Vous êtes sur la page 1sur 10

Rsum

Pour justifier et planifier leurs dpenses informatiques, les directions des systmes dinformation sont depuis longtemps conduites valuer et auditer leur systmes dinformation et plus particulirement leurs applications informatiques. Les