : • Pour fournir des conseils au fil des projets stra-

tégiques.• Pour identifier précocement les principaux

risques ou les problématiques importantes.

Dans la plupart des cas, le processus SDLCs’achève lorsque les résultats de la recette utilisa-teur (user acceptance testing) effectuée par le clientsont probants. Cependant, la responsabilité duprestataire de service peut s’arrêter à l’achèvementdes tests unitaires. Les phases de test des sys-tèmes, de test d’intégration et de recette utilisateursont essentielles car elles garantissent que le sys-tème satisfait bien aux exigences du client. Lestests peuvent être effectués par l’équipe du clientou conjointement par le client et le prestataire deservices. Dans les deux cas, les problèmes ou ano-malies rencontrés lors de la phase de tests sontsoumis au prestataire de services pour correction.

La maintenance des applications existantes et lamontée en version des applications devraient res-pecter les recommandations des utilisateurs deprocessus métier et des parties prenantes. Cesrecommandations peuvent porter sur des change-ments mineurs, tels que la création de nouveaux


8

champs ou rapports, ou importants, comme lacréation d'un nouveau module.

La gestion de l’infrastructure

Il s’agit des services visant à gérer et à maintenirl’infrastructure des SI. Ils englobent la gestion desréseaux, le maintien des performances et de la dis-ponibilité de l’infrastructure, les plans de secoursinformatique, la résolution des erreurs, la mainte-nance des bases de données et la gestion des sau-vegardes et leur restauration. D’autres services àvaleur ajoutée apparus plus récemment peuventêtre classés dans cette catégorie : surveillance desactivités liées à l’infrastructure des SI et gestion descapacités, analyse des pannes, notification desdéfaillances critiques des systèmes et gestion desconséquences.

Le help desk

Tous les services de maintenance (gestion des inci-dents, support à l’exploitation et gestion de l’in-frastructure) peuvent être considérés comme desservices d’assistance (help desk). Le personnel duprestataire de services assiste le client dans la réso-lution de divers problèmes informatiques sur site(dans les locaux du client) ou à distance (depuisles locaux du prestataire de services). Les délaisd’exécution (réaction et résolution) sont alors défi-nis pour chaque niveau de service.

Pour se conformer aux niveaux de service, il estcrucial de respecter les délais d’exécution et leniveau de qualité du service fourni. En outre, ladirection détermine des attentes en termes de pro-cédures de surveillance, de mesure de perfor-mance réelle ainsi que de comparaison avec lesniveaux de services attendus. Enfin, les résultatsde ces mesures, les déficiences et les actions cor-rectives devraient faire partie des principaux cri-tères d’évaluation des fournisseurs.

Les tests et validations indépendants

De nombreuses organisations externalisent lesservices de tests et de validation des logiciels déve-loppés en interne ou par un tiers. Il est nécessaire

de réaliser des tests spécialisés du système déve-loppé pour en contrôler les performances, identi-fier et suivre les erreurs ou problèmes deprogrammation jusqu'à leur résolution.

La gestion des centres de traitementde données

À mesure que le nombre de branches, de fournis-seurs et de prestataires de services s’est multipliédans le secteur des SI, les attitudes à l’égard del’externalisation ont changé. Son objectif est passéde la simple réduction des coûts à la recherched’une meilleure efficience opérationnelle, de pro-duits spécialisés et d’une croissance dynamique.Les fournisseurs ont commencé à proposer desservices spécialisés sur lesquels pouvaient s’ap-puyer de nombreux clients, quel que soit leur sec-teur d’activité. C’est par exemple le cas des centresde traitement de données.

Aujourd’hui, ces centres fournissent généralementles services suivants : • Hébergement physique de mainframe, de parcs

de serveurs et autres actifs informatiques. • Planification, spécification, achat, installation,

configuration, maintenance, montées de ver-sion et gestion du matériel, des logiciels et dessystèmes d’exploitation.

• Surveillance continue des performances et del’état de fonctionnement des serveurs.

• Gestion de la capacité des serveurs / main-frames, notamment planification des capacités,répartition des charges, réglage et reconfigu-ration.

• Développement de serveurs, installation etmontées de version d’applications conformé-ment aux procédures de déploiement conve-nues entre le client et le prestataire de services.

• Sauvegardes et restaurations. • Redémarrage des systèmes serveurs après un

sinistre, conformément aux délais d’exécutionadoptés.

L’intégration de systèmes

Dans un environnement décentralisé, les activitésde diverses fonctions reposent sur des systèmes et


9

applications hétérogènes qui peuvent ne pas com-muniquer. Les environnements décentralisésnécessitent davantage d'interventions humainespour les mises à jour des applications, l'élimina-tion des conditions de déséquilibre, les sources dedonnées et la détection de résultats erronés. Les services d’intégration de systèmes impliquentle développement de scripts, de modules, d’outilsou de programmes destinés à intégrer de multiplesapplications et systèmes. Ainsi, les applicationsexistantes peuvent communiquer entre elles sansproblème, ce qui permet d’obtenir un systèmeunifié. L’intégration de systèmes présente descontraintes dans la mesure où elle dépend de l'in-teropérabilité et de l’exactitude des sources dedonnées.

La R&D

Pour s'adapter et innover afin de répondre auxbesoins du marché tout en continuant à construireet à actualiser leurs bases de données décision-nelles (business intelligence), de nombreuses orga-nisations externalisent la recherche et ledéveloppement de technologies, solutions, proces-sus et systèmes divers. La recherche ainsi externa-lisée porte également sur le recours à desprestataires extérieurs qui effectuent les études demarché visant à identifier les tendances et la réac-tivité de secteurs clés pour certains produits.

La gestion de la sécurité

De nombreuses organisations externalisent leursservices de sécurité. Ce domaine est égalementappelé « services externalisés de sécurité » (mana-ged security services – MSS) car le prestataire de ser-vices gère les exigences des tiers en matière desécurité d’une organisation. Ces services supervi-sent la sécurité de l’ensemble de l’infrastructureinformatique d’une organisation, de ses donnéeset de ses activités de gestion des utilisateurs. Cettefonction est également connue sous le nom deservices de sécurité des liaisons Internet, externa-lisation de la sécurité, services d’intelligence éco-nomique, services de conseil en sécurité, servicesde sécurité des réseaux, services de gestion de lasécurité, services d’évaluation de la sécurité,

conseils en sécurité et services de sécurité infor-matique.

En fonction des besoins du client, le contrat peutmentionner la conception et l’utilisation d’unearchitecture sécurisée de bout-en-bout (consulta-tion sur la conception, installation, administrationdes dispositifs de sécurité, gestion des utilisateurset support technique) ou inclure la gestion defonctions de sécurité spécifiques sur un systèmeparticulier (surveillance d’un pare-feu, transmis-sion de données, filtrage des contenus, protectionanti-virus, détection et réponse aux intrusions, etévaluations de la vulnérabilité du réseau).

Le cloud computing

Le cloud computing fournit des ressources informa-tiques évolutives et souvent virtuelles répondantponctuellement au besoin d'un métier. Le cloudcomputing permet de bénéficier de serveurs, decapacités de stockage et de puissance informatiquesous forme de services plutôt que de produits. Lesressources, les logiciels et autres informations sontfournis de façon dynamique sur un réseau, sou-vent Internet. Les types de prestations englobentle private cloud, le public cloud, l'hybrid cloud ou lecommunity cloud, ainsi qu'un ou plusieurs des ser-vices suivants : software-as-a-service (SaaS), infra-structure-as-a-service (IaaS) ou platform-as-a-service(PaaS).

Le cloud computing donne aux entreprises la flexi-bilité pour s'adapter à leurs marchés et lancer desinitiatives ou des programmes sans acheter oumaintenir des capacités informatiques onéreuses.Par ailleurs, le cloud computing permet de substituerun modèle d'utilisation à la demande à des inves-tissements importants.

GTAG – Cycle de vie de l’infogérance : éléments àprendre en compte pour les risques et les contrôles

10

3. Cycle de vie del’infogérance : élémentsà prendre en comptepour les risques et lescontrôles

Pour l'entité utilisatrice

Ce chapitre traite des risques et des étapes suiviespar la direction d’une entité qui externalise uneactivité ou une fonction. La décision d'externaliserpeut être liée à des aspects stratégiques ou tac-tiques de l’analyse préalable. Toutefois, avant des'engager dans l'externalisation, la directiondevrait établir clairement les responsabilités, lesobjectifs métier et l'alignement avec les plans stra-tégiques. La décision d'externaliser devrait êtreétayée par un « business plan » qui évalue le retoursur investissement et les risques sous-jacents desavantages projetés, notamment le risque lié à lamise en œuvre et à la transition. Trop souvent, lesrisques liés à l'externalisation ne sont pas pleine-ment pris en compte ni quantifiés de manièretransparente.

Cette section passe en revue le cycle de vie de l'ex-ternalisation, le processus qui étaye la décisiond'externaliser, et les principales étapes d’interven-tion du management. Ces étapes sont les sui-vantes : • Adéquation stratégique et évaluation de l'in-

fogérance. • Processus de prise de décision et analyse préa-

lable. • Processus d'appel d'offres et conclusion du

contrat. • Mise en œuvre et transition. • Surveillance et remontée d’informations.• Renégociation. • Réversibilité.

Reportez-vous au Tableau 1 (à la fin de ce chapi-tre), qui détaille les risques liés à chaque étape etl'implication potentielle des auditeurs internes enfonction des risques en jeu.

Adéquation stratégique et évaluationde l'infogérance

Comprendre le contexte et les facteurs détermi-nant l'adéquation stratégique du rôle joué par leprestataire de services : • Les stratégies organisationnelles sont-elles les

principaux facteurs de la décision d'externali-ser les SI ? Ou bien cette décision est-ellemotivée par une stratégie favorisant l'innova-tion et permettant aux métiers de trouver dessolutions innovantes exploitant les capacitésdes SI sur le marché (qui ne peuvent être déve-loppées en interne) ? La nature de la stratégied'externalisation - menée par l'organisation oupar les SI - peut mettre en jeu différentsaspects de gouvernance et affecter la détermi-nation et le suivi des responsabilités.

• Comprendre les principaux facteurs : - La réduction des coûts grâce à des écono-

mies d'échelle que le prestataire de servicespermet de réaliser.

- Une amélioration de l’efficacité des proces-sus en exploitant le savoir-faire et les solu-tions du prestataire de services.

- Les difficultés liées aux ressourceshumaines / compétences, dans la mesureoù le maintien et la gestion en interne del’expertise informatique peuvent être com-plexes.

• Quelles sont les options existantes sur lemarché ?

• Quel est le degré de maturité des capacités del'entité utilisatrice et quelle expérience a-t-elleen matière d’infogérance ?

• L'organisation est-elle prête à tester (proof ofconcept), à jouer le rôle de précurseur, ou est-ce trop risqué ?

• Le nombre de prestataires de services, ou letaux de « survie des fournisseurs », est-il adé-quat pour éviter de dépendre d'un seul pres-tataire ?

• Le processus a-t-il une importance stratégiqueinterdisant son externalisation ? Certaines acti-vités SI peuvent représenter un avantageconcurrentiel primordial pour certaines orga-nisations.

• La modélisation et la cartographie des proces-


11

sus métier ont-elles été développées pour éta-blir l’expression des besoins, définir le périmè-tre et réaliser un benchmarking ?

• Qui devrait commanditer l'analyse, être pro-priétaire de la relation et participer à l'élabo-ration du « business plan » ?

Éléments à prendre en compte pour l’auditinterne : • Évaluer le contexte stratégique et déterminer

la fiabilité et l'exhaustivité du benchmarking etdes autres informations de marché.

• Déterminer si des processus de gouvernancedes SI adéquats existent pour guider les élé-ments à prendre en compte pour l'externalisa-tion et l'alignement avec les objectifsd'externalisation. Confirmer si l'implicationdes parties prenantes et la propriété du pro-cessus sont claires et cohérentes.

• Prendre en compte le portefeuille clients duprestataire de services, son expérience et saréputation de fiabilité.

Processus de prise de décision –Analyse préalable

L’externalisation devrait être une option pertinenteà long terme et créatrice de valeur sur la base d'in-formations et de projections fiables (c'est-à-direque les risques devraient être compris). • Élaborer une analyse préalable solide couvrant

les principaux risques et avantages. L'externa-lisation peut être une solution pour gérer lesrisques métier, ou peut générer des risquesmétier nouveaux, mais les évaluationsdevraient également couvrir les risques liés àla mise en œuvre et les impacts probables encas d'échec.

• Veiller à ce que le commanditaire et les princi-pales parties prenantes soient impliqués et prisen compte dans la décision finale.

