DOMAINE 2

GOUVERNANCE ET GESTION DES TECHNOLOGIES DE L'INFORMATION

 DOMAINE 2
La gouvernance et la gestion des
technologies de l'information font partie
intégrante de la gouvernance d'entreprise.
Une gouvernance et une gestion efficaces
des technologies de l'information consistent
en des structures et des processus de
direction et organisationnels qui garantissent
que les technologies de l'information de
l'entreprise soutiennent et étendent la
stratégie et les objectifs de l'entreprise.

La connaissance de la gouvernance des

technologies de l'information est
fondamentale pour le travail de l'auditeur SI
et constitue la base du développement de
pratiques de contrôle saines et de
mécanismes de surveillance et d'examen par
la direction.
L’EXAMEN CISA

Domaine 1 : Processus
Domaine 5 : d'audit du système
Protection des d'informations, 21 %
actifs
informationnels,
27 %

Domaine 2 :
Gouvernance et
gestion des TI,
Domaine 4 : 17 %
Exploitation des
systèmes
d’informations et
résilience des
entreprises, 23 % Domaine 3 : Acquisition,
conception et
implémentation des
systèmes d’information,
12 %
DOMAINE 2 OBJECTIFS
À l'issue de ce domaine, un auditeur des systèmes d’information doit
être capable de :
• Évaluer l'alignement de la stratégie informatique sur les stratégies et les
objectifs de l'entreprise.
• Évaluer l'efficacité de la structure de gouvernance des technologies de
l'information et de la structure organisationnelle des TI.
• Évaluer les politiques et les pratiques de l'entreprise en matière de gestion
des technologies de l'information.
• Évaluer les politiques et les pratiques de l'entreprise en matière de gestion
des technologies de l'information pour s'assurer qu'elles sont conformes
aux exigences réglementaires et légales.
• Évaluer la gestion des ressources et des portefeuilles des TI pour s'assurer
qu'ils sont alignés sur les stratégies et les objectifs de l'entreprise.
• Évaluer les politiques et les pratiques de l'entreprise en matière de gestion
des risques.
• Évaluer la gestion des TI et le suivi des contrôles.
DOMAINE 2 OBJECTIFS

• Évaluer le suivi et l'établissement de rapports sur les indicateurs clés de

performance (ICP) en matière de technologies de l'information.

• Évaluer si les processus de sélection des fournisseurs informatiques et de

gestion des contrats sont conformes aux exigences de l'entreprise.

• Évaluer si les pratiques de gestion des services informatiques

correspondent aux exigences de l'entreprise.

• Procéder à un examen périodique des systèmes d'information et de

l'architecture d'entreprise. Évaluer les politiques et les pratiques de
gouvernance des données.

• Évaluer le programme de sécurité de l'information afin de déterminer son

efficacité et son adéquation avec les stratégies et les objectifs de
l'entreprise.

• Évaluer les opportunités et les menaces potentielles liées aux technologies

émergentes, aux réglementations et aux pratiques du secteur.
DOMAINE 2 THÈMES

Gouvernance des technologies de Direction des TI

l'information • Gestion des ressources de TI
• Gouvernance et stratégie informatiques • Acquisition et gestion des fournisseurs de
• Cadres liés aux technologies de services informatiques
l'information • Contrôle et rapports sur les performances
• Normes, politiques et procédures des technologies de l'information
informatiques • Assurance et gestion de la qualité des
• Structure organisationnelle technologies de l'information
• Architecture d’entreprise
• Gestion du risque de l’entreprise
• Modèles de maturité
• Lois, règlements et normes industrielles
affectant l'entreprise

6
GOUVERNANCE ET
STRATÉGIE
INFORMATIQUES

7
 GOUVERNANCE ET STRATÉGIE INFORMATIQUES

Gouvernance d’entreprise

Gouvernance d'entreprise Gouvernance d'entreprise

(conformité) (performance)

Création de valeur
Assurance responsabilité
Utilisation des ressources

8
GOUVERNANCE D'ENTREPRISE EN MATIÈRE D'INFORMATION ET
DE TECHNOLOGIE (EGIT)
L'objectif de l'EGIT est d'orienter les efforts en matière de technologies de l'information
afin de s'assurer qu'ils s'alignent sur les objectifs de l'entreprise et les soutiennent, et
qu'ils permettent de réaliser les avantages promis.
En outre, les technologies de l'information doivent permettre à l'entreprise d'exploiter les
opportunités et de maximiser les bénéfices. Les ressources de TI doivent être utilisées
de manière responsable et les risques liés aux technologies de l'information doivent être
gérés de manière appropriée.
RÉSULTATS D'UNE GOUVERNANCE EFFICACE DE
LA SÉCURITÉ DE L'INFORMATION
Gestion des ressources de TI
• L'accent est mis sur le maintien d'un inventaire actualisé de toutes
les ressources de TI et sur le processus de gestion des risques.
La mesure des performances
• Il s'agit de veiller à ce que toutes les ressources de TI fonctionnent
comme prévu pour apporter une valeur ajoutée à l'entreprise et
identifier les risques à un stade précoce. Ce processus est basé sur
des indicateurs de performance qui sont optimisés pour apporter
une valeur ajoutée et dont tout écart peut entraîner un risque.
Gestion de la conformité
• L'accent est mis sur la mise en œuvre de processus qui répondent
aux exigences légales et réglementaires en matière de politique et
de conformité contractuelle.
BONNES PRATIQUES EGIT
1. Les chefs d'entreprise et les conseils d'administration exigent un meilleur rendement des investissements
dans les technologies de l'information.

2. Inquiétude face à l'augmentation générale des dépenses en matière de technologies de l'information

3. La nécessité de répondre aux exigences réglementaires en matière de contrôles des technologies de

l'information dans des domaines tels que la protection de la vie privée et l'information financière, ainsi que
dans des secteurs spécifiques tels que la finance, les produits pharmaceutiques et les soins de santé.

4. La sélection des fournisseurs de services et la gestion de l'externalisation et de l'acquisition de services

5. Des initiatives de gouvernance des technologies de l'information comprenant l'adoption de cadres de

contrôle et de bonnes pratiques pour aider à contrôler et à améliorer les activités informatiques essentielles
afin d'accroître la valeur de l'entreprise et de réduire les risques qu'elle encourt

6. La nécessité d'optimiser les coûts en suivant, dans la mesure du possible, des approches standardisées
plutôt que des approches spécialement développées.

7. La maturité croissante et l'acceptation conséquente de cadres bien connus

8. La nécessité pour les entreprises d'évaluer leurs performances par rapport aux normes généralement
acceptées et à leurs pairs
RÔLE DE L'AUDIT DANS L'EGIT

L'audit joue un rôle important dans la

mise en œuvre de l'EGIT.
Il offre les avantages suivants :
• Formule des recommandations sur les
meilleures pratiques à l'intention de la haute
direction
• Contribue à assurer la conformité avec les
initiatives EGIT
• Fourni un point de vue indépendant et
équilibré pour faciliter l'amélioration
quantitative des processus informatiques
DOMAINES D'AUDIT DE L’EGIT