• Envisager les autres options ou possibilités. Lasolution optimale devrait être retenue, mais ilne s'agit pas simplement de décider s'il faut ounon externaliser : de nombreux facteurs sont àprendre en compte.

• Respecter les exigences fixées par la gouver-nance interne. Le niveau de risque final devrait

correspondre à l'appétence de l’entité pour lerisque. Prendre en compte les besoins enmatière de gestion du changement. Commentcréer un environnement interne qui permetted'externaliser (par exemple par un change-ment de politique, des procédures opération-nelles et un soutien des infrastructures) ?

Éléments à prendre en compte pour l’auditinterne : • Évaluer si les informations dans l'analyse

détaillée sont fiables et prendre en comptetous les risques métier et le risque lié à la miseen œuvre.

• Vérifier que les processus de gouvernance etd'approbation sont transparents, documentéset complets.

• Déterminer si les parties et les experts compé-tents prennent part au processus d'évaluation.

• Déterminer si les autres principales partiesprenantes sont tenues informées.

• Évaluer les plans de secours de la direction encas d'échec de l'externalisation à différentesétapes.

• Évaluer si les estimations d'échec et lesimpacts / coûts probables sont pris en comptedans le plan d'affaires ou dans la comparaisondes options offertes par les différents presta-taires.

• Évaluer la sensibilité des coûts / avantages auxhypothèses.

• Identifier les principales mesures de perfor-mance et sources de données.

Processus d'appel d'offres etconclusion du contratd’externalisation

Réaliser un appel d'offres, sélectionner les fournis-seurs et structurer une transaction conformémentà l’analyse préalable : • Développer un périmètre détaillé des travaux

de façon à ce que les prestataires puissent faireune offre en connaissance de cause et souli-gner les autres points pertinents.

• Évaluer les offres en fonction de critères perti-nents comme ceux qui sont généralement uti-lisés dans les « business plan », ou en fonction


12

d’éléments spécifiques à prendre en compte. • Détailler les nouveaux risques ou les écarts

significatifs comparativement au « businessplan » approuvé.

• Sélectionner un prestataire en fonction des cri-tères et des offres / propositions soumises.

• Constituer une équipe expérimentée afin deréaliser une revue préalable (due diligence) etveiller à ce que les indicateurs clés de perfor-mance – contrats de niveaux de service etcontrats opérationnels – soient couverts par lecontrat.

• Évaluer les pertes, pannes et défaillancespotentielles. Déterminer les seuils de toléranceet les solutions de recours si des écarts appa-raissent.

• Obtenir l'approbation du commanditaire etinformer les principales parties prenantes enmettant en évidence tout écart ou risque nou-veau. Prévoir des examens de conformité à lalégislation et les étapes contractuelles néces-saires pour finaliser un accord juridiquementcontraignant (y compris des stratégies et desplans de sortie en cas de résiliation ou de nonrenouvellement).

Éléments à prendre en compte pour l’auditinterne : • Évaluer le processus d'évaluation des appels

d'offres, le calendrier, les critères, l'exhaustivitéet la transparence de la validation.

• Examiner les besoins d'assurance de la direc-tion concernant les contrôles tels que les rap-ports d'audit sur les services (par exemple lanorme « Statement on Standards for AttestationEngagements (SSAE) No. 16: Reporting onControls at a Service Organization », publiée parThe American Institute of Certified PublicAccountants (AICPA), ou la norme « Interna-tional Standard on Assurance Engagements(ISAE) 3402 », publiée par l'InternationalAccounting and Assurance Standards Board(IAASB) de l'International Federation ofAccountants (IFAC)), ou les évaluations encours. Veiller à ce qu’une clause autorise l’or-ganisation à procéder à des audits.

• Évaluer l'expérience et les compétences del'équipe chargée du projet, ainsi que l'adéqua-

tion des ressources dont elle dispose pourrépondre aux besoins.

• Évaluer si les fonctions management desrisques, juridique, ressources humaines etfinance sont convenablement impliquées.

• Réaliser des due diligences ou évaluer la revuedes activités du prestataire réalisée par lemanagement.

• Prendre en compte les évaluations continuesou périodiques réalisées par d'autres presta-taires d'assurance afin de s’assurer de l'effica-cité des contrôles de capacité et deperformance. Examiner les contrats de niveauxde services et les contrats opérationnels afin deveiller à ce que les mesures de la performancesoient définies et fiables. Ceci devrait être ini-tialement réalisé par la direction. Toutefois,l'audit interne peut évaluer la fiabilité en seconcentrant sur les attentes concernant la per-formance des contrôles / risques et sur laconformité avec les principales normes duprestataire ou celles exigées par le client, ourendues obligatoires par la réglementation envigueur.

Mise en œuvre / transition

Élaborer un plan de transition, obtenir le finance-ment nécessaire et formaliser la gestion, l'assis-tance et les autres ressources du commanditairedu programme / projet : • Formaliser les plans et définir les attentes des

instances de gouvernance pour toute externa-lisation d'activité ou de processus important.Envisager d'intégrer au contrat des pointsd’étapes avec les instances de gouvernance, unbudget correspondant dans l’analyse préalableet prévoir / intégrer des audits de conformitédu contrat.

• Déterminer le calendrier, le financement, lesdates de prestation, les tests et la surveillancecontinue.

• Traiter les problématiques de ressourceshumaines et aux ajustements culturels commedes facteurs clés de succès avant, pendant etaprès les transitions.

• Obtenir une accréditation concernant les res-sources du prestataire de services. Comment


13

s’assurer, sur les plans opérationnel et contrac-tuel, que les ressources du prestataire sontappropriées ?

• Gérer les attentes concernant les écarts et lesprestations non réalisées, de part et d'autre,afin de limiter le coût de toute interruptionimprévue de l'exploitation.

• Standardiser les processus avant la transition.Ceci peut nécessiter des efforts et des investis-sements importants.

• Effectuer une analyse après la mise en œuvreet intégrer les problématiques pertinentes lorsdu suivi et de la remontée d’informations (oules problématiques à prendre en compte lorsde la renégociation du contrat). Obtenir l'as-surance que la transition a été effectuéeconformément aux clauses contractuelles et au« business plan ».

Éléments à prendre en compte pour l’auditinterne : • Effectuer une revue avant la mise en œuvre

pour s'assurer que le projet suit les procéduresstandard.

• Examiner les plans de secours si la transitionn'est pas convenablement effectuée.

• Déterminer si les risques et les actions sontidentifiés, traités et communiqués convenable-ment et rapidement aux parties prenantesdurant le processus de mise en œuvre.

• Vérifier que les décisions de « démarrer » / « nepas démarrer » sont justifiées et fondées surdes informations fiables.

• Évaluer si la direction a effectué les testsappropriés avant de décider de démarrer.

• Déterminer si les bonnes parties prenantessont impliquées et informées.

• Déterminer si des informations fiables pour laprise de décision sont mises à la disposition dela direction du projet et de la direction géné-rale.

Surveillance et remontéed’informations

Après la transition, surveiller l'exploitation afin des’assurer qu'elle fournit des prestations conformes

avec les exigences des métiers, des indicateurs clésde performance et des contrats de niveaux de ser-vice. Cette phase permet de veiller à l’optimisationde l'exploitation et de la surveillance des perfor-mances, et améliore le processus et la relationd'infogérance : • Établir et faire évoluer les indicateurs clés de

performance. Il est préférable qu'ils soientenvisagés et définis lors de la phase de rédac-tion du contrat et des accords sur le niveau deservice. Toutefois, il est impossible de tout anti-ciper. Idéalement, les indicateurs devraientmesurer la prestation du service requis et indi-quer sa conformité ou sa non-conformité glo-bale.

• Obtenir d’autres sources d'assurance perma-nente sur le contrôle et l'intégrité de l'exploi-tation (par exemple SSAE 16, ISAE 3402, desrapports sur l'assurance qualité ou la confor-mité de l'exploitation, ou des rapports d'audi-teurs indépendants ou internes). Envisagerd'intégrer des évaluations permanentes oupériodiques de la conformité au contrat.

• Surveiller la nature et la cause des problèmesliés à la performance et au contrat, et laréponse apportée par les prestataires pour yremédier. Veiller à ce que ces connaissancessoient partagées et conduisent à une amélio-ration de la prestation ou à des exigencesaccrues lors de la renégociation du contrat.Gérer les relations actuelles et futures sur labase de connaissances enrichies.

• Rechercher auprès du prestataire de servicesl’innovation permettant d'avoir une meilleurevisibilité quant aux risques et d'améliorer l'in-tégration.

Éléments à prendre en compte pour l’auditinterne : • Comprendre comment la performance du

prestataire et son respect des clauses contrac-tuelles seront régulièrement évalués et exami-nés par le management.

• Évaluer la fiabilité des indicateurs conçus etutilisés pour gérer les risques liés aux activités,aux évolutions et à la sécurité des SI.

• Évaluer comment les éléments préoccupantset les domaines d'amélioration seront commu-


14

niqués et exploités pour améliorer l'exploita-tion / les contrats actuels et futurs.

• Veiller à ce que l'externalisation soit intégrée àl'univers d'audit et à ce que ses risques soientrégulièrement évalués.

• Déterminer comment l'audit interne serainformé de l’évolution des relations.

• Comparer la performance aux indicateurs clésde performance définis durant la phase de pla-nification.

Renégociation

À l'approche de la fin du contrat, comprendre lesvéritables avantages et problèmes, les évolutionsdu marché et des benchmarks, et les coûts liés à uneréintégration du processus ou à son externalisationauprès d'un autre prestataire dans le cadre de larenégociation du contrat. Veiller à l'efficacité de laremontée des problèmes et des incidents. • Comparer le fonctionnement opérationnel à

l’analyse préalable initiale et valider les ensei-gnements retenus.

• Comparer avec d'autres prestataires de ser-vices.

• Explorer les alternatives sur le marché et ana-lyser les avantages actuels au regard d'uneréintégration du processus.

• Réaliser une nouvelle analyse / évaluation desrisques, coûts et avantages.

• Rechercher des conditions plus efficaces. Pourconserver un effet de levier, l'organisationdevrait disposer d'alternatives et comprendreses options (voir également la section suivante« Réversibilité »).

Éléments à prendre en compte pour l’auditinterne : • Comprendre les stratégies et les informations

nécessaires à une optimisation des négocia-tions futures.

• Comprendre la réversibilité, les modalités desurveillance et les résultats des indicateurs deperformance.

• Veiller à ce que les experts et les propriétairesdu processus soient à l'initiative d'améliora-tions lors de la renégociation du contrat.

• Veiller à ce que les échéances critiques soient

intégrées dans le processus annuel d'évalua-tion des risques afin de permettre une impli-cation efficace de l’audit interne.

• Veiller à ce que des informations historiques etdes mesures de la performance adéquates /précises soient disponibles.

Réversibilité

Comprendre les coûts et les interruptions pouvantdécouler du transfert des activités à un autre pres-tataire de services ou de leur réintégration. • Estimer la probabilité d'un échec du dispositif

d'externalisation – ce qui arrive souvent.• Déterminer le coût total et l'impact, si les acti-

vités doivent être réintégrées et calculer un« coût probable » (probabilité x coût) de cetévénement soit pendant la durée du contrat,soit à son terme. Intégrer ce facteur à l'analysedu retour sur investissement dans le « businessplan », au contrat initial et lors de la renégocia-tion du contrat.

• Comprendre les autres options et les scénariosde réversibilité partielle.

• Anticiper les éléments du contrat qui évite-raient à l'organisation d'être enfermée dansune relation où le prestataire pourrait augmen-ter ses tarifs sans recours. Dans la mesure dupossible, intégrer au contrat les conditions demarché et facteurs économiques tels que l’in-flation susceptible de faire évoluer la tarifica-tion.

Éléments à prendre en compte pour l’auditinterne : • Évaluer l'adéquation des plans de secours en

cas d'échec de l’accord d’externalisation.• Évaluer si le management a estimé les coûts et

la probabilité d'un échec. • Déterminer si l'éventualité d’un échec a été

prise en compte dans l’analyse préalable ainsique les exigences de retour sur investissement.

• Demander si le management a envisagé defaire appel à d'autres prestataires afin d'éviterune dépendance inutile.

• Déterminer comment le management a évaluéla viabilité du prestataire de services. L'auditinterne pourrait avoir à confirmer la fiabilité de


15

cette évaluation. • Vérifier que les facteurs conduisant à changer,

ou à envisager de changer, de prestataire sontcompris et prédéfinis.