Conformément au rôle défini de l'auditeur SI, les aspects suivants de l'EGIT doivent être
évalués :
• Alignement de la gouvernance d'entreprise et de l'EGIT
• Alignement de la fonction des TI sur la mission, la vision, les valeurs, les objectifs et les stratégies
organisationnels
• Réalisation des objectifs de performance
• Respect des exigences légales, environnementales, fiduciaires, de sécurité et de confidentialité
• L'environnement de contrôle de l'entreprise, le risque inhérent présent et les investissements et
dépenses en TI
GOUVERNANCE DE LA SÉCURITÉ DE
L'INFORMATION
Un cadre de gouvernance de la sécurité de
l'information comprend généralement les
éléments suivants :
• Une stratégie de sécurité globale intrinsèquement
liée aux objectifs de l'entreprise
• Politiques de sécurité applicables à chaque aspect
de la stratégie, des contrôles et de la réglementation
• Un ensemble complet de normes pour chaque
politique afin de s'assurer que les procédures et les
lignes directrices sont conformes à la politique
• Une structure organisationnelle efficace en matière
de sécurité, exempte de conflits d'intérêts
• Des processus de suivi institutionnalisés pour
garantir la conformité et fournir un retour
14d'information sur l'efficacité
GOUVERNANCE EFFICACE DE LA
SÉCURITÉ DE L'INFORMATION
• Maintenir des informations de haute qualité pour
soutenir les décisions de l'entreprise
• Générer de la valeur commerciale à partir
d'investissements dans les technologies de
l'information
• Atteindre l'excellence opérationnelle grâce à une
application fiable et efficace de la technologie
• Maintenir les risques liés aux technologies de
l'information à un niveau acceptable
• Optimiser le coût des services et des
technologies informatiques
• Respecter les lois, les règlements, les accords
contractuels et les politiques de plus en plus
15
nombreux
RÉSULTATS D'UNE GOUVERNANCE EFFICACE EN MATIÈRE DE
SÉCURITÉ DE L'INFORMATION

La mesure des La gestion des L’intégration des

performances ressources processus

16
PLANIFICATION STRATÉGIQUE

Identifier des Déterminer Évaluer les Synchroniser

solutions les besoins capacités les plans
informatiques en matière de informatiques stratégiques
rentables systèmes avec les
d'information plans
d'entreprise

17
VEILLE STRATÉGIQUE

Les domaines de mesure typiques sont les suivants :

• Coût, efficacité et qualité des processus La veille stratégique (VS)
• Satisfaction des clients à l'égard des offres de produits et de est un vaste domaine
services des technologies de
l'information qui englobe
• Rentabilité des clients, y compris la détermination des attributs qui la collecte et l'analyse
sont des indicateurs utiles de la rentabilité des clients d'informations destinées
• Réalisation des indicateurs de performance clés par le personnel à faciliter la prise de
et les unités opérationnelles décision et à évaluer les
performances
• Gestion des risques organisationnelles.

18
 ARCHITECTURE DES FLUX DE DONNÉES DE VEILLE
STRATÉGIQUE
Figure 2.2- Échantillon de l’architecture des flux de données

Couche de présentation/d’accès au bureau

Requêtes Ad Hoc

Requêtes directes
Couche de données
(Data Mart)

Couche d'indexation de
l'alimentation en données/de

Couche de messagerie (transport) de l'application

l'extraction de données

Couche de gestion d'entrepôt

Métadonnées

Couche Internet/intranet
Couche entrepôt de données

Couche de dépôt
Couche d’organisation et de
qualité des données

Couche d'accès aux données

Couche source de données

Données non opérationnelles Données externes, Données
opérationnelles

Fournisseurs Fournisseurs Fournisseurs de

de données de données données
non externes opérationnelles
opérationnelles

19
 ACTIVITÉ

Afin de maximiser la concentration de l'entreprise sur les opérations de base, le

DSI cherche à déplacer plusieurs suites d'applications d'entreprise clés vers le
nuage informatique (cloud). Ces suites d'applications prennent en charge des
opérations qui dépassent les frontières internationales et contiennent des
informations personnellement identifiables et de la propriété intellectuelle.
Lorsque l'on examine la manière dont l'entreprise gère la confidentialité des
données stockées par le fournisseur de services de nuage informatique (cloud),
quels sont les domaines de gouvernance importants à prendre en compte ?
 QUESTION À DÉBATTRE

Un auditeur SI évalue le cadre de gouvernance

des technologies de l'information d'une
entreprise. Parmi les points suivants, lequel
suscite le plus d'inquiétude ?
A. Implication limitée de la haute direction.
B. Retour sur investissement (ROI) non mesuré.
C. Refacturation des coûts informatiques
incohérente.
D. Appétit pour le risque non quantifié.
 QUESTION À DÉBATTRE

Laquelle des bonnes pratiques suivantes en

matière de gouvernance des technologies de
l'information permet d'améliorer l'alignement
stratégique ?
A. Les risques liés aux fournisseurs et aux
partenaires sont gérés.
B. Une base de connaissances sur les clients, les
produits, les marchés et les processus est en
place.
C. Une structure est fournie pour faciliter la création
et le partage d'informations sur les entreprises.
D. La haute direction sert de médiateur entre les
impératifs de l'entreprise et ceux de la
technologie.
 CADRES LIÉS AUX TECHNOLOGIES DE
L'INFORMATION

23
CADRES EGIT

Plusieurs cadres fournissent des normes pour l’EGIT,

notamment :
• COBIT La clé pour
maximiser la valeur
• Organisation internationale de normalisation (ISO)/Commission
est de considérer
électrotechnique internationale (CEI) 27000 l’EGIT de manière
• Bibliothèque Information Technology Infrastructure Library (ITIL ®) synergique dans la
• Modèle ouvert de maturité de la gestion de la sécurité de hiérarchie globale de
l'information (O-ISM3) gouvernance de
• ISO/IEC 38500:2015 : Technologies de l'information - l'entreprise.
Gouvernance des technologies de l'information par l'entreprise
• ISO/IEC 20000
• ISO 3100:2018 : Gestion des risques - Lignes directrices
 NORMES, POLITIQUES ET PROCÉDURES
INFORMATIQUES

25
NORMES

Une norme est une exigence obligatoire, un code

de pratique ou une spécification approuvée par un
organisme de normalisation externe reconnu.
Les normes professionnelles font référence aux
normes publiées par des organisations
professionnelles, telles que l'ISACA, ainsi qu'aux
lignes directrices et techniques connexes qui aident
les professionnels à mettre en œuvre d'autres
normes et à s'y conformer.
POLITIQUES

Les politiques sont les déclarations de haut niveau de l'intention, des

attentes et des orientations de la direction.
Les politiques de haut niveau bien élaborées dans une entreprise
mature peuvent rester statiques pendant de longues périodes.
La direction doit revoir périodiquement toutes les politiques.
Les auditeurs SI doivent comprendre que les politiques font partie de
l'étendue de l'audit et tester la conformité des politiques.
Les contrôles des systèmes d'information doivent découler des
politiques de l'entreprise et les auditeurs SI doivent utiliser les
politiques comme référence pour évaluer la conformité.
POLITIQUE DE SÉCURITÉ DES INFORMATIONS

Une politique de sécurité pour les technologies de l'information et les technologies

connexes est une première étape vers la mise en place d'une infrastructure de sécurité
pour les entreprises axées sur la technologie.
Elle communique une norme de sécurité cohérente aux utilisateurs, à la direction et au
personnel technique.
Cette politique doit être utilisée par les auditeurs SI comme cadre de référence pour la
réalisation des missions d'audit.
L'adéquation et la pertinence de la politique constituent également un domaine
d'examen lors d'un audit du système d'information.
COMPOSANTES DE LA POLITIQUE DE SÉCURITÉ DE
L'INFORMATION
La politique de sécurité de l'information peut comprendre un ensemble de politiques
répondant généralement aux préoccupations suivantes :
• Politique de sécurité de l'information de haut niveau - Comprend des déclarations sur la
confidentialité, l'intégrité et la disponibilité.
• Politique de classification des données - Fournit des classifications et des niveaux de contrôle
pour chaque classification.
• Politique informatique de l'utilisateur final - Identifie les paramètres et l'utilisation des outils de
bureau, mobiles et autres.
• Politique de contrôle d'accès - Décrit les méthodes permettant de définir et d'accorder l'accès aux
utilisateurs de diverses ressources de TI.
• Politique d'utilisation acceptable (PUA) - Contrôle l'utilisation des ressources du système
d'information en définissant la manière dont les ressources de TI peuvent être utilisées par les
employés.
PROCÉDURES