• Prendre en compte les autres risques pouvantmotiver une réintégration du processus -notamment les risques macroéconomiques,

politiques et géographiques - et déterminers'ils ont été évalués.

• Déterminer si le prestataire dispose d'un plande continuité d'activité solide et viable.

• Déterminer si le contrat contient une clause derésiliation.

Tableau 1 : Cycle de vie de l’infogérance : risques et implication des auditeurs à chaque étapeCe tableau détaille les risques à prendre en compte durant le processus de prise de décision d’externali-sation. Les rôles et responsabilités au sein de l’entité utilisatrice sont soulignés afin de limiter les risqueset de mettre en place les contrôles nécessaires. Les risques liés aux activités importantes et aux domainesqui requièrent potentiellement une attention particulière sont mis en évidence pour l'auditeur interne.Ils peuvent varier de manière importante selon la maturité de l'organisation, du management (expérienceen matière d'externalisation) et selon l'implication des services de management des risques, de gestionde projets et des autres fonctions d'assurance. Le RAI devrait comprendre les attentes du Conseil1 et desprincipales parties prenantes. Cependant, il ne devrait pas prendre part au processus d'approbation afinde rester indépendant des décisions stratégiques / opérationnelles de la direction.

1 Selon le glossaire mis à jour en 2013 inclus dans les Normes, le Conseil se définit comme « Le niveau le plus élevé des organes de gouvernance, respon-sable du pilotage, et/ou de la surveillance des activités et de la gestion de l'organisation. Habituellement, le Conseil (par exemple, un conseil d’adminis-tration, un conseil de surveillance ou un organe délibérant) comprend des administrateurs indépendants. Si une telle instance n’existe pas, le terme «Conseil », utilisé dans les Normes, peut désigner le dirigeant de l’organisation. Le terme « Conseil » peut renvoyer au comité d’audit auquel l’organe degouvernance a délégué certaines fonctions. »

2 * L’astérisque indique le responsable en premier lieu et le propriétaire de l’étape.3 L’implication de l’auditeur interne variera en fonction des risques, des attentes du Conseil et des parties prenantes, des capacités de gestion, et de l’im-plication des autres fonctions d’assurance et des compétences disponibles.

Étapes Objectifs Activitésprincipales

Rôles mana-gériaux* 2 Risques Implication des

auditeurs internes3

A : Adéqua-tion straté-gique etévaluationde l'infogé-rance

Identifier lesoptions d'ex-ternalisationet établir lescontours dupérimètre.

• Cartographierles processusdu modèled'activité.

• Hiérarchiser lesoptions enfonction desavantages etdes risques quiy sont liés.

• Élaborer uneétude demarché et réali-ser un bench-marking.

Propriétairedu processus,*experts enmatièred’achats(technique,risque, plande continuitéd'activité etstratégie), res-ponsables desunités opéra-tionnelles etcommandi-taire exécutif.

• Pas d'aligne-ment avec lesstratégies del'organisation.

• Mauvaise déci-sion.

• Perte d'actifs ouretour surinvestissementmoindre.

Comprendre le contexte stra-tégique et déterminer si lesinformations sous-jacentessont fiables et complètes.


16


Rôles mana-gériaux* Risques Implication des

auditeurs internes

B : Proces-sus de prisede décision– businesscase

Élaborer unbusiness casefiable.

• Effectuer uneanalyse détail-lée des risquesmétier et desavantages.

• Intégrer lesrisques liés à lamise en œuvreet l'impact d'unéchec.

• Choisir la meil-leure option etdétailler lescoûts / avan-tages.

• Identifier larelation entrestratégie etgouvernance.

Propriétairedu processus,*commandi-taire exécutif,*finance, juri-dique, SI, res-sourceshumaines etautres experts.

• Le meilleurprestataire n'estpas choisi.

• Perte d'actifs,retour surinvestissementmoindre oupréjudice pourla réputation encas de baissede la qualitédes services.

• répercussionnégative occa-sionnée par larèglementa-tion.

• Évaluer si les informationscontenues dans l'analysedétaillée sont fiables etprendre en compte tous lesrisques métier et le risque liéà la mise en œuvre.

• Déterminer si la gouver-nance et le processus d'ap-probation sont transparentset fiables.

• Déterminer si les parties etles experts compétents sontimpliqués. Évaluer si les prin-cipales parties prenantessont tenues informées.

C : Proces-sus d'appeld'offres etconclusiondu contrat

Sélectionnerun presta-taire et éla-borer uncontrat favo-risant lesuccès.

• Détailler les exi-gences, le péri-mètre et lesappels d'offre.

• Sélectionner unprestataire eteffectuer unerevue préalable(due diligence).

• Négocier lecontrat.

• Élaborer unestratégie desortie.

Propriétairedu processus,*achats,*équipe char-gée du projet,commandi-taire exécutif,juridique,finance.

• L'accord n'estpas optimisé oul'organisationn'est pas proté-gée contre desécarts par rap-port aux exi-gences dequalité, de dis-ponibilité etd'intégrité / deconfidentialité.

• Perte d'actifs,retour surinvestissementmoindre et pré-judice pour laréputation.

• Impact sur lesexigencesréglementaires.

• Déterminer s'il existe un pro-cessus d'approbation etd’achats approprié.

• Revoir les besoins d'assu-rance liés au contrat et auxcontrôles (par exemple desrapports d’audit indépen-dants conformément à SSAE16 ou ISAE 3402) et vérifier siune clause autorise l'organi-sation à procéder à desaudits.

• Déterminer si l'équipe char-gée du projet possède lescompétences appropriées.Demander si les fonctionsmanagement des risques,juridique, ressourceshumaines et finance sontconvenablement impli-quées.

• Réaliser des revues préala-bles (due diligence) ou éva-luer la revue du prestataireréalisée par le management.


17



auditeurs internes

D : Mise enœuvre ettransition

Exécuter latransitioncommeprévu.Lancer lesnouvellesactivités.

• Déployer leplan de transi-tion.

• Transférer /gérer les res-sources.

• Transformer leprocessus.

Équipe char-gée duprojet,* pro-priétaire duprocessus,*commandi-taire exécutif,finance, res-sourceshumaines, etmanagementdes risques.

• Perte d'actifs etretour surinvestissementmoindre enraison des inef-ficiences et desrisques nongérés.

• Interruption deservice etimpact sur lesclients.

• La qualité opé-rationnelle estmoins bonneque prévu.

• Effectuer une revue avant lamise en œuvre pour déter-miner si le projet suit les pro-cédures standard.

• Effectuer une revue desplans de secours si la transi-tion n'est pas convenable-ment effectuée.

• Déterminer si les risques etles actions sont identifiés,réduits et communiquésconvenablement aux partiesprenantes dans le cadre dela gouvernance et de la miseen œuvre du projet.

E : Contrôleet remon-tée d’infor-mations

Superviser etcontrôlerl'activitéexternalisée.

• Gérer les rela-tions.

• Évaluer lesrésultats et lesperformances.

• Concevoir unmodèle deremontée d’in-formationscontinue etd'améliorationdes processus.

Propriétairedu processus,*équipe rete-nue, com-manditaire duprojet,finance, res-sourceshumaines,managementdes risques etautres experts.

• Les relations etla prestationsont associéesà un préjudice,à une perted'actifs et à unretour surinvestissementmoindre pourle client.

• Le processusn'est pas main-tenu ni opti-misé commeprévu.

• Déterminer comment la per-formance du prestataire etson respect des clausescontractuelles seront régu-lièrement évalués et exami-nés par la direction.

• Demander quelles mesureset autres indicateurs clés deperformance sont utilisés.

• Demander comment les élé-ments préoccupants et lesdomaines d'améliorationseront communiqués etexploités pour améliorer l'ex-ploitation / les contratsactuels et futurs.

F : Renégo-ciation

Veiller à ceque la nou-velle relationévolue ets’améliore.

• Recenser tousles problèmesopérationnels,liés au coût, à laqualité et à larelation.

• Réaliser unbenchmarkinget examiner lesétudes demarchérécentes.

• Fixer de nou-veaux objectifspour améliorerle contrat.

Propriétairedu processus,*approvision-nement,*commandi-taire exécutif,juridique,finance etautres experts.

• L'optimisationest atteinte,mais avec unretour surinvestissementet une qualitéopérationnellefuture moin-dres.

• Il est impossiblede trouver demeilleures alter-natives ou lesaugmentationsde prix ne sontpas justifiées.

• Identifier les stratégies et lesinformations utilisées etnécessaires à une optimisa-tion des négociationsfutures.

• Comprendre les enjeux de laréversibilité, les indicateursde suivi ou de la perfor-mance. Déterminer si lesexperts et les propriétairesdu processus sont à l'initia-tive d'améliorations lors dela renégociation du contrat.


18



auditeurs internes

G : Réversi-bilité

Veiller à ceque l'accordpuisse êtreannulé etpris encomptedans le« businesscase » / lastratégie.

• Prendre unedécision deréintégration etidentifier sonimpact.

• Déterminercommentchanger defournisseur.

• Identifier l'im-pact sur le« business case ».

Propriétairedu processus,*approvision-nement,*commandi-taire exécutif,managementdes risques,plan de conti-nuité des acti-vités et autresexperts.

• Paralysie face àune situationdéfavorable ouà des opportu-nités.

• Absence demarge dans lesnégociationsfutures.

• Perte d'actifs etinterruption deservices en casde réintégra-tion ou detransfert duprocessus à unautre presta-taire.

• Coûts non anti-cipés en casd'échec de l'ex-ternalisation.

• Déterminer les plans desecours si le dispositif nefonctionne pas, ainsi que lescoûts estimés et la probabi-lité.

• Demander si les coûts et laprobabilité ont été pris encompte dans le plan d'af-faires et les exigences deretour sur investissement.

• Demander s’il est possiblede faire appel à d'autresprestataires efficacement. Serenseigner sur la viabilité duprestataire.

• Déterminer si les facteursconduisant à changer, ou àenvisager de changer, deprestataire sont compris etprédéfinis.

• Déterminer si d'autresrisques, qui pourraient moti-ver de réintégrer les activi-tés, ont été pris en compte,et s’ils ont été évalués,notamment les risquesmacroéconomiques et poli-tiques / géographiques.

• Demander si le prestatairedispose d'un plan solide decontinuité d'activités.

• Déterminer la viabilité desefforts entrepris par le pres-tataire dans le cadre de sonplan de continuité d'activi-tés.

• Évaluer les conditions derésiliation du contrat.

GTAG – Prestations d’infogérance : élémentsà prendre en compte pour les risques et les contrôles

19

4. Prestationsd’infogérance : élémentsà prendre en comptepour les risques et lescontrôles

Pour le prestataire de services

Conformément au contrat de niveaux de servicesnégocié avec l'entité utilisatrice, le prestataire deservices doit réaliser des activités de contrôle desSI correspondant aux risques liés aux SI. Pour éla-borer une approche d'audit convenable, le RAIdevrait commencer par comprendre l'environne-ment et l'architecture de l'infogérance. Le RAIdevrait ensuite tenir compte du risque lié à la pres-tation de services et des contrôles conçus pour pal-lier ces risques, et déterminer une méthoded'assurance pour l'infogérance.

Comprendre l'environnement del'infogérance

Généralement, les services sont organisés et four-nis par capacité, ou par groupe de capacités, quicorrespondent à différentes fonctions.Une capacité de services désigne un ensemble decompétences – une combinaison de compétences,de processus, d'outils, de technologies et d'expé-

riences – nécessaires pour réaliser des projets etdes services (par exemple des services de main-frame d'informatique moyenne gamme et des ser-vices de stockage et de sauvegarde). Les fonctionssont des processus horizontaux, et les fonctionsopérationnelles qui couvrent des capacités de ser-vices fournissent des services d'intégration de pro-cessus, des outils et des résultats à travers lesdifférentes capacités de services (par exemple lesservices liés aux centres de traitement de donnéeset à la gestion de programme / projet).

Compte tenu des concepts fondamentaux précités,il est important de comprendre les fonctions duréférentiel suivant. En établissant un lien entre lescapacités de services et les principes fondamen-taux de sécurité, de gestion des changements etd'opérations, l'auditeur interne peut mieux cernerles risques et les assertions liés au processusmétier. Dans le « Guide to the Assessment of IT GeneralControls for Business and IT Risk » (GAIT–R), l’IIAidentifie les aspects critiques des SI qui sont essen-tiels à la gestion et à l'atténuation des risquesmétier.

Comme indiqué dans le chapitre 2, les fonctionsde prestation horizontales englobent générale-ment :• Le développement et la gestion d’applications.• La gestion de l’infrastructure.

Types d’infogérance(D

éveloppement d'applications, gestion d'infrastructure,

gestion de centres de traitement de données, etc.)

Sécurité, gestion des changements, opérations(« Guide to assessing the scope of IT general controls » - GAIT)

Services liés aux centresde traitement de données

Gestion de programme / projet

... Autres fonctions


Mai

nfra

me

Stoc

kage

et s

auve

gard

e

... A

utre

s se

rvic

es

... A

utre

s se

rvic

es

Fonctions horizontales

Capacités de services


20

• Le help desk.• Les services indépendants de tests et de vali-

dation.• La gestion des centres de traitement de don-

nées.• L’intégration de systèmes.• La R&D.• La gestion de la sécurité.• Le cloud computing (par exemple, SaaS, IaaS,

PaaS).

Les organisations bénéficient de nombreusesoptions lorsqu'il est envisagé d'externaliser descapacités et des fonctions :• Combiner des services d'externalisation avec

des fonctions SI internes (parfois dénommés« in-sourcing » ou « cosourcing »).

• Externaliser intégralement une capacité ou unefonction tout en en maintenant d'autres eninterne.

• Tout externaliser auprès de prestataires quigèreront les ressources technologiques sur site(y compris les machines, les réseaux et les res-sources humaines).

• Tout externaliser auprès de prestataires qui« loueront » le matériel, les logiciels et les com-munications à l'organisation au travers d'unmodèle de Saas, IaaS ou PaaS.

Quelles que soient les technologies externaliséesou le modèle d'externalisation choisi par une orga-nisation, il existe des domaines de processus com-muns, des domaines de risques clés, des contrôleset des objectifs d'audit qui devraient être comprispar l'entité utilisatrice et le prestataire de services.Le GAIT de l'IIA présente une approche pouvantêtre adoptée pour organiser des fonctions hori-zontales par catégorie de processus – sécurité, ges-tion des changements et opérations – afind'évaluer l'importance des risques et de veiller àce que des contrôles clés soient testés dans les dif-férentes capacités de services.

Principaux domaines d’architecturede l'infogérance

Cette section identifie et définit les couches oudomaines des SI constituant l'architecture de l'in-

fogérance. Ce sont les domaines techniques des SIet les structures de surveillance générales quiconstituent les bases sur lesquelles les fonctions etles capacités de services des SI sont bâties etgérées.

1. Organisation : Dans un accord d'infogérance,l'organisation et le profil du prestataire de ser-vices sont importants pour garantir la réussitede sa prestation. L'organisation devrait êtrebien positionnée pour fidéliser les bons colla-borateurs avec les bonnes compétences dansles bons rôles. Il convient de prendre encompte l'indice de satisfaction des clients duprestataire. Les clients du prestataire le perçoi-vent-ils comme étant efficace ? À quandremonte la dernière analyse des écarts de com-pétences ? Ces questions sont importantespour que l'entité utilisatrice évalue si elle a faitappel au bon prestataire de services, et pourque ce dernier puisse évaluer s'il est le mieuxpositionné pour répondre aux attentes desclients.

2. Système d'exploitation : Un système d'ex-ploitation est un logiciel qui fonctionne sur desordinateurs, gère des ressources matérielles etfournit des services courants d'exécution dedifférents logiciels d’application. Le systèmed'exploitation agit comme un intermédiaireentre les logiciels d’application et le matérielinformatique. En outre, le système d'exploita-tion fournit : • Les outils systèmes (programmes) utilisés

pour surveiller la performance informa-tique, résoudre les problèmes ou maintenirdes parties du système.

• Un ensemble de bibliothèques ou de fonc-tions pouvant être utilisées par les logicielspour exécuter des tâches spécifiques liéesà l'interface avec les composants du sys-tème informatique.

Les systèmes d'exploitation font souvent l'ob-jet d'attaques, notamment en l'absence demontées en version ou de correctifs critiques.Des problèmes de performance et de disponi-bilité peuvent donc apparaître, un accès nonautorisé au système peut être possible et des


21

informations sensibles ou exclusives peuventêtre divulguées.

3. Réseau : Outre Internet et l'intranet, et lanécessité de se connecter, le réseau s'ajusteconstamment à de nouveaux modèles métieret à de nouvelles offres de services telles quele traitement de transactions B2C et B2B, lestransactions B2G (marketing industriel), l'e-apprentissage, les services clients collaboratifset les téléconférences multimédias en tempsréel. Avec le développement du télétravail, deplus en plus de personnes sont connectées enpermanence depuis leur domicile, durant leurstrajets ou depuis des espaces virtuels. La pres-sion en faveur d'une offre de communicationsfiable, sécurisée et d'un bon rapport coût / effi-cacité atteint des niveaux sans précédent etcontinuera de s'intensifier. Internet, qui n'estpas couvert par les pare-feux des entreprises,devient progressivement un système d'exploi-tation virtuel et la plateforme favorite d'unnombre croissant d'organisations.

4. Bases de données : Les données sont au cœurde tous les modèles économiques. Les « don-nées opérationnelles », en particulierlorsqu’elles sont sous différents formats,devraient être converties en un format utilisépar un grand nombre de collaborateurs dansl'organisation. L’un des principaux enjeux dela direction des SI consiste à préserver unimportant volume de données personnelles,sensibles et confidentielles, de biens de pro-priété intellectuelle et de secrets commerciauxdes attaques malveillantes et des pertes acci-dentelles. Sur le plan stratégique, la tendanceévolue vers une plus grande valorisation desdonnées non structurées et une moindreimportance accordée aux systèmes de fichiershiérarchiques classiques qui n’ont pas étéconçus pour supporter les volumes actuels.

5. Application : Les architectures d'applicationssont des applications intégrées et interopéra-bles utilisées pour l'administration, la produc-tion, les bureaux virtuels, les ordinateurs debureau, les ordinateurs portables, les PDA et

autres applications client léger qui étayent lastratégie actuelle et à venir. Les applicationsdevraient être standardisées pour soutenir lesactivités, les processus, les salariés, les clients,les fournisseurs et les partenaires, quels quesoient leur localisation physique ou leur degréde mobilité. La plupart des grandes etmoyennes organisations disposent d'applica-tions importantes telles que les systèmes ERP(Enterprise Resource Planning) et de gestion dela relation client. Il existe également des appli-cations exclusives et des applications Internetqui interagissent avec les clients, les fournis-seurs et les partenaires. Enfin, il existe desapplications qui aident les organisations àgérer leurs applications et les infrastructuresinformatiques et de communication (parexemple des applications de gestion desréseaux et des systèmes).

6. Indicateurs et remontée d’informations : Lecontrat de niveaux de services est l'un des pre-miers indicateurs utilisés pour mesurer la per-formance. Il peut fournir à la direction deséléments probants à l'appui de l'évaluation dela relation client / fournisseur. Un contrat opé-rationnel soutient le contrat de niveaux de ser-vices et indique des objectifs précis pourexécuter le contrat de services. Les organisa-tions entretenant une relation d’infogérancedevraient mettre en place un processus de sur-veillance permanent afin de veiller à ce que laperformance du prestataire de services soitconforme au contrat d'externalisation. Desindicateurs clés de performance devraient êtreétablis pour aider le client et le prestataire deservices à réaliser leurs objectifs.

7. Gestion de programme / projet : Pour attein-dre son but, un projet donné aura un début etune fin bien définis et sera entrepris conformé-ment à des contraintes de périmètre, de qualitéet de coût définies. L'importance et le périmè-tre des projets peut varier et englober laconstruction d'une nouvelle infrastructure, ledéveloppement d'un nouveau produit, la miseen œuvre de nouveaux processus métier ou latransformation de métiers. Lors de l'évaluation


22

de ces projets à différentes étapes, il est néces-saire de comprendre les principaux risques etd'élaborer un ensemble de critères clés.

Principaux domaines de risques liés àl'infogérance

Cette section passe en revue les risques courantsliés à l'architecture de l’infogérance dans le cadred'une prestation d'infogérance. Dans une relationd'externalisation, il est fondamental d'accepter quebien que la prestation de services (responsabilitéopérationnelle) soit transférée au prestataire deservices, l'entité utilisatrice reste responsable de lagestion et du respect des politiques, des procé-dures et des exigences réglementaires. Ceci repré-sente le risque inhérent à l'infogérance. Pour gérerce risque, l'entité utilisatrice devrait disposer d'unprogramme efficace de surveillance de l'externali-sation ainsi que d'un cadre de gestion permettantd'identifier, d'évaluer, de suivre et de contrôler lesdomaines de risques des processus associés à l'ex-ternalisation. Les risques associés à une prestationd'infogérance dépendent du processus externalisé,de la relation avec le prestataire de services et destechnologies qu'il utilise.

L’incapacité du prestataire de services à mettre enœuvre des contrôles appropriés, à donner uneassurance et à réaliser un suivi concernant le ser-vice externalisé peut déboucher sur : • Une qualité de service médiocre et un nombre

inacceptable de pannes et d'erreurs. • Des interruptions de service et le manquement

aux obligations de l'organisation envers sesclients.

• Des problèmes de confidentialité et de protec-

tion de la vie privée. • Une faible réactivité, une disponibilité du sys-

tème réduite, une intégrité des informationsdouteuse et une atteinte à la sécurité et laconfidentialité.

• Des problèmes d’évolutivité, de capacité et deperformance de l'architecture système et destechnologies du prestataire de services.

• Une incapacité à maintenir des contrôles opé-rationnels et SI appropriés et à respecter lesexigences réglementaires et du secteur tellesque la Directive européenne sur la protectiondes données (EU DPD), les lois américainesGraham-Leach-Bliley Act (GLBA), HealthInsurance Portability and Accountability Act(HIPAA), Sarbanes-Oxley (SOX) Act de 2002,les normes internationales d’informationfinancière (IFRS), le rapport King III Report onGovernance et le Payment Card Industry (PCI)ou encore l’article 37 du CRBF 97-02.

• Des plans de secours informatique et de conti-nuité d’activité insuffisants.

• Des dépenses pour l'entité utilisatrice et desefforts pour trouver un autre prestataire de ser-vices ou pour réintégrer le service externalisé.

Les risques liés à l'infogérance peuvent être iden-tifiés et hiérarchisés du point de vue de l'entité uti-lisatrice et du prestataire de services, et regroupésen trois catégories : • Risques pour le client et le prestataire.• Risques pour le client. • Risques pour le prestataire.

Les domaines d'intérêt communs devraient êtredavantage privilégiés dans l'évaluation des risqueslors d'un audit de l'infogérance.

Catégorie de risque Risques liés à l'infogérance

Pour le client et le prestataire Conflit entre les parties du fait d'une violation des clauses contractuelles.

Pour le client Non-respect du contrat de la part du prestataire.

Pour le client Augmentation imprévue des coûts d'externalisation.

Pour le client Perte de confidentialité des données.

Pour le prestataire Ressources humaines inadéquates.

Tableau 2 : Matrice d'impact des risques liés à l'infogérance (exemple)


23

Risques de gouvernance liés à laprestation (méthodologie, modèle,contrat)

Lors de l'évaluation des risques liés à l'environne-ment d'externalisation, l'entité utilisatrice devraitprendre en compte le modèle de gouvernance del'infogérance utilisé par le prestataire de services.

Dans l'ancien modèle (encore utilisé), une seulecapacité est gérée via un silo, généralement parsite, dans lequel différentes équipes utilisent desprocessus et des outils différents. En revanche, lenouveau modèle se concentre sur moins de res-ponsables par capacité, il est globalement intégréet automatisé, et gère des processus homogènesdans les capacités de services.

Quel que soit le modèle, un contrat clairementdéfini et complet permettra à l'entité utilisatrice etau prestataire de services de gérer les risques. Lesrisques non techniques menaçant le succès de

l'externalisation sont mieux gérés grâce à unmodèle de gouvernance bien défini et à de solidesclauses contractuelles à l'appui d'une relationfondée sur l'excellence des services fournis.

Types d’infogérance(D

éveloppement d'applications, gestion d'infrastructure,

gestion de centres de traitement de données, etc.)

Sécurité, gestion des changements, opérations(« Guide to assessing the scope of IT general controls » - GAIT)

Services liés aux centresde traitement de données




Mai

nfra

me

Stoc

kage

et s

auve

gard

e

... A

utre

s se

rvic

es

... A

utre

s se

rvic

es

Fonctions horizontales

Capacités de services

Région 1

MainframeStockage et sauve-

gardeServices de centres

de traitement dedonnées

Gestion de pro-gramme / projetAutres services

Région 2





Région 3





Sous-région 1





Sous-région 2





Sous-région 3





Site optimal 1





Site optimal 2





Site optimal 3





APPROCHE PAR SITE APPROCHE AVEC EFFET DE LEVIER


24

Risques liés aux contrôles générauxdes SI (GAIT : sécurité, gestion deschangements, opérations)

Dans un accord d'infogérance, les contrôles géné-raux des SI sont essentiels à une prestation de ser-vices de qualité et à la protection des données d'unclient. Le GAIT présente une approche fondée surles risques pour évaluer le périmètre des contrôlesgénéraux des SI et s'assurer que les contrôles cléssont testés à tous les niveaux de l'infrastructure(par exemple les applications, bases de données,systèmes d'exploitation et infrastructures réseau).

Sécurité

La sécurité, qui est à la base du modèle d'infogé-rance, est fondamentale pour protéger les actifs del'entité utilisatrice (par exemple le matériel, leslogiciels et les données). Le contrat devrait identi-fier de manière explicite les politiques et les

normes de sécurité qui régissent l'accord d'info-gérance – celles de l'entité utilisatrice ou du pres-tataire de services – et devrait couvrir l'accès auxdonnées, l'accès aux applications, l'accès auréseau, les logiciels, la protection des données per-sonnelles et le plan de continuité d'activités. Enoutre, les organisations devraient comprendre : • La technologie des pare-feux. • La technologie des anti-virus. • La technologie de l'autorité de certification. • La technologie biométrique. • La protection contre la perte de données. • Les exigences réglementaires (Directive euro-

péenne, HIPAA, IFRS, King III, etc.).• Les normes de sécurité PCI. • La technologie de chiffrement. • La technologie de protection des données per-

sonnelles. • Les méthodes d'authentification. • Les structures des répertoires. • La gestion des vulnérabilités et des menaces.

Risque Définition et mesures d’atténuation

Le prestataire de services ne res-pecte pas les clauses du contratde niveaux de services.

Englobe une performance insuffisante ou une qualité médiocre des services. L'en-tité utilisatrice peut surveiller la performance des prestataires, signaler la perfor-mance insuffisante et faire appliquer les clauses contractuelles de pénalité sinécessaire. Les prestataires peuvent également surveiller les contrats de niveauxde services et modifier les processus de la prestation afin de répondre aux exi-gences contractuelles. S'il est difficile de remplir les clauses contractuelles mêmeaprès une modification des processus, les prestataires peuvent informer l'entité uti-lisatrice et, si nécessaire, renégocier les contrats de niveaux de services.

Le niveau de compétences /connaissances des ressources duprestataire de services affectéesau projet est insuffisant.

Des ressources compétentes sont essentielles à la réussite des projets SI. Les enti-tés utilisatrices peuvent atténuer ce risque en définissant clairement des critèresd'éligibilité pour des rôles donnés. Les prestataires peuvent atténuer ce risque enayant une expertise suffisante, en veillant à fidéliser les ressources compétentes eten maintenant des viviers de ressources pour les clients importants.

La communication entre l'entitéutilisatrice et les prestataires estinsuffisante ; les moyens decommunication / de remontéed’informations sont peu clairs.

Les entités utilisatrices et les prestataires peuvent atténuer ce risque en définissantconjointement une structure de gestion / un moyen de communication pour lesprojets externalisés, et en incluant un plan de communication dans les plans deprojet. Les entités utilisatrices et les prestataires peuvent définir ensemble destemps de réponse pour les éclaircissements. Enfin, les deux parties devraient ali-gner leurs objectifs, processus et calendriers, et faire régulièrement le point sur lasituation comparativement au plan.

Tableau 3 : Risques de gouvernance pour le client et pour le prestataire(exemple)


25

Protection des données

Il est difficile de protéger des données confiden-tielles, personnelles et sensibles lorsqu'elles sontobtenues et traitées par des prestataires de servicesqui ne sont pas forcément soumis à la même légis-lation et à la même réglementation que leursclients. La protection des données représente sou-vent l’aspect le plus critique de l'externalisation.Elle est particulièrement cruciale dans les secteurspublics tels que la justice et la défense, où le secretest primordial, et dans les services financiers et lasanté, qui sont souvent la cible d'attaques malveil-lantes.

Des complications surviennent lorsque l'entité uti-lisatrice et le prestataire de services sont soumis àune législation et une réglementation différentes,notamment lorsqu'ils sont situés dans des régionsou des pays différents, ou dans des juridictions dif-férentes au sein d'un même pays. Les organisa-tions présentes dans des secteurs très réglementésdevraient prendre des mesures importantes pours'assurer que leurs prestataires de services respec-tent, pour leur compte, la législation et la régle-mentation.

Les processus de sécurité et de protection desdonnées assurent que l'accès aux applications etaux données est autorisé et que les actifs sontconvenablement protégés. Les contrôles de sécu-rité gèrent les risques liés aux actifs non valides,aux transactions fictives ou à la divulgation nonautorisée d'informations sensibles. Ils sont direc-tement liés aux déclarations de la direction surl'existence et l'occurrence de tels actifs et transac-tions.

Contrôle des changements

Dans l'accord d'infogérance, des changements seproduiront dans le cadre de la transition et de latransformation initiales réalisées au début ducontrat de services, ou dans le cadre d'autres pro-jets de transformation réalisés au fil du contrat(voir la section « Gestion de projet » de ce chapitrepour de plus amples informations sur les risques

associés et les contrôles à inclure dans un audit del'infogérance).

Les processus de contrôle des changements sontfondamentaux pour assurer l'exactitude du logicield'application. Pour parer au risque que les don-nées financières soient mal enregistrées ou enre-gistrées à une période inexacte, la logique dusystème d'application devrait être documentée,testée et autorisée. Les contrôles des changementssont donc directement liés aux déclarations ddumanagement sur l'évaluation ou la mesure.

Exploitation

La gestion de l'exploitation désigne le processusd'exploitation ou de fonctionnement des applica-tions et des systèmes. Ce processus englobe géné-ralement des contrôles qui assurent que lesapplications fonctionnent comme prévu, que leserreurs de traitement et les exceptions sont réso-lues en temps utile, que les données critiques desapplications ou les fichiers systèmes sont sauve-gardés, et que la sécurité physique et les autresaspects de l'exploitation d'un centre de traitementde données sont assurés.

Le risque que le système soit indisponible ouinsuffisamment opérationnel est géré par lescontrôles opérationnels. Les programmes peuventfonctionner de façon désordonnée et créer desdéséquilibres du fait de problèmes d'exploitation.Les processus d'exploitation assurent que les don-nées sont complètes et transmises en temps utileaux décideurs. Les activités de contrôle protègentcontre les interruptions imprévues ou l'introduc-tion d'erreurs lors de la restauration. La gestion del'exploitation est directement liée aux déclarationsde la direction sur l'exhaustivité – le fait que destransactions réelles ne soient pas omises, involon-tairement redondantes ou incomplètes.

Gestion des incidents et des problèmes

La gestion des incidents porte sur la résolutionrapide de problèmes urgents tels que les pannesde service ou autres incidents. La gestion des pro-


26

blèmes porte sur la prévention des problèmes enles identifiant et en mettant en place des solutionspour éliminer leurs causes. La priorité du proces-sus de gestion des incidents devrait être de rétablirle service aussi rapidement que possible. Les inci-dents concernant les clients devraient être hiérar-chisés, coordonnés et résolus via un serviced'assistance.

Qualité des données

Les données sont de qualité si tous les liens d'unbout à l'autre de la chaîne de traitement de latransaction sont solides. L'exactitude et l'exhaus-tivité des transactions sont essentielles pour lesmétiers. Bien que l'entité utilisatrice soit proprié-taire des données, le prestataire de services est res-ponsable de la mise à disposition ou de la gestionde l'environnement informatique où de nombreuxprocessus de contrôle peuvent affecter la qualitéde ces données. La qualité des données est expo-sée à un risque à chaque étape de la chaîne de trai-tement, que ce soit au moment où les donnéessont saisies dans un système source, au cours deleur transfert d'un système à un autre, ou au coursdes processus d'extraction, de transformation et detéléchargement.

Exploitation de centres de traitement dedonnées

Qu'il s'agisse de services spécialisés, de centres detraitement de données ou d'infogérance, dans unenvironnement exploité ou centralisé, l'exploita-tion de centres de traitement de données com-porte probablement le facteur de risque inhérentle plus élevé de l'accord d'infogérance. Ce risquecouvre le portefeuille de services de centres de trai-tement de données et les domaines d'exploitationstandard, notamment : • Des services mainframes gérés. • Des services de sauvegarde et de stockage. • Des services d'hébergement Internet. • Des services de gestion de serveurs. • Des services de cloud. • Des services de modernisation de centres de

traitement de données.

• La sécurité physique. • Des contrôles environnementaux des installa-

tions. • La surveillance de la conformité en matière de

sécurité. • La gestion d'actifs.

Le GAIT permet d’identifier et d’évaluer le risqueinhérent aux SI qui devrait être relié au risquemétier. Les objectifs de traitement des donnéesconcernent les activités de contrôle des traite-ments mentionnées dans le référentiel COSO,« La pratique du contrôle interne ». En alignantdélibérément les activités de contrôle prévues parle GAIT avec les objectifs de traitement des don-nées, le RAI peut élaborer une approche intégréeet optimisée pour évaluer le risque lié aux SI.

Risques liés à la gestion de projet

Les projets qui ont échoué ou sont remis en causepeuvent avoir un impact significatif sur une orga-nisation selon les besoins du métier. Les impactspeuvent être les suivants : • Une interruption du service client. • Une perte d’avantage concurrentiel. • Des amendes liées aux infractions réglemen-

taires. • Une perte de chiffre d'affaires. • Un impact négatif sur la réputation. • Des retards dans le déploiement d'initiatives

stratégiques, de produits ou de processusimportants.

• Une baisse du retour sur investissementattendu.

• La fermeture ou l'endommagement d'une ins-tallation.

In fine, la direction est chargée de veiller à la réa-lisation du projet et des avantages, bien que despénalités puissent être infligées au prestataire deservices au titre des échecs dans le projet. Unerevue des risques inhérents au projet peut contri-buer à sa réussite. Il est préférable de revoir unprojet le plus tôt possible. Les revues réalisées aucours des premières étapes du projet peuvent êtreles plus utiles car elles permettent d'identifier les


27

problèmes pouvant être résolus à moindre coûtcomparativement aux problèmes décelés ultérieu-rement ou après la mise en œuvre.

Principales catégories de contrôle del'infogérance

Les principaux domaines de la prestation de ser-vices d'infogérance sont divers et varient d'uneorganisation à une autre. Ces domaines couvrentles capacités de services (par exemple un environ-nement de serveurs logiciels utilitaires demoyenne gamme / cloud computing) et les fonc-tions de prestation de services (par exemple l'ex-ploitation de centres de traitement de données etle support de l'infogérance). En organisant lescontrôles en catégories gérables, la directionpourra déterminer une méthode d'assurance etobtenir une vision exhaustive du risque.

Comme indiqué, le GAIT n'identifie pas lescontrôles clés spécifiques. Il identifie les processusgénéraux de contrôle des SI et les objectifs associésde contrôle des SI pour lesquels des contrôles clésdevraient être identifiés et exploités durant le pro-cessus d'évaluation des risques. D'autres outils,tels que les Control Objectives for Information andRelated Technology (CobiT), ou l'Information Techno-logy Infrastructure Library (ITIL), peuvent être uti-lisés pour identifier puis évaluer des contrôles clésspécifiques des SI.

L'ITIL, développé par l’OGC (UK Office of Govern-ment Commerce), fait partie des cadres de référenceles plus utilisés pour la gestion de services SI. Iloffre un ensemble cohérent des meilleures pra-tiques mises en œuvre par les secteurs privé etpublic. De nombreuses organisations ont déjà prisce cadre de référence comme modèle pour la pres-tation de services. Un audit de la prestation de ser-vices basé sur l'approche de l'ITIL peut fournir àla direction des informations précieuses fondéessur une norme mondiale bien conçue permettantd’améliorer la gestion et la prestation de servicesinformatiques.

Composantes de la gestion de servicesinformatiques

Il est primordial, pour l'entité utilisatrice et le pres-tataire de services, de comprendre l'architectureopérationnelle de la prestation informatique. Laqualité de la prestation et la relation entre l'entitéutilisatrice et le prestataire de services devraientêtre au centre de toute revue.

Gestion des configurations et deschangements

La gestion des configurations comprend des com-posantes de l'infrastructure et des services dénom-més « éléments de configuration » (ConfigurationItems). Ils sont conservés dans une base de don-nées appelée « base de données de gestion desconfigurations » (Configuration Management Data-Base). Il ne s'agit pas d'un simple registre des actifs.Cette base de données contient des informationssur la maintenance, les évolutions et les problèmesrencontrés avec les éléments de configuration,ainsi que les relations entre les éléments de confi-guration et les données sous-jacentes (par exem-ple les personnes et les organisations). Une basede données sur la gestion des configurations peutêtre une base de données physique unique ou peutenglober plusieurs bases de données physiques.

Une bonne base de données de gestion des confi-gurations devrait pouvoir : • Fournir des éléments de configuration exacts

(y compris les dépendances et les liens) auxautres processus ITIL et opérationnels réunisdans une base de données centrale et logique.

• Prendre en compte tous les éléments de confi-guration et leurs attributs contrôlés.

• Vérifier que les données contribuent au respectdes obligations informatiques, financières, juri-diques et de sécurité d'une organisation.

• Valider les éléments de configuration stockésdans la base de données de gestion des confi-gurations par comparaison avec les situationsautorisées (via la gestion des changements) etdécouvertes (avec des outils de recensement /


28

découverte) en effectuant des vérifications, descontrôles de conformité et des audits.

La gestion des changements consiste à s'assurerque tous les changements apportés aux élémentsde configuration sont effectués de façon planifiéeet autorisée. Il s'agit notamment de s'assurer quechaque changement est motivé par une raisonopérationnelle ou technologique, d'identifier leséléments de configuration spécifiques et les ser-vices SI affectés par le changement, d'obtenir lesautorisations des services concernés et des expertstechniques, de planifier le changement, de le testeret d'avoir un plan de secours au cas où il aboutiraità un résultat imprévu pour l'élément de configu-ration. Un changement désigne une modificationde l'environnement géré des SI, notammentl'ajout, la suppression ou le remplacement d'uncomposant (élément de configuration) ou d'unservice dans cet environnement.

Gestion des capacités et continuité desservices

Les demandes concernant les SI augmententparallèlement au développement des activités, etla capacité des réseaux, de stockage, informatiqueet des fonctions de support devraient rester enphase avec l'évolution de la demande. Un audit del'infogérance devrait valider l’existence d’un pro-cessus assurant que les métiers participent enamont à la surveillance des capacités et à la plani-fication des capacités futures, et que les plans sontrégulièrement revus. Une bonne gestion des capa-cités permet une qualité de services constante.

La gestion de la continuité veille à ce que les opé-rations critiques des métiers puissent se poursuivreen cas d'interruption de service ou d'une catas-trophe. Les éléments détaillés de la gestion de lacontinuité sont formalisés dans les plans de conti-nuité d'activités et les plans de secours informa-tique. Ces documents devraient comprendre desobjectifs et délais de reprise clairs et réalistes. Ilsdevraient être conçus et élaborés pour soutenir lareprise des fonctions critiques, et être revus, mis àjour et testés régulièrement.

Gestion du contrat de niveaux de service

Le contrat de niveaux de service est la pierre angu-laire de la prestation. Il devrait être clairementmesurable. Toutes les données chiffrées relativesau contrat de niveaux de services devraient êtreproduites par le système et infalsifiables. L'auditde l'infogérance devrait vérifier que les rapportssur les niveaux de services sont soumis aux res-ponsables appropriés et que des revues perti-nentes sont réalisées. La gestion du contrat deniveaux de service couvre également la documen-tation, le traitement, la surveillance et la gestiondes plaintes, les marques de satisfaction et toutautre commentaire des clients.

En outre, l'audit de l'infogérance devrait évaluerles pratiques suivantes. Tous les objectifs de niveaude service devraient être : • Clairs et non équivoques. • Acceptés et approuvés par le client et le pres-

tataire de services.• Mesurables.

Tous les objectifs prévus par les contrats de ser-vices opérationnels ou les contrats sous-jacentsdevraient être alignés avec ceux du contrat deniveaux de services.

Gestion des incidents et des problèmes

Les processus de gestion des incidents devraientenregistrer en termes quantifiables clairs lesimpacts de tous les incidents, notamment lenombre d'utilisateurs affectés, le nombre d'heuresde travail, la complexité, l'impact sur le chiffre d'af-faires du métier et sur le respect de la réglementa-tion. Un audit devrait revoir tous les rapportsd'incidents et vérifier qu'ils ont été résolus demanière satisfaisante, que l'analyse de la cause aété effectuée et que des mesures préventives ontété prises pour éviter que le problème ne se repro-duise.

Les facteurs clés de succès du processus de gestiondes incidents sont : • La centralisation des données sur la gestion

des incidents.


29

• L'accès aux informations de la base de don-nées de gestion des configurations.

• Les indicateurs de performance. • Des responsabilités clairement définies.• La gestion de la répartition des cas entre les

différents responsables. • Un classement des incidents selon des catégo-

ries standard. • L'accès aux contrats de niveaux de service.

Le processus de gestion des incidents devrait com-porter les procédures suivantes : • Identification et classement des problèmes. • Investigation et diagnostic des problèmes. • Évaluation des erreurs. • Résolution des problèmes / erreurs. • Communications sur la situation / mise à jour.


La revue d'un projet entrant dans le cadre d'unaudit de l'infogérance devrait être axée sur cinqdomaines clés (voir le GTAG « Audit des projetsSI ») : • Alignement du métier et des SI. • Gestion de projet. • Existence d'une solution SI. • Gestion des changements. • Post-mise en œuvre.

La revue du projet devrait intégrer des contrôlesconcernant les facteurs de succès suivants :

1. Implication de l'utilisateur – Les utilisateursdes métiers et des SI sont impliqués dans lesprocessus de prise de décision et de collectedes informations.

2. Soutien de la direction générale – Les diri-geants favorisent l'alignement avec la stratégie,apportent un soutien financier et aident àrésoudre les conflits.

3. Clarté des objectifs métier – Les parties pre-nantes comprennent la valeur stratégique duprojet et la façon dont il est aligné avec la stra-tégie.

4. Optimisation agile – Des processus de déve-loppement et d'optimisation itératifs sont uti-lisés afin d'éviter des caractéristiques inutileset de veiller à l'intégration des caractéristiquesessentielles.

5. Expertise en gestion de projet – Il est faitappel à des chefs de projet qui comprennentles compétences et pratiques de base. Parexemple, un chef de projet professionnel cer-tifié du Project Management Institute.

6. Gestion financière – La capacité à gérer lesressources financières, à évaluer les risques età démontrer la valeur du projet.

7. Ressources compétentes – Recrutement,gestion et contrôle de personnels compétentsen gestion de projet afin de lutter contre larotation du personnel et les autres difficultésliées au personnel.

8. Méthodologie formelle – L'ensemble destechniques prédéfinies basées sur des proces-sus qui constituent une feuille de route sur lesévénements qui doivent se produire et leurchronologie.

9. Outils et infrastructure – Bâtir et gérer l'in-frastructure du projet à l'aide d'outils qui faci-litent la gestion des tâches, des ressources, desexigences, des changements, des risques, desfournisseurs et de la qualité.


30

Méthodes d'assurance pourl'infogérance

Cette section expose les différentes méthodes quele management devrait utiliser pour obtenir uneassurance sur les risques liés à l'infogérance. Lagestion de ces risques devrait être réalisée par leprestataire de services et l'entité utilisatrice. Ellesera nettement plus fructueuse si la relation entreles deux parties est solide. Les prestataires de ser-vices qui ne valoriseraient pas l’obtention et lafourniture d’une assurance au travers de l'audit etde la surveillance pourraient souffrir d'un net dés-avantage compétitif comparativement à ceux quicomprennent la nécessité d'une assurance pour leclient.

Rôle de l'auditeur interne dans la prestation deservices

En l’absence de mécanismes efficaces de gestiondes prestations de services, l’organisation risquede ne pas réaliser ses objectifs. Les auditeursinternes ont un point de vue unique et sont bienplacés pour évaluer les politiques, procédures etopérations mises en place pour surveiller la réali-sation des objectifs de l'organisation, et identifieret gérer les risques qui les menacent.

L'auditeur interne peut : • Donner une assurance en examinant les sys-

tèmes d'identification et de gestion efficace desrisques menaçant la prestation de services misen place par le management.

• Donner une assurance en réalisant fréquem-ment des revues approfondies de la gestion dela prestation de services.

• Donner une assurance en examinant les sys-tèmes de remontée d’informations sur la per-formance et les systèmes utilisés pour suivre etgérer la réalisation des objectifs.

• Obtenir une assurance en s'appuyant sur d'au-tres prestataires d'assurance.

• Jouer un rôle de conseiller plus proactifconcernant les différents aspects de l'ensembledu processus de prestation de services – parexemple en étant impliqué précocement dansla conception des systèmes afin de veiller à ceque les besoins de l'entité utilisatrice soientidentifiés, ou en suivant les actions de la direc-tion.

L'audit de l'infogérance

Le processus d'externalisation expose les clients etles prestataires de services à une série de risquesqui peuvent gravement affecter leurs activités.Gérer ces risques en améliorant la qualité et l'effi-

Étape du projet Éléments à prendre en compte pour le contrôle

Conception et développement

• Business case clair et solide.• Évaluations réalistes et exhaustives des coûts et des avantages.• Implication précoce de toutes les parties prenantes. • Prise en compte rigoureuse des contrôles de sécurité et d'intégrité.

Gestion de projet

• Leadership proactif et remontée d’informations en temps réel. • Implication de toutes les parties prenantes.• Identification et remontée des problèmes.• Délais réalistes et objectifs clairs.• Pilotage et tests rigoureux avant le démarrage.

Mise en œuvre• Gestion des changements et formation.• Suivi régulier et fiable des avantages.• Évaluations constantes de la satisfaction du client.

Tableau 4 : Éléments à prendre en compte pour le contrôle des projets par étape(exemple)


31

cience du contrôle interne fait de l’audit de l’info-gérance une composante incontournable pourtoutes les organisations impliquées dans ce pro-cessus. L'audit interne peut non seulement inter-venir sur les éléments du processus d’infogéranceau sein de l’organisation, mais également sur leséléments externes de ce processus. En outre, l'au-dit de l'infogérance peut être étendu de l'entitéutilisatrice au prestataire de services grâce à unecollaboration réciproque. D'autres approchesd'audit, telles que les tests de cheminement et lasurveillance continue, peuvent renforcer la colla-boration entre le prestataire de services et le client,ainsi que le niveau d'assurance obtenu grâce àl'audit.

ISAE 3402 / SSAE 16

ISAE 3402 est devenue une norme largementreconnue. Elle indique que les objectifs et les acti-vités de contrôle du prestataire de services ont étéexaminés par un cabinet d'audit et d'expertisecomptable indépendant. Des rapports externes surles contrôles internes des prestataires de servicesdécrivent les processus de contrôle des servicesréalisés par un prestataire. Ces rapports donnentaux utilisateurs des informations utiles pour éva-luer les risques liés l’externalisation d’un service.Si un prestataire de services fait réaliser une revueselon la norme ISAE 3402, il bénéficie d'une meil-leure crédibilité, essentielle pour respecter les exi-gences réglementaires et comptables des clients.Les audits de prestataires de services sont néces-saires pour que l'entité puisse affirmer qu'elle amis en place des procédures d'audit et de contrôleappropriées pour gérer son activité conformémentà la Section 404(b) de la loi Sarbanes-Oxley.

Les Normes

Normes internationales : En décembre 2009,l'IAASB a adopté la norme ISAE 3402 comme pro-cédure « d'attestation » pour l'évaluation de laconformité des contrôles des SI et processus d'unprestataire de services. Par son attestation, le pro-fessionnel de l'audit se prononce sur des sujetsautres que l'image fidèle que donnent les étatsfinanciers. Une attestation peut être moins rigou-

reuse qu'un audit. Les rapports d'audit sur les ser-vices pourraient perdurer à la demande des clients.

Normes américaines : En avril 2010, l'AuditingStandards Board de l'AICPA a publié la normeSSAE 16. Comme ISAE 3402, il s'agit d'une attes-tation.

Rapports de l'AICPA sur les contrôles d'unprestataire de services : En promulguant SSAE16, l'AICPA a instauré trois rapports sur lescontrôles des prestataires de services (« rapportsSOC ») afin d'élargir le périmètre des probléma-tiques examinées par les experts-comptables quiauditent des prestataires de services. Ceci permetde renforcer la confiance des organisations enversles processus de prestation de services. Les rap-ports SOC distinguent trois catégories d'audit deprestataires de services, ce qui doit permettre à cesderniers de répondre à des besoins spécifiques etde se réorienter sur des risques particuliers : • Rapport SOC 1 – Rapport sur les contrôles

d'un prestataire de services utiles pour lecontrôle interne sur l'information financièredes entités utilisatrices.

• Rapport SOC 2 – Rapport sur les contrôlesd'un prestataire de services utiles pour la sécu-rité, la disponibilité, l'intégrité des traitements,la confidentialité ou la protection des donnéespersonnelles.

• Rapport SOC 3 – Rapport public de fiabilitéd’un prestataire de services.

Recours par l’auditeur à la fonction d'auditinterne d'un prestataire de services : Les nou-velles normes d'attestation permettront à l'audi-teur d'un prestataire de services de s'appuyer nonseulement sur la description des processus faitepar le management, mais également sur les audi-teurs internes du prestataire de services.

Problème lié à une dépendance excessive

Auparavant, les audits SAS 70 de type II servaientsouvent de norme aux sociétés cotées pour satis-faire aux exigences de la Section 404(b) de la loiSarbanes-Oxley sur les informations concernant« l’audit et les contrôles ». Cette dernière couvre


32

les contrats d'externalisation. Toutefois, les nou-veaux rapports « d'attestation » réduiront laconfiance des utilisateurs car l'auditeur d'un pres-tataire de services n'exercera pas un jugementaussi important que dans le cadre des rapportsSAS 70 de type II. Autrement dit, l'entité utilisa-trice exercera son propre jugement sur le caractèreacceptable des rapports d'attestation, et pourrademander un rapport d'attestation spécial sur les« objectifs de contrôle » définis par l'utilisateur. Lesentités utilisatrices devront désormais s'appuyerdavantage sur les prestataires de services pour réa-liser l'analyse des risques, et les utilisateursdevront détecter les écarts dans cette analyse.

Aux termes des nouvelles normes d'assurance, ilappartient au prestataire de services de définir lesrisques auxquels il est confronté et comment ilprévoit de les surveiller et de les atténuer afin des’assurer de la réalisation des objectifs de contrôle.

Surveillance des indicateurs clés de risque

Il convient de surveiller les risques émergents etd'y répondre rapidement. Un indicateur clé derisque est un indicateur utilisé par le managementpour mesurer le risque inhérent à une activité. Siun indicateur clé de performance mesure la qualitéd'une activité, un indicateur clé de risque reflète lapossibilité d'un impact négatif futur. Les indica-teurs clés de risque agissent comme des signauxd'alerte précoces en révélant une modification duprofil de risque d'une organisation. En tant quetels, les indicateurs clés de risques sont essentielsà un cadre de risque et de contrôle complet, et àune bonne pratique de gestion des risques. Cesont des indicateurs qui peuvent montrer que l'or-ganisation est exposée, ou est potentiellement for-tement exposée à un risque dépassant son seuil detolérance. La surveillance des indicateurs clés derisque peut aider une activité à réduire ses perteset à éviter une exposition en gérant précocementune situation de risque avant la survenue d'unévénement. L'entité utilisatrice et le prestataire deservices devraient élaborer des indicateurs clés derisque adaptés à leurs besoins dans le cadre duprocessus de management des risques.

La réalisation d'évaluations et d’une surveillancecontinues des indicateurs clés de risque fourniraune assurance, mais révèlera surtout les problèmesprécocement. Cela permettra au management deprendre des mesures et de contrer le risque.

GTAG – Annexe A : Programme d'auditdu cycle de vie de l’infogérance

33

Annexe A : Programmed'audit du cycle de vie del’infogérance

Ce programme d'audit de base sert à évaluer lesrisques et les processus d'une entité utilisatricelorsqu'elle décide d'externaliser. L'implication del'auditeur interne dans le cycle de vie de l'externa-lisation peut varier sensiblement selon l'implica-tion des autres fonctions d'assurance ou expertsexternes, de l'expérience du management en

matière d'externalisation et des projets, ou dutemps affecté à la participation des auditeurs. Ceprogramme présente deux exemples de participa-tion : un audit complet de toutes les étapes ou desdomaines critiques sur lesquels l'audit pourrait seconcentrer dans des délais limités, ou pour les-quels une opinion indépendante pourrait renfor-cer l'assurance du management. De nombreusesvariations sont envisageables en fonction desattentes des parties prenantes de l’audit et de leurappétence ou de leur tolérance pour le risque.

CYCLE DE VIE DE L’INFOGÉRANCE

Étape d'audit Auditcomplet

Domainescritiques

Adéquation stratégique et évaluation de l'infogérance

Objectif d'audit : Identifier les options d'externalisation et déterminer le périmètre.

Risques : Non alignés avec les stratégies de l'organisation ; mauvaise décision ; perted'actifs ; retour sur investissement moindre.

• Comprendre le contexte stratégique et déterminer si les informations sous-jacentessont fiables et complètes (selon le cas).

X

- Existe-t-il une cartographie des processus du modèle d'activité ? X

- Les options sont-elles hiérarchisées en fonction des avantages et des risques ? X

- Une étude de marché et un benchmarking ont-ils été réalisés ? X

Résumer les résultats et documenter les conclusions. X

Processus de prise de décision – business case

Objectif d'audit : Évaluer si l'organisation a élaboré un business case fiable.

Risques : Le meilleur prestataire n'est pas choisi ; perte d'actifs, retour sur investisse-ment moindre ou préjudice pour la réputation en cas de baisse de la qualité des ser-vices ; impact réglementaire potentiel.

• Évaluer si les informations contenues dans l'analyse détaillée sont fiables et pren-nent en compte tous les risques métier et le risque lié à la mise en œuvre.

X X

- L'analyse détaillée des risques et des avantages métier a-t-elle intégré les risquesliés à la réalisation et à l'impact d'un échec ?

- La meilleure option est-elle sélectionnée en fonction du rapport coûts / avantages ?

• Déterminer si la gouvernance et le processus d'approbation sont transparents etfiables.

X X

- Existe-t-il une relation entre la stratégie de l'organisation et la gouvernance ?

• Évaluer si les parties et les experts compétents ont été impliqués dans le processus. X

• Évaluer si les principales parties prenantes sont tenues informées. X X

• Résumer les résultats et documenter les conclusions. X


34



Domainescritiques

Processus d'appel d'offres et conclusion du contrat

Objectif d'audit : Déterminer si la sélection d'un prestataire se conclue par un contratfavorisant le succès.

Risques : L’accord n'est pas optimisé ou l'organisation n'est pas protégée contre desécarts par rapport aux exigences de qualité, de disponibilité et d'intégrité / de confi-dentialité ; perte d'actifs, retour sur investissement moindre et préjudice pour la répu-tation ; impact potentiel sur le respect de la réglementation.

• Déterminer si un processus d'approbation et d’achat approprié a été suivi. X

• Revoir les besoins d'assurance concernant le contrat et les contrôles du prestataire(par exemple besoin d'une assurance du type SAS 70 ou des nouvelles normesSSAE 16 ou ISAE 3402) et évaluer si une clause autorisant l'organisation à procéder àdes audits est rédigée et intégrée au contrat.

X X

- Revoir les exigences, le périmètre et les appels d'offre.

• Déterminer si l'équipe chargée du projet est constituée et si elle dispose des res-sources nécessaires à la mise en œuvre.

X

- Revoir le niveau et la qualification des membres de l'équipe.

• Évaluer si les fonctions management des risques, juridique, ressources humaines etfinance ont été convenablement impliquées.

X X

• Revoir les contrats et documents liés à la négociation, et la documentation relativeau plan de sortie.

X X

• Revoir la documentation et les résultats de la revue approfondie réalisée par ladirection opérationnelle et l'équipe chargée du projet. Évaluer leur pertinence etleur exhaustivité.

X X

• Réaliser les étapes supplémentaires jugées nécessaires, en se concentrant sur l'adé-quation des normes de contrôle du prestataire et les niveaux de conformité.


Mise en œuvre et transition

Objectif d'audit : Déterminer si la transition a été exécutée comme prévu avant dedémarrer de nouvelles activités.

Risques : Perte d'actifs ou retour sur investissement moindre du fait d'inefficiences etde risques non gérés ; interruption de service et impact sur les clients ; qualité opéra-tionnelle moins bonne que prévu.

• Réaliser une revue avant la mise en œuvre ou faire en sorte que l'audit assiste aux réu-nions sur la gouvernance afin d'assurer que le projet suit des procédures standard.

X X

• Revoir les revues approfondies ou évaluer la revue réalisée par la direction des acti-vités du prestataire et les moyens d'obtenir une assurance sur les capacités et l'his-torique de qualité du prestataire.

X X

• Revoir les plans de secours si la transition n'est pas convenablement effectuée. X

- Déterminer si les risques et les actions sont identifiés, limités et communiquésconvenablement aux parties prenantes.



35



Domainescritiques

Surveillance et remontée d’informations

Objectif d'audit : Évaluer la supervision et le contrôle de l'activité externalisée.

Risques : Les relations et la prestation sont associées à un préjudice, à une perte d'ac-tifs et à un retour sur investissement moindre ; le processus n'est pas maintenu nioptimisé comme prévu.

• Déterminer comment la performance du prestataire et son respect des clausescontractuelles seront régulièrement évalués et examinés par le management.

X X

• Revoir les mesures et autres indicateurs clés de performance utilisés. X

• Revoir comment les éléments préoccupants et les domaines d'amélioration sontcommuniqués et exploités pour améliorer les opérations / les contrats actuels etfuturs.

X


Renégociation

Objectif d'audit : Évaluer si la nouvelle relation évolue et s’améliore.

Risques : L'optimisation est atteinte, mais avec un retour sur investissement et unequalité opérationnelle future moindres ; il est impossible de trouver de meilleuresalternatives ou les augmentations de prix ne sont pas justifiées.

• Déterminer les stratégies et les informations nécessaires à une optimisation desnégociations futures.

X

• Revoir les mesures et autres indicateurs clés de performance utilisés. X

- Revoir et comparer la performance aux études récentes de marché et de bench-marking.

X

- Déterminer si la direction fixe de nouveaux objectifs fondés sur la performance. X

• Comprendre les résultats réels de performance, droits de réversibilité, activités decontrôle afin d'assurer que les experts et les propriétaires du processus apportentdes améliorations avant la renégociation.

X

• Résumer les résultats et documenter les conclusions.X X


36



Domainescritiques

Réversibilité

Objectif d'audit : Évaluer si l'accord est réversible et considéré comme faisant partieintégrante d'un plan d'affaires / d'une stratégie, si nécessaire.

Risques : Paralysie face à une situation défavorable ou à des opportunités ; absencede marge dans les négociations futures ; perte d'actifs et interruption de service encas de réintégration ou de transfert du processus à un autre prestataire ; coûts nonanticipés en cas d'échec de l'externalisation.

• Comprendre les plans de secours si l’accord ne fonctionne pas. X

• Quantifier les coûts estimés et la probabilité d'un échec. Ces facteurs ont-ils été prisen compte dans le plan d'affaires et les exigences de retour sur investissement ?

X X

- Est-il possible de faire appel à d'autres prestataires efficacement pour combler lesécarts potentiels ?

X

- Le prestataire est-il viable ? X

- Les facteurs conduisant à changer, ou à envisager de changer, de prestatairesont-ils compris par la direction et prédéfinis ?

X

- La direction a-t-elle pris en compte les autres risques pouvant motiver une réinté-gration du processus ? Ces risques ont-ils été évalués, notamment les risquesmacroéconomiques, politiques et géographiques ?

X

- Le prestataire dispose-t-il d'un plan de continuité d'activités solide ? Les effortsentrepris par le prestataire dans le cadre de son plan de continuité d'activitéssont-ils viables ?

X X

• Évaluer les conditions d'une résiliation du contrat. X X


GTAG – Annexe B : Programme d'auditdes prestations d’infogérance

37

Annexe B : Programmed'audit des prestationsd’infogérance

Ce programme d'audit de base sert à évaluer leprestataire de services. Les services fournis ouconsommés devraient être identifiés et lescontrôles utiles ajoutés au programme. Ce pro-gramme est destiné à couvrir les domaines de

risques dans le cadre d'un audit complet ou d'untest de cheminement de la conception descontrôles. Un audit complet est censé fournir uneassurance sur l'efficacité des activités de contrôle.Un test de cheminement de la conception descontrôles est censé donner à la direction une éva-luation de la conception des activités de contrôle.Les étapes du test de cheminement sont hiérar-chisées au cas où les ressources, le budget ou lesdélais seraient limités.

PROGRAMME D'AUDIT DES PRESTATIONS D’INFOGÉRANCE


Test de chemi-nement de la

conception descontrôles

Gouvernance

Objectif d'audit : Déterminer si la relation client-prestataire de services (le contrat)prévoit une gouvernance et une supervision adéquates.

X X

Risques : Détérioration de la relation client-prestataire de services. X X

• Le contrat devrait indiquer la répartition des responsabilités, et les politiques et lesnormes de sécurité à suivre, et définir des objectifs clairs pour le niveau des ser-vices.

X X

• Le niveau de compétences des ressources devrait correspondre au service fourni. X

• La communication entre le prestataire de services et le client est formalisée et suffi-sante pour contribuer au bon déroulement de la relation contractuelle.

X X

Sécurité

Objectif d'audit : Évaluer la sécurité à chaque couche de l'infrastructure des SI. X X

Risques : Les systèmes client sont accessibles sans autorisation, ou les données peu-vent être perdues, diffusées ou divulguées sans autorisation.

X X

• Il existe des politiques et des procédures de sécurité qui sont suivies. X X

• Les données sensibles sont identifiées et protégées. X

• L'accès est contrôlé tous les niveaux (documenté, autorisé, revu et révoqué). X

• Les exigences légales et réglementaires sont identifiées et respectées. X

• Les patchs des systèmes sont réalisés. X

• Il existe un processus de surveillance proactif de la sécurité. X X


38





Qualité des données

Objectif d'audit : Déterminer s'il existe suffisamment de contrôles pour garantir laqualité des données.

X X

Risques : Les données sont incomplètes, inexactes ou ne sont pas communiquées entemps utile.

X X

• Des contrôles d’intégrité devraient être intégrés aux interfaces, comme des algo-rithmes de hachage et des décomptes.

X

• La réussite ou l'échec des tâches qui traitent les données sont contrôlés, et il existeun processus pour pallier les échecs.

X X

• Les données devraient être convenablement protégées (par exemple en étant chif-frées) lors des transferts au-delà des frontières sûres.

X

Gestion des configurations

Objectif d'audit : Évaluer l'existence, l'exhaustivité et l'exactitude de la base de don-nées sur la gestion des configurations.

X

Risques : La base de données ne contribue pas au bon déroulement des processusopérationnels.

X

• Fournir des éléments de configuration exacts (y compris les dépendances et lesliens) aux autres processus ITIL et opérationnels réunis dans une base de donnéescentrale et logique.

X

• Prendre en compte tous les éléments de configuration et leurs attributs contrôlés. X

• Vérifier que les données contribuent au respect des obligations informatiques,financières, légales et de sécurité d'une organisation.

X

• Valider les éléments de configuration stockés dans la base de données sur la ges-tion des configurations par comparaison avec des situations autorisées (via la ges-tion des changements) et découvertes (avec des outils de recensement /découverte) en effectuant des vérifications, une revue de la conformité et des vérifi-cations d'audit.

X


39





Gestion des changements

Objectif d'audit : Déterminer si les changements sont effectués de façon planifiée etautorisée.

X X

Risques : Des changements non autorisés ou non planifiés entraînent des problèmesde fonctionnalité ou de performance des systèmes.

X X

• Des tests sont réalisés afin de valider la fonctionnalité du changement avant sontransfert à un environnement de production.

X

- Les changements sont approuvés et documentés avant d’être transférés à unenvironnement de production.

X X

- Les tâches sont convenablement séparées, permettant d'éviter que des change-ments non autorisés ne soient effectués dans l'environnement de production.

X

• Les bibliothèques de programmes – bibliothèques d'applications et schémas debases de données (selon le cas) – sont examinées afin de vérifier que les change-ments sont appropriés.

X

Gestion des capacités

Objectif d'audit : Déterminer si les capacités du système sont contrôlées et gérées afinde pouvoir répondre aux besoins des métiers.

X

Risques : Les capacités du système ne répondent pas aux besoins des métiers. X

• Il existe un processus de surveillance des capacités et de planification des capacitésfutures.

X

• La planification est effectuée avec la participation des opérations / des métiers etanticipe la demande réelle.

X

• Les plans de capacité sont régulièrement examinés. X

• Les capacités sont surveillées et les résultats sont conservés et revus afin de déga-ger des tendances.

X


40





Continuité des services

Objectif d'audit : Évaluer si l'organisation dispose d'un plan de continuité d'activités etd'un plan de secours informatique efficaces.

X X

Risques : Les activités critiques pour l’entreprise sont paralysées après une catastropheou une interruption.

X X

• Il existe un plan de continuité d'activités documenté. X X

• Il existe un plan de secours documenté. X X

• Les plans ont été revus et approuvés, et ils sont régulièrement revus. X X

• Les plans sont testés / répétés régulièrement (au moins une fois par an). X X

• Les plans comportent des objectifs et des délais de reprise d'activités réalistes. X

• Les plans sont élaborés afin de participer à la reprise de fonctions critiques. X

Gestion du contrat de niveaux de services

Objectif d'audit : Évaluer si l'accord comprend un contrat de niveaux de services et sil'organisation surveille et communique les indicateurs de ce contrat.

X X

Risques : La satisfaction du client est affectée ; des pénalités pourraient être infligées ;le contrat peut ne pas être renouvelé ou peut être annulé.

X X

• Tous les objectifs de niveau de service sont clairs et non équivoques. X

• Tous les objectifs de niveau de service sont acceptés et approuvés par l'entité utili-satrice et le prestataire de services.

X

• Tous les objectifs de niveau de service sont mesurables. X

• Tous les objectifs prévus par les contrats de services opérationnels ou les contratssous-jacents sont alignés avec ceux du contrat de niveaux de services.

X

• Les indicateurs sont produits par le système et infalsifiables. X

• Les rapports sur le contrat de niveaux de services revus par la direction (et le client). X X

• Il existe un processus pour gérer les plaintes des clients. X


41





Gestion des incidents

Objectif d'audit : Déterminer si l'organisation a mis en place un processus de gestiondes incidents.

X X

Risques : Interruption de l'activité et problèmes de performance. X X

• Il existe un processus et un outil pour gérer les incidents. X X

• Les données sur la gestion des incidents sont centralisées et accessibles. X

• Les opérateurs de la gestion des incidents ont accès aux informations concernant labase de données sur la gestion des configurations.

X

• Les incidents sont gérés sur la base d'indicateurs de performance clairs : « time toown » (TTO) délai d’affectation et « time to fix » (TTF) délai de résolution.

X

• Les indicateurs sont examinés par le management et des mesures correctives sontprises si nécessaire.

X X

• Les opérateurs de la gestion des incidents sont formés. X

• Les incidents sont classés et hiérarchisés afin de contribuer au bon déroulement del'activité.

X

Gestion des problèmes

Objectif d'audit : Déterminer si l'organisation a mis en place un processus de gestiondes problèmes.

X

Risques : Les causes des problèmes ne sont pas identifiées et les incidents continuentde provoquer des perturbations.

X

• Les problèmes sont identifiés et classés. X

• Les problèmes font l'objet d'une investigation et sont diagnostiqués, et leur causeest documentée.

X

• Les problèmes sont résolus et la situation / les mises à jour sont communiquées à ladirection.

X


42





Exploitation de centres de traitement de données

Objectif d'audit : Déterminer si les centres de traitement des données ayant unimpact sur les services disposent d'une infrastructure adéquate pour prévenir lespannes ou les interruptions de services (généralement « Tier III » tel que défini par leUptime Institute).

X X

Risques : Le prestataire ne peut fournir ou maintenir la prestation de services. X X

• La sécurité physique et logique est mise en place et gérée convenablement. X X

• La température et le taux d'humidité sont contrôlés. X

• L'alimentation électrique (universelle) et la mise à la terre sont installées afin d'éviterdes pannes ou des interruptions de service.

X

• Des détecteurs de fumée et des dispositifs de prévention contre les incendies sontinstallés et régulièrement testés.

X


Objectif d'audit : Déterminer si l'organisation suit une méthode standard de gestionde projet.

X

Risques : Le projet ne satisfait pas les objectifs métier ; le projet dépasse les délais et lebudget.

X

Conception et développement - Déterminer si les critères suivants sont satisfaits : X

• Il existe un business case clair et solide pour le projet. X

• Des évaluations réalistes et exhaustives des coûts et des avantages sont réalisées. X

• Les principales parties prenantes sont toutes impliquées précocement. X

• Les contrôles de sécurité et d'intégrité sont rigoureusement pris en compte. X

Gestion de projet - Déterminer s'il existe : X

• Un leadership proactif et une remontée d’informations en temps réel. X

• Une implication de toutes les principales parties prenantes. X

• Une identification et remontée des problèmes. X

• Des délais réalistes et des objectifs clairs. X

• Un pilotage et des tests rigoureux avant le démarrage. X

Mise en œuvre - Déterminer s'il existe : X

• Une gestion des changements et une formation. X

• Un suivi régulier et fiable des avantages. X

• Des évaluations constantes de la satisfaction du client. X

GTAG – Auteurs et réviseurs

43

Auteurs, relecteurs etcontributeursAuteursBradley C. Ames, CPA, CISA Frederick Brown, CISA, CRISC, ITIL-F Jeanot Deboer Dragon Tai, CIA, CCSA, CISA, CFEMichael Lynn, CPA Cesar L.Martinez, CIA, CGAP

Relecteurs et contributeursSteven Stein, CIA, CISA, CISSP, CFE, CGEITSteve Hunt, CIA, CRMA Steve Jameson, CIA, CCSA, CFSA, CRMA

RéviseursMarie-Elisabeth Albert, CIAJosé Bouaniche, CIA, CISAEmeline Bredy, CIAJulien Cornuché, CIABéatrice Ki-Zerbo, CIAYann Le BourtheJacques Renard

A PROPOS DE L’INSTITUTE OF INTERNAL AUDITORS

Fondé en 1941, The Institute of Internal Auditors (IIA) est une organisation professionnelle internationale dont lesiège mondial se situe à Altamonte Springs, en Floride, aux États-Unis. L’Institute of Internal Auditors est la voixmondiale, une autorité reconnue, un leader incontesté et le principal défenseur de la profession d’auditeur interne.C’est également un acteur de premier plan pour la formation des auditeurs internes. Il est représenté en Francepar l’IFACI.

A PROPOS DES GUIDES PRATIQUES

Les guides pratiques détaillent la réalisation des activités d’audit interne. Ils contiennent des processus et des pro-cédures, tels que les outils et techniques, les programmes et les approches pas-à-pas, et donnent des exemples delivrables. Les guides pratiques s’inscrivent dans le Cadre de référence international des pratiques professionnellesde l'audit interne de l’Institute of Internal Auditors. Ces guides pratiques relèvent de la catégorie des dispositionsfortement recommandées. La conformité à ces guides pratiques n’est donc pas obligatoire, mais fortement recom-mandée. Ces guides ont été officiellement révisés et approuvés par l’IIA.Le Global Technologies Audit Guide (GTAG) est un type de guide pratique qui aborde, dans un langage courant,une question d’actualité liée à la gestion, au contrôle ou à la sécurité des technologies de l’information.Pour de plus amples informations sur les documents de référence proposés par l’Institute, vous pouvez consulternotre site Web, www.theiia.org.guidance ou www.ifaci.com.

AVERTISSEMENT

L’Institute of Internal Auditors publie ce document à titre informatif et pédagogique. Cette ligne directrice n’a pasvocation à apporter de réponses définitives à des cas précis, et doit uniquement servir de guide. L’Institute ofInternal Auditors vous recommande de toujours solliciter un expert indépendant pour avoir un avis dans chaquesituation. L’Institute dégage sa responsabilité pour les cas où des lecteurs se fieraient exclusivement à ce guide.

COPYRIGHT

Le copyright de ce guide pratique est détenu par l’Institute of Internal Auditors et par l’IFACI pour sa version fran-çaise. Pour l’autorisation de reproduction, prière de contacter l’Institute of Internal Auditors à l’[email protected] ou l’IFACI à l’adresse [email protected].

The Institute of Internal Auditors IFACI247 Maitland Avenue, Altamonte Springs 98bis, Boulevard HaussmannFlorida 32701, États-Unis 75008 PARIS, FranceTéléphone : +1 407 937 1100 Téléphone : 01 40 08 48 00Télécopie : 1 407 937 1101 Fax : 01 40 08 48 20Site Web : www.theiia.org Site Web : www.ifaci.comCourrier électronique : [email protected] Courrier électronique : [email protected]

mailto:[email protected]

mailto:[email protected]

http://www.ifaci.com

http://www.theiia.org

Mise en page 1 › montreal... · 1. La capacité managériale et la structure de gou - vernance...

Documents

Transcript of Mise en page 1 › montreal... · 1. La capacité managériale et la structure de gou - vernance...