Les étapes documentées et définies des procédures

contribuent à la réalisation des objectifs de la politique. Un auditeur SI
examine les
Les procédures documentant les processus commerciaux et procédures pour
informatiques alignés et leurs contrôles intégrés sont identifier et évaluer
formulées par les responsables de processus. les contrôles afin de
s'assurer que les
Pour être efficaces, les procédures doivent : objectifs de contrôle
• être revues et mises à jour fréquemment sont atteints.
• être communiquées aux personnes concernées
LIGNES DIRECTRICES

Les lignes directrices pour l'exécution des procédures relèvent également de la

responsabilité des opérations.
Les lignes directrices doivent contenir des informations utiles à l'exécution des
procédures. Y compris la clarification des :
• Politiques et normes
• Dépendances
• Suggestions et exemples
• Narration clarifiant les procédures
• Informations générales pouvant être utiles
• Et des outils qui peuvent être utilisés

31
 ACTIVITÉ

Lors de l'évaluation de la stratégie informatique,

les politiques ou les procédures seraient-elles
plus utiles pour garantir l'alignement permanent
de la stratégie informatique sur les objectifs
spécifiques et les initiatives commerciales de
l'entreprise ?
 QUESTION À DÉBATTRE

Lors de l'audit du cadre de gouvernance des technologies

de l'information et des pratiques de gestion des risques
informatiques existant au sein d'une entreprise, l'auditeur
SI a identifié certaines responsabilités non définies en ce
qui concerne les rôles de gestion et de gouvernance
informatiques. Parmi les recommandations suivantes,
laquelle est la PLUS appropriée ?
A. Revoir l'alignement stratégique des technologies de
l'information sur les activités de l'entreprise.
B. Mettre en place des règles de responsabilité au sein de
l'entreprise.
C. Veiller à ce que des audits indépendants des systèmes
d'information soient réalisés périodiquement.
D. Créer un poste de Directeur des risques (CRO) au sein de
l'entreprise.
 QUESTION À DÉBATTRE

Lors de l'audit du processus d'archivage sur site

des courriers électroniques, l'auditeur SI doit
accorder le PLUS d'attention aux points
suivants :
A. l'existence d'une politique de conservation des
données ;
B. la capacité de stockage de la solution
d'archivage ;
C. le niveau de sensibilisation des utilisateurs à
l'utilisation du courrier électronique ;
D. le support et la stabilité du fabricant de la solution
d'archivage.
 STRUCTURE ORGANISATIONNELLE

35
STRUCTURE ORGANISATIONNELLE

La structure organisationnelle est un élément clé de la gouvernance. Elle constitue

les principales entités décisionnelles d'une entreprise. La section suivante fournit
des orientations sur les structures organisationnelles et les rôles et responsabilités
au sein de l’EGIT.

N'oubliez pas que la structure réelle peut varier en fonction de la taille, du secteur
d'activité et de la localisation de l'entreprise.

36
COMITÉS DIRECTEURS DES TECHNOLOGIES DE L'INFORMATION

Les organisations disposent souvent de comités de stratégie et de pilotage au niveau de

la direction pour traiter les questions informatiques à l'échelle de l'entreprise.
L'auditeur SI doit connaître les responsabilités, l'autorité et la composition de ces
comités.
ANALYSE DU COMITÉ DES TI
Niveau Le comité de stratégie des TI Le comité de pilotage des TI
Responsabilité Fournit des informations et des Décide du niveau et de
conseils au conseil l'affectation des dépenses
d'administration sur toute une informatiques, aligne et
série de sujets liés aux approuve l'architecture
technologies de l'information. informatique de l'entreprise,
ainsi que d'autres fonctions de
supervision.
Autorité Conseille le conseil Assiste les cadres dans la mise
d'administration et la direction sur en œuvre de la stratégie
la stratégie informatique, en se informatique, en supervisant la
concentrant sur les questions gestion de la fourniture des
stratégiques actuelles et futures services informatiques, des
en matière d'informatique. projets et de la mise en œuvre.
Membres Comprend les membres du Comprend le responsable du
conseil d'administration et les parrainage, le chef d'entreprise
spécialistes non membres du (utilisateurs clés), le directeur
conseil d'administration des systèmes d'information
(DSI) et les principaux
conseillers, le cas échéant.
MATRICE DES RÉSULTATS ET DES RESPONSABILITÉS

Conseil d'administration

Haute direction

Comité de pilotage

CISO/gestion de la sécurité
de l'information

Responsables de l'audit

39
STRUCTURE ORGANISATIONNELLE ET RESPONSABILITÉS EN
MATIÈRE DE TI
Figure 2.5 - Organisation du département informatique

Directeur de l'information
ou responsable/directeur
de l'informatique

Gestion des risques Applications Données Support technique Soutien aux Opérations
utilisateurs

• Administrateur de la Responsable du Gestionnaire de données Responsable du support

sécurité Service Directeur des
développement/de Administrateur de base de technique
• Coordinateur de la d’assistance opérations
reprise après sinistre l'assistance données

• Programmeurs • Administrateur de • Programmeurs de

(Applications) réseau (LAN/WAN) Opérateur
systèmes (Système
• Analystes de • Administrateur de d’exploitation) informatique
systèmes systèmes (Système • Analystes de systèmes
(Applications) d’exploitation) (Système d’exploitation)
• Assurance qualité

40
STRUCTURE ORGANISATIONNELLE DES TECHNOLOGIES DE
L'INFORMATION
Au sein d'une entreprise, le département des TI peut être structuré de différentes
manières.
Un organigramme permet de définir clairement la hiérarchie et les lignes d'autorité d'un
service.
L'auditeur SI doit comparer les rôles et responsabilités observés avec les structures
organisationnelles formelles et les descriptions de postes.
FONCTIONS INFORMATIQUES

En règle générale, les fonctions des TI suivantes doivent être examinées par l'auditeur
SI :
• Direction du développement des systèmes
• Gestion des projets
• Administration d'un service d'assistance ou d'un centre de services
• Activités des utilisateurs finaux et leur gestion
• Gestion des données
• Direction de l'assurance qualité
• Direction de la sécurité des informations
FONCTIONS INFORMATIQUES (SUITE)

En outre, ces fonctions doivent être examinées par l'auditeur SI :

• Gestion des fournisseurs et des sous-traitants
• Exploitation et maintenance des infrastructures
• Gestion des supports amovibles
• Saisie de données
• Contrôle de surveillance et acquisition de données
• Administration des systèmes et de la sécurité
• Administration de base de données
• Développement et maintenance des applications et de l'infrastructure
• Gestion du réseau
SÉPARATION DES RESPONSABILITÉS
INFORMATIQUES
Bien que les titres des postes et les structures
organisationnelles varient d'une entreprise à l'autre,
l'auditeur SI doit obtenir suffisamment d'informations
pour comprendre et documenter les relations entre
les différentes fonctions, responsabilités et
autorités.
L'auditeur SI doit également évaluer l'adéquation de
la SoD.
La SoD limite la possibilité qu'une seule personne
soit responsable de fonctions de telle sorte que des
erreurs ou des détournements puissent se produire
sans être détectés.
La SoD est une méthode importante pour
décourager et prévenir les actes frauduleux ou
LIGNES DIRECTRICES EN
MATIÈRE DE SOD

Les responsabilités qui doivent être

séparées sont les suivantes :
• Conservation des actifs
• Capacité d'autorisation
• Enregistrement des transactions

Les services informatiques et les

utilisateurs finaux doivent être organisés
de manière à respecter les politiques
SoD.
LIGNES DIRECTRICES EN MATIÈRE DE
SOD (SUITE)
En l'absence d'une SoD adéquate, les situations
suivantes peuvent se produire avec une probabilité
de détection plus faible :
• Détournement d'actifs
• États financiers erronés
• Documentation financière inexacte (en raison d'erreurs
ou d'irrégularités)
• Utilisation abusive de fonds ou modification de données
• Modification non autorisée ou erronée des programmes
CONTRÔLES COMPENSATOIRES EN L'ABSENCE DE SOD

Pistes d’audit

Revues Rapprochement
indépendantes

Revues de Rapports par

surveillance exception

Journaux des
transactions

47
AUDIT DE LA STRUCTURE ET DE LA MISE EN ŒUVRE DE LA
GOUVERNANCE DES TECHNOLOGIES DE L'INFORMATION
Parmi les indicateurs les plus significatifs de • Achats de matériel et de logiciels non pris
problèmes potentiels, on peut citer : en charge ou non autorisés
• Coûts excessifs • Mises à jour fréquentes du matériel et des
• Dépassements budgétaires logiciels
• Projets en retard • Rapports par exception détaillés
• Forte rotation du personnel • Rapports par exception n'ayant pas fait
l'objet d'un suivi
• Personnel inexpérimenté
• Absence de plans de succession
• Erreurs fréquentes du matériel et des
logiciels • Dépendance à l'égard d'un ou deux
membres clés du personnel
• Un arriéré excessif de demandes
d'utilisateurs • Manque de formation adéquate
• Temps de réponse lent du système
• De nombreux projets de développement
avortés ou suspendus
48
REVUE DE LA DOCUMENTATION

Les documents de gouvernance suivants doivent

être examinés :
• Stratégies, plans et budgets informatiques
• Documentation sur la politique de sécurité
• Organigrammes organisationnels/fonctionnels
• Descriptifs de poste
• Rapports du comité de pilotage informatique
• Procédures de développement des systèmes et de
modification des programmes
• Procédures opérationnelles
• Manuels RH
• Procédures d'assurance qualité

49
 ACTIVITÉ

Le Directeur financier et le DSI ont convenu de

maximiser le retour sur investissement et de
réduire le coût total des opérations dans le cadre
des opérations informatiques de l'entreprise afin
d'atteindre les buts et objectifs en matière de
chiffre d'affaires. Pour mettre en œuvre cette
stratégie, le département des TI a gelé toutes les
embauches et tous les achats de matériel.
En tant qu'auditeur SI, vous remarquez que les
administrateurs du domaine sont désormais
également les auditeurs des activités des
comptes d'utilisateurs et des changements
d'autorisation d'accès aux serveurs de fichiers au
sein du domaine. Que faire ?
 QUESTION À DÉBATTRE

L'auditeur SI qui examine une entreprise qui

utilise des pratiques de formation croisée doit
évaluer le risque de :
A. dépendance à l'égard d'une seule personne ;
B. planification inadéquate de la succession ;
C. une personne connaissant toutes les parties d'un
système ;
D. une interruption des opérations.
 ARCHITECTURE D’ENTREPRISE

52
ARCHITECTURE D’ENTREPRISE

L'architecture d'entreprise (AE) est une pratique qui consiste à documenter de manière
structurée les actifs informatiques d'une entreprise.
L'AE facilite la compréhension, la gestion et la planification des investissements
informatiques en comparant l'état actuel et un état futur optimisé.
ARCHITECTURE D'ENTREPRISE (SUITE)

L'AE peut être abordée sous deux angles différents :

• EA axée sur la technologie - Cherche à clarifier les choix technologiques complexes auxquels
une entreprise est confrontée afin de fournir des conseils sur la mise en œuvre de diverses
solutions.
• EA axée sur l'entreprise - Tente de comprendre l'entreprise en termes de processus de base et
d'en déduire la combinaison optimale de technologies nécessaires pour soutenir ces processus.
 ACTIVITÉ

La société ABC a manqué de capacités

d'infrastructure critiques pour répondre à de
nouveaux accords commerciaux. Le comité
d'audit et le PDG ont demandé à l'audit interne
de déterminer les causes de ces défaillances.
En tant qu'auditeur SI, quels sont les domaines
que vous prendriez en compte lors de la
délimitation du champ d’application de l'audit ?
Quel est l'élément clé de la gouvernance qui
permettrait le mieux de faire face aux principaux
risques rencontrés dans le cadre de ce projet ?
 QUESTION À DÉBATTRE

Lequel des choix suivants est l'avantage

PREMIER de l'exigence d'un comité de pilotage
de superviser les investissements
informatiques ?
A. Réaliser une étude de faisabilité pour démontrer
la valeur de la technologie de l'information
B. Veiller à ce que les investissements soient
réalisés en fonction des besoins de l'entreprise
C. Veiller à ce que les contrôles de sécurité
appropriés soient appliqués
D. Veiller à ce qu'une méthodologie de
développement standard soit mise en œuvre
 QUESTION À DÉBATTRE

En tant que résultat de la gouvernance de la

sécurité de l'information, l'alignement stratégique
fournit :
A. les exigences en matière de sécurité en fonction
des besoins de l'entreprise ;
B. la sécurité de base selon les bonnes pratiques ;
C. des solutions institutionnalisées et banalisées ;
D. une compréhension de l'exposition au risque.
 GESTION DES RISQUES DE L’ENTREPRISE

58
GESTION DES RISQUES

Le processus de gestion des risques se

concentre sur les ressources
d'information d'une entreprise.
Pour être efficace, le processus doit
commencer par une compréhension de
l'appétit de la haute direction pour le
risque.
RÉPONSE AUX RISQUES

Les quatre réponses possibles au risque sont les suivantes :

• Évitement - élimination de la cause du risque
• Atténuation - réduction de la probabilité de survenance d'un risque ou de son impact
• Transfert - partage des risques avec des partenaires, par exemple par le biais d'une assurance
ou d'une coentreprise
• Acceptation - reconnaissance formelle de l'existence d'un risque et engagement à le surveiller

Une cinquième réponse, qui consiste à rejeter le risque en choisissant de l'ignorer, n'est
pas considérée comme une gestion efficace du risque. La présence de cette réponse au
risque doit être un signal d'alarme pour l'auditeur SI.
ÉLABORER UN PLAN DE
GESTION DES RISQUES

Définir l'objectif du programme de gestion

des risques
Attribuer la responsabilité du plan de
gestion des risques

61
PROGRAMME DE GESTION DES RISQUES

Identification des actifs • Identifier les ressources ou actifs vulnérables aux

menaces.
Objectif :
Un équilibre
Évaluation de la menace • Déterminer les menaces et les vulnérabilités rentable
associées à l’actif.
entre les
menaces
Évaluation de l'impact • Décrire ce qui se passera si une vulnérabilité est importantes
exploitée.
et
l'application
Calcul du risque • Se faire une idée globale du risque, en fonction de la des
probabilité d'occurrence et de l'ampleur de l'impact.
contrôles à
ces
• Évaluer les contrôles existants et mettre en œuvre
Réponse aux risques de nouveaux contrôles conçus pour aligner le risque
menaces.
résiduel sur l'appétit de l'entreprise pour le risque.
MÉTHODES D'ANALYSE DES RISQUES

L'analyse des risques est définie comme un processus par lequel la fréquence et
l'ampleur des scénarios de risques informatiques sont estimées.
Trois méthodes peuvent être employées lors de l'analyse des risques :
• Méthodes d'analyse qualitative - Des classements descriptifs sont utilisés pour décrire la
probabilité et l'impact des risques.
• Méthodes d'analyse semi-quantitative - Les classements descriptifs sont associés à des valeurs
numériques.
• Méthodes d'analyse quantitative - Des valeurs numériques, par exemple sous la forme de coûts
financiers, sont utilisées pour décrire la probabilité et l'impact du risque.

Chacune des trois méthodes offre une perspective sur le risque, mais il est important de
reconnaître les hypothèses incorporées dans chaque analyse de risque.
 QUESTION À DÉBATTRE

Parmi les facteurs suivants, quel est celui sur

lequel l'auditeur SI doit PRINCIPALEMENT se
concentrer lorsqu'il détermine le niveau de
protection approprié pour un actif
informationnel ?
A. Résultats d'une évaluation des risques
B. Valeur relative pour l'entreprise
C. Résultats d'une évaluation de la vulnérabilité
D. Coût des contrôles de sécurité
 QUESTION À DÉBATTRE

Lorsque le plan de récupération après sinistre

(PRS) d'une entreprise comporte un accord de
réciprocité, laquelle des approches de traitement
des risques suivantes est appliquée ?
A. Transfert
B. Atténuation
C. Évitement
D. Acceptation
 MODÈLE DE MATURITÉ

66
MODÈLES DE MATURITÉ

L'auditeur SI doit comprendre comment le

développement, la mise en œuvre et l'intégration
d'outils, de techniques et de processus de qualité
pour la modélisation des capacités et de la
maturité (TTP) faciliteront et favoriseront la
qualité des politiques et des procédures
informatiques de l'entreprise.

67
INTÉGRATION DU MODÈLE DE MATURITÉ DES CAPACITÉS

Figure 2.8 - Caractéristiques des niveaux de maturité (CMMl)

Le processus atteint son objectif, est bien

défini, et sa performance est mesurée pour
l'améliorer et l'amélioration continue est
recherchée.

Le processus atteint son objectif, est bien défini, et sa

performance est mesurée (quantitativement).

Le processus atteint son objectif d'une manière beaucoup plus organisée

grâce aux actifs organisationnels. Les processus sont généralement bien
définis.

Le processus atteint son objectif par l'application d'un ensemble d'activités de base, mais
complet, qui peut être caractérisé comme étant réalisé.

Le processus atteint plus ou moins son objectif par l'application d'un ensemble incomplet d'activités que l'on peut
qualifier d'initiales ou d'intuitives - pas très organisées.

 Absence de toute capacité de base

 Approche incomplète de l'objectif de gouvernance et de gestion
 Peut répondre ou non à l'intention des pratiques du processus.

Source : CMMI Institute, [Link]

68
 LOIS, RÈGLEMENTS ET NORMES INDUSTRIELLES
APPLICABLES À L'ENTREPRISE

69
GOUVERNANCE, RISQUES ET
CONFORMITÉ

La GRC se concentre généralement sur

les domaines suivants :
• Financier
• Juridique

70
IMPACT DES LOIS, DES RÈGLEMENTS ET DES NORMES
INDUSTRIELLES SUR L'AUDIT DES SYSTÈMES D'INFORMATION

Normes et procédures

Attribution de responsabilités au personnel d'encadrement

Expérience fiable du personnel

Communication des procédures

Surveillance et la vérification de la conformité

Application cohérente

Réponse appropriée à une infraction et prévention d'infractions similaires

71
DIRECTION DES TI

72
 DIRECTION DES RESSOURCES DE TI

73
DIRECTION DES RESSOURCES DE TI

L'auditeur SI doit comprendre les pratiques

d'investissement et d'allocation d'une entreprise afin
de déterminer si l'entreprise est en mesure d'obtenir
la plus grande valeur possible de l'investissement
de ses ressources.
Dans la mesure du possible, les avantages non
financiers devraient être rendus visibles et tangibles
en utilisant des algorithmes qui les transforment en
unités monétaires afin de comprendre leur impact et
d'améliorer leur analyse.

74
DIRECTION RH

Manuel de Politiques
Embauche
l'employé promotionnelles

Planification et
Conditions
Formation rapports de
d'emploi
temps

Cessation
Performances
d'activité
GESTION DU CHANGEMENT
La gestion du changement
organisationnel utilise un processus défini
et documenté pour identifier et appliquer
les améliorations technologiques au
niveau de l'infrastructure et des
applications.
Le département des TI est le point focal
de ces changements et dirige ou facilite
les changements avec le soutien de la
haute direction.
La communication est un élément
important de la gestion du changement,
et les utilisateurs finaux doivent être
informés de l'impact et des avantages des
changements.
DIRECTION FINANCIÈRE

Le budget des systèmes d’information permet une allocation adéquate des fonds ainsi
que la prévision, le suivi et l'analyse des informations financières.
Le budget doit être lié aux plans informatiques à court et à long terme.
Un système de « paiement par l'utilisateur » peut améliorer l'application et le suivi des
dépenses et des ressources des systèmes d’information.
• Dans ce cadre, les utilisateurs finaux sont facturés pour les coûts des services informatiques
qu'ils reçoivent.
• Ces frais sont basés sur une formule standard et comprennent des services de systèmes
d’information tels que le temps de travail du personnel, le temps d'utilisation de l'ordinateur et
d'autres coûts pertinents.
SÉCURITÉ DE L'INFORMATION
La gouvernance de la sécurité de
l'information relève de la responsabilité du
conseil d'administration et de la haute
direction.
La gouvernance de la sécurité de
l'information est un sous-ensemble de la
gouvernance d'entreprise, qui fournit une
orientation stratégique pour les activités
de sécurité et veille à ce que les objectifs
soient atteints.
Un programme de sécurité de
l'information comprend le leadership, les
structures organisationnelles et les
processus qui protègent l'information.
SÉCURITÉ DE L'INFORMATION (SUITE)

Le cadre de gouvernance de la sécurité de

l'information se compose généralement des
éléments suivants :
• Une stratégie de sécurité liée aux objectifs de
l'entreprise
• Des politiques de sécurité qui traitent de la stratégie,
des contrôles et de la réglementation
• Des normes visant à garantir la conformité des
procédures et des lignes directrices avec les politiques
• Une structure organisationnelle efficace en matière de
sécurité, sans conflits d'intérêts
• Contrôler les procédures afin d'en assurer le respect et
de fournir un retour d'information sur leur efficacité
DIRECTION DE LA SÉCURITÉ
DES INFORMATIONS

La direction de la sécurité de l'information

joue un rôle de premier plan pour garantir
que les informations de l'entreprise et les
ressources de traitement de l'information
sous son contrôle sont correctement
protégées.

80
 ACQUISITION ET GESTION DES FOURNISSEURS
DE SERVICES INFORMATIQUES

81
STRATÉGIES DE LA FONCTION DE SERVICES
INFORMATIQUES
Définir la fonction informatique à externaliser. Internalisé
Décrire les niveaux de service requis et les paramètres Externalisé
minimaux à respecter.
Hybride
Connaître le niveau souhaité de connaissances, de
compétences et de qualité du prestataire de services Sur site
attendu. Hors site
Connaître les informations actuelles sur les coûts internes Offshore
pour les comparer aux offres de tiers.
Procéder à des examens de diligence raisonnable des
prestataires de services potentiels.
Confirmer toute considération architecturale visant à
satisfaire
82
aux exigences contractuelles ou réglementaires.
PRATIQUES ET STRATÉGIES
D'EXTERNALISATION
Figure 2.9 - Avantages, inconvénients, risques commerciaux et options de réduction des risques liés à l'externalisation Les auditeurs SI
Avantages éventuels
Inconvénients éventuels et risques
commerciaux
Options de réduction des risques doivent examiner :
• Les entreprises d'externalisation • Coûts supérieurs aux attentes des clients • Fixation d’objectifs communs et de
commerciale peuvent réaliser des • Perte de l'expérience interne en matière de récompenses mesurables et adoptés • Programmes de
économies d'échelle en déployant des technologies de l'information par le partenariat
composants logiciels réutilisables. • Perte de contrôle sur les technologies de • Dépôt de logiciel pour assurer la qualité (ISO/IEC
• Les prestataires de services l'information maintenance du logiciel
d'externalisation sont susceptibles de • Défaillance du fournisseur (préoccupation • Recours à plusieurs fournisseurs ou 15504 (SPICE),
consacrer plus de temps et de se constante) rétention d'une partie de l'activité à titre
concentrer de manière plus efficace sur un • Accès limité aux produits d'incitation CMMI, ITIL et
projet donné que le personnel interne. • Difficulté d'annuler ou de modifier les • Réalisation d’analyses périodiques de la
• Les prestataires de services accords d'externalisation concurrence et d’analyses comparatives méthodologies
d'externalisation sont susceptibles d'avoir • Respect insuffisant des exigences légales et (benchmarking/benchtrending)
plus d'expérience que le personnel interne réglementaires • Mise en œuvre de contrats à court terme ISO)
en ce qui concerne un éventail plus large • Non-respect des termes du contrat • Formation d'une équipe de
de problèmes, de questions et de
techniques.
• Manque de loyauté du personnel du
prestataire envers le client
gestion des contrats
interfonctionnelle
• Réviser les accords
• L'élaboration de cahiers des charges et
d'accords contractuels par des services
• Clients/employés mécontents en raison de
l'accord d'externalisation
• Inclusion de dispositions contractuelles
pour prendre en compte autant de niveau de
d'externalisation est susceptible de
déboucher sur des cahiers des charges de
• Les coûts des services ne sont pas
compétitifs sur l'ensemble de la durée du
d'éventualités que l'on peut
raisonnablement prévoir service
meilleure qualité que s'ils étaient élaborés contrat.
uniquement par le personnel interne. • Obsolescence des systèmes informatiques
• Les fournisseurs étant très sensibles aux des fournisseurs
détournements et aux changements qui • L'une ou l'autre entreprise ne reçoit
prennent du temps, les risques de pas les avantages escomptés de
dérapage des fonctionnalités ou l'accord d'externalisation.
d'élargissement du champ d'application • Atteinte à la réputation de l'une ou l'autre
sont nettement moindres avec les des entreprises, ou des deux, en raison de
fournisseurs de services d'externalisation. l'échec du projet.
• Litiges longs et coûteux
• Perte ou fuite d'informations ou de
processus
83
PRATIQUES ET STRATÉGIES D'EXTERNALISATION
Intégrer les attentes en matière de qualité de service, y compris l'utilisation des méthodologies
ISO/IEC 15504 (Software Process Improvement and Capability Determination [SPICE]), CMMI, ITIL
ou ISO.

Veiller à ce que l'administration du contrôle d'accès et de la sécurité, qu'elle soit contrôlée par le
fournisseur ou par le propriétaire, soit dûment prise en compte dans le contrat.

S'assurer que les rapports de violation et le suivi sont prévus par le contrat.

Veiller à ce que le propriétaire soit informé et coopère à toute enquête.

Veiller à ce que les exigences en matière de contrôle des changements/versions et de tests soient
contractuellement requises pour les phases de mise en œuvre et de production.

Veiller à ce que les parties responsables et les exigences en matière de contrôles du réseau soient
définies de manière adéquate et que toute délimitation nécessaire de ces responsabilités soit
établie.

Indiquer des paramètres de performance spécifiques et définis qui doivent être respectés ; par
exemple,
84 des temps de traitement minimums pour les transactions ou des temps d'attente
minimums pour les contractants.
PRATIQUES ET STRATÉGIES D'EXTERNALISATION
Intégrer des critères de gestion de la capacité.

Prévoir des dispositions contractuelles pour apporter des modifications au contrat.

Fournir une procédure clairement définie d'escalade et de résolution des litiges.

Veiller à ce que le contrat garantisse l'entreprise contre les dommages causés par la société responsable des
services externalisés.

Exiger des accords de confidentialité protégeant les deux parties.

Incorporer des dispositions claires et non équivoques sur le « droit d'audit », prévoyant le droit d'auditer les
opérations du vendeur (par exemple, l'accès aux installations, l'accès aux dossiers, le droit de faire des copies,
l'accès au personnel, la fourniture de fichiers informatisés) dans la mesure où elles sont liées aux services
contractuels.

Veiller à ce que le contrat prévoie des dispositions adéquates en matière de continuité des activités et de
récupération après sinistre, ainsi que des tests appropriés.

Établir que la confidentialité, l'intégrité et la disponibilité (parfois appelée triade CIA) des données appartenant à
l'entreprise
85 doivent être maintenues, et établir clairement la propriété des données.
PRATIQUES ET STRATÉGIES D'EXTERNALISATION

Exiger du fournisseur qu'il se conforme à toutes les exigences légales et réglementaires pertinentes, y compris celles qui ont
été adoptées après l'entrée en vigueur du contrat.

Établir la propriété de la propriété intellectuelle développée par le fournisseur pour le compte du client

Établir des périodes de garantie et d'entretien claires

Prévoir des dispositions relatives au séquestre des logiciels

Protéger les droits de propriété intellectuelle

Respecter la législation

Établir clairement les rôles et les responsabilités des parties

Exiger que le fournisseur respecte les politiques de l'entreprise, y compris en matière d'information

Respecter la politique de sécurité de l'entreprise (à moins que les politiques du fournisseur n'aient été préalablement
approuvées par l'entreprise)

Exiger du fournisseur qu'il identifie toutes les relations de sous-traitance et demander l'approbation de l'entreprise pour
changer de sous-traitant
86
PRATIQUES ET STRATÉGIES DE MONDIALISATION

L'auditeur SI peut contribuer à ce processus en veillant à ce que la direction des TI

prenne en compte les risques et les problèmes d'audit suivants lors de la définition
de la stratégie de mondialisation et de la transition vers des sites délocalisés à
distance :
• Questions juridiques, réglementaires et fiscales
• Continuité des opérations
• Personnel
• Questions relatives aux télécommunications
• Questions transfrontalières et interculturelles
• Mondialisation et/ou expansion importante planifiée.
87
EXTERNALISATION ET RAPPORTS D'AUDIT DE
TIERS
Un auditeur SI doit être familiarisé avec les éléments suivants :
• Les assertions de la direction et la mesure dans laquelle elles répondent
aux services fournis par le fournisseur de services
• Rapports SSAE 18 (rapports SOC 1, SOC 2 et SOC 3)
• Des rapports d'audit supplémentaires de tiers, tels que des tests de
pénétration et des évaluations de la sécurité. Remarque : Les évaluations
par des tiers doivent être effectuées par des tiers indépendants, objectifs et
compétents.
• Comment obtenir le rapport, l'examiner et présenter les résultats à la
direction pour qu'elle prenne les mesures qui s'imposent ?

88
GOUVERNANCE DU NUAGE INFORMATIQUE
(CLOUD)
Veiller à ce que les technologies de l'information soient Les politiques
alignées sur les activités de l'entreprise, à ce que les doivent être
systèmes soient sécurisés et à ce que les risques soient modifiées ou
gérés est un défi dans n'importe quel environnement et développées pour
encore plus complexe dans le cadre d'une relation avec une prendre en compte le
processus
tierce partie. d'approvisionnement,
Les activités de gouvernance classiques telles que la de gestion et
d'interruption de
définition des objectifs, le développement de politiques et de
l'utilisation des
normes, la détermination des rôles et responsabilités et la services en nuage
gestion des risques, doivent inclure des considérations informatique (cloud).
spéciales lorsque l’entreprise se tourne vers l’informatique en
nuage (cloud) et ses fournisseurs.

89
GOUVERNANCE EN CAS D’EXTERNALISATION
Assurer la viabilité du contrat par un examen et une amélioration continus et un
bénéfice pour les deux parties.

Inclure un calendrier de gouvernance explicite dans le contrat.

Gérer la relation pour s'assurer que les obligations contractuelles sont respectées par
le biais d'accords de niveau de service (ANS) et d'accords de niveau d'exploitation
(ANE).

Identifier et gérer toutes les parties prenantes, leurs relations et leurs attentes.

Définir clairement les rôles et les responsabilités en matière de prise de décision, de

remontée des problèmes, de gestion des litiges, de gestion de la demande et de
prestation de services.

Affecter les ressources, les dépenses et la consommation de services en fonction des

besoins prioritaires.

Évaluer en permanence les performances, les coûts, la satisfaction des utilisateurs et

l'efficacité.
90
Communiquer en permanence avec toutes les parties prenantes.
SUIVI ET GESTION DES SERVICES TIERS

Surveiller Gérer
• Niveaux de performance • Changements dans l'entreprise
• Rapports de service • Changements dans les services aux tiers
• Incidents de sécurité • Modifications de l'emplacement physique
• Pistes d'audit et enregistrements des des installations de service
événements liés à la sécurité, des • Changements de fournisseurs ou de
problèmes opérationnels, des sous-traitants
défaillances, de la traçabilité des pannes
et des interruptions liées au service fourni
• Résoudre et gérer tout problème identifié

91
 CONTRÔLE ET RAPPORTS SUR LES
PERFORMANCES DES TECHNOLOGIES DE
L'INFORMATION

92
CONTRÔLE ET RAPPORTS SUR LES
PERFORMANCES DES TECHNOLOGIES
DE L'INFORMATION
Contribution de l'entreprise, y compris, mais sans
s'y limiter, les données financières
Performances par rapport au plan stratégique de
l'entreprise et des technologies de l'information
Risque et respect des réglementations
Satisfaction des utilisateurs internes et externes en
ce qui concerne les niveaux de service
Processus des TI clés, y compris la fourniture de
solutions et de services
Activités tournées vers l'avenir (par exemple,
technologies émergentes, infrastructures
réutilisables,
93
compétences du personnel des
entreprises et des TI)
OPTIMISATION DES PERFORMANCES

Il existe toute une série de méthodes d'amélioration et d'optimisation

qui complètent les approches simples développées en interne. Cela
peut comprendre :
• Méthodologies d'amélioration continue, telles que le cycle PDCA
• Les meilleures pratiques globales, telles que l'ITIL
• Des cadres, tels que COBIT

94
LA MÉTHODE PDCA

• Établir les objectifs et Agir • Étudier les résultats Corriger

les processus de l'étape « Agir », en
nécessaires pour • Mettre en œuvre le recherchant les écarts • Analyser les écarts et
obtenir les résultats plan, en collectant des par rapport aux demander des actions
souhaités. données à des fins de résultats souhaités. correctives.
représentation
graphique et
d'analyse.
Planifier Vérifier
OUTILS ET TECHNIQUES

• Une approche quantitative de l'analyse des processus, de la réduction des

Six Sigma défauts et de l'amélioration

Tableau de bord prospectif • Une technique d'évaluation de la gestion des processus qui peut être appliquée
équilibré des TI efficacement pour évaluer les fonctions et les processus informatiques.

• Une mesure qui détermine dans quelle mesure un processus permet d'atteindre
ICP un objectif.

• Une approche systématique de la comparaison des performances des entreprises

Benchmarking avec celles de leurs concurrents pour apprendre des méthodes

• L'analyse approfondie et la refonte des processus d'entreprise afin d'établir une

BPR structure plus performante et de réaliser des économies

• Le processus de diagnostic visant à établir les origines des événements afin que
Analyse de la cause première des contrôles puissent être mis en place pour s'attaquer à ces causes

• Évaluation du cycle de vie, du coût du cycle de vie et de l'analyse des avantages

Coût-bénéfice du cycle de vie afin de déterminer l'orientation stratégique des systèmes informatiques
 ACTIVITÉ

En tant qu'auditeur SI, si vous deviez examiner le

domaine de l'approvisionnement en nuage
informatique (cloud), que feriez-vous pour
déterminer l'alignement ?
 QUESTION À DÉBATTRE

Lors de l'examen d'un système de gestion de la

qualité (SGQ), l'auditeur SI doit
PREMIÈREMENT se concentrer sur la collecte
de preuves démontrant que :
A. les systèmes de gestion de la qualité (SGQ) sont
conformes aux bonnes pratiques ;
B. les objectifs d'amélioration continue font l'objet
d'un suivi ;
C. les procédures opérationnelles standard des
technologies de l'information sont mises à jour
chaque année ;
D. des indicateurs clés de performance (ICP) sont
définis.
TABLEAU DE BORD PROSPECTIF ÉQUILIBRÉ DES TI

Le tableau de bord prospectif équilibré des TI (BSC) est une technique d'évaluation de la
direction qui peut être appliquée au processus EGIT.
Il va au-delà de l'évaluation financière traditionnelle en mesurant les éléments suivants :
• Satisfaction du client (ou de l'utilisateur)
• Processus opérationnels internes
• Capacité d'innover
TABLEAU DE BORD PROSPECTIF ÉQUILIBRÉ DES TI (SUITE)

Les objectifs du Tableau de bord prospectif équilibré des TI servent à :

• Établir une méthode pour que la direction rende compte au conseil d'administration.
• Favoriser le consensus entre les parties prenantes sur les objectifs stratégiques des technologies
de l'information.
• Démontrer l'efficacité des technologies de l'information.
• Faciliter la communication sur les performances, les risques et les capacités des technologies de
l'information.
EXEMPLE DE TABLEAU DE BORD PROSPECTIF
ÉQUILIBRÉ DES TI
Tableau de bord prospectif équilibré des TI
générique
Contribution à l’entreprise
Comment la direction perçoit-elle le
département des TI ?
Mission
Obtenir une contribution raisonnable des
investissements dans les TI à l'activité de
l'entreprise
Cause
Objectifs
Alignement entre l'entreprise et les Effet
technologies de l'information Orientation future
Orientation de l'utilisateur Valeur ajoutée Dans quelle mesure les technologies de
Comment les utilisateurs perçoivent-ils le Gestion des coûts l'information sont-elles en mesure de
département des TI ? Gestion des risques répondre aux besoins futurs ?
Mission
Mission
Être le fournisseur privilégié de systèmes
Développer des opportunités pour répondre
d'information Tableau de bord aux défis futurs
Objectifs
Fournisseur privilégié d'applications et prospectif équilibré des TI Objectifs
Formation et éducation du personnel
d'opérations
informatique
Partenariat avec les utilisateurs
Expertise du personnel informatique
Satisfaction des utilisateurs
Excellence opérationnelle Recherche sur les technologies émergentes
Quelle est l'efficacité et l'efficience des
processus des TI ?
Mission
Fournir des applications et des services de
TI efficaces et efficients
Objectifs
Des développements efficaces et efficients
Des opérations efficaces et efficientes
Un niveau de maturité des processus
informatiques

Source : ISACA, IT Governance Domain Practices and Competencies (pratiques et compétences dans le domaine de la gouvernance des
technologies de l'information) : Measuring and Demonstrating the Value of IT, États-Unis, 2005, figure 7
 ACTIVITÉ

Vous avez été chargé(e) d'évaluer la manière

dont les ressources de TI sont classées et
gérées. Au cours des entretiens, vous vous
rendez compte que des repères et des mesures
spécifiques n'ont pas été établis concernant les
points suivants :
• Compétences et expérience du personnel
• Orientation de l'externalisation des services de TI

En l'absence d'indicateurs de performance clés

définis, quels sont les problèmes susceptibles de
survenir lors de la gestion des prestataires de
services externalisés ?
 QUESTION À DÉBATTRE

Lequel des éléments suivants est le plus

important à prendre en compte dans le cadre
d'un audit SI lorsqu'une entreprise externalise un
système d'évaluation de la solvabilité des clients
auprès d'un fournisseur de services tiers ? Le
fournisseur :
A. prétend respecter ou dépasser les normes de
sécurité de l'industrie ;
B. accepte d'être soumis à des contrôles de sécurité
externes ;
C. jouit d'une bonne réputation sur le marché en
matière de service et d'expérience ;
D. respecte les politiques de sécurité de l'entreprise.
 QUESTION À DÉBATTRE

Avant de mettre en place un tableau de bord

prospectif équilibré des TI (BSC), une entreprise
doit :
A. fournir des services efficaces et efficients ;
B. définir des indicateurs de performance clés ;
C. apporter une valeur ajoutée aux projets
informatiques ;
D. contrôler les dépenses informatiques.
 ASSURANCE QUALITÉ ET GESTION DE LA
QUALITÉ DES TECHNOLOGIES DE L'INFORMATION

105
ASSURANCE QUALITÉ

Assurance Contrôle
qualité qualité

10
6
GESTION DE LA QUALITÉ.

Les domaines de contrôle de la gestion de la qualité peuvent inclure :

• Développement, maintenance et mise en œuvre de logiciels
• Acquisition de matériel et de logiciels
• Opérations quotidiennes
• •Gestion des services
• Sécurité
• Direction RH
• Administration générale

10
7
 ACTIVITÉ

De nombreux logiciels de la société ABC ne sont

pas conformes aux directives européennes sur la
protection de la vie privée. En outre, de
nombreux logiciels présentent de nombreuses
vulnérabilités en matière d'injection et de scripts
intersites.
Quelle est la meilleure façon de remédier à ces
vulnérabilités ?
 QUESTION À DÉBATTRE

Un auditeur SI effectue un examen du processus

de gestion de la qualité des logiciels au sein
d'une entreprise. La PREMIÈRE mesure devrait
être :
A. vérifier comment l'entreprise respecte les
normes ;
B. identifier et signaler les contrôles actuellement en
place ;
C. examiner les paramètres pour l'évaluation de la
qualité ;
D. demander toutes les normes qui ont été adoptées
par l'entreprise.
 QUESTIONS PRATIQUES

110
 QUESTION PRATIQUE

Une gouvernance des TI efficace garantit que le

plan des TI est cohérent avec celui de
l'entreprise :
A. Plan d’affaires.
B. Plan d’audit.
C. Plan de sécurité.
D. Plan d'investissement.

111
 QUESTION PRATIQUE

La responsabilité de la gouvernance des TI

incombe :
A. Au comité de stratégie des TI.
B. Au directeur des systèmes d’information.
C. Au comité d’audit.
D. Au conseil d'administration.

112
 QUESTION PRATIQUE

Lors de l'élaboration d'une architecture de

sécurité, laquelle des étapes suivantes doit être
exécutée EN PREMIER ?
A. Élaboration de procédures de sécurité
B. Définir une politique de sécurité
C. Spécifier une méthodologie de contrôle d'accès
D. Définir les rôles et responsabilités

113
 PASSAGE EN REVUE DES
QUESTIONS

L'avantage PRINCIPAL d'une initiative

d'architecture d'entreprise est de :
A. Permettre à l'entreprise d'investir dans la
technologie la plus appropriée.
B. Veiller à ce que des contrôles de sécurité
soient mis en œuvre sur les plates-formes
critiques.
C. Permettre aux équipes de développement
d'être plus réactives aux besoins de
l'entreprise.
D. Donner aux unités commerciales une plus
grande autonomie pour sélectionner les
solutions de TI qui répondent à leurs besoins. 114
 PASSAGE EN REVUE DES
QUESTIONS

Un auditeur SI est chargé d'examiner les

structures et les activités de TI récemment
externalisées auprès de divers fournisseurs.
Lequel des éléments suivants l'auditeur SI doit-il
déterminer EN PREMIER ?
A. Une clause d'audit est présente dans tous les
contrats.
B. L'accord de niveau de service de chaque contrat
est étayé par des indicateurs de performance clés
appropriés.
C. Les garanties contractuelles des fournisseurs
répondent aux besoins de l'entreprise.
D. À la fin du contrat, l'assistance est garantie par
chaque sous-traitant pour les nouveaux sous-
traitants.
115
REVUE DU DOMAINE 2
En tant qu'auditeur des systèmes d’information, vous devriez
maintenant être capable de :
• Évaluer l'alignement de la stratégie informatique sur les stratégies et les
objectifs de l'entreprise.
• Évaluer l'efficacité de la structure de gouvernance des technologies de
l'information et de la structure organisationnelle des TI.
• Évaluer les politiques et les pratiques de l'entreprise en matière de gestion
des technologies de l'information.
• Évaluer les politiques et les pratiques de l'entreprise en matière de gestion
des technologies de l'information pour s'assurer qu'elles sont conformes
aux exigences réglementaires et légales.
• Évaluer la gestion des ressources et des portefeuilles des TI pour s'assurer
qu'ils sont alignés sur les stratégies et les objectifs de l'entreprise.
• Évaluer les politiques et les pratiques de l'entreprise en matière de gestion
des risques.
• Évaluer la gestion des TI et le suivi des contrôles.
REVUE DU DOMAINE 2
• Évaluer le suivi et l'établissement de rapports sur les indicateurs clés de
performance (ICP) en matière de technologies de l'information.

• Évaluer si les processus de sélection des fournisseurs informatiques et de

gestion des contrats sont conformes aux exigences de l'entreprise.

• Évaluer si les pratiques de gestion des services informatiques

correspondent aux exigences de l'entreprise.

• Procéder à un examen périodique des systèmes d'information et de

l'architecture d'entreprise. Évaluer les politiques et les pratiques de
gouvernance des données.

• Évaluer le programme de sécurité de l'information afin de déterminer son

efficacité et son adéquation avec les stratégies et les objectifs de
l'entreprise.

• Évaluer les opportunités et les menaces potentielles liées aux technologies

émergentes, aux réglementations et aux pratiques du secteur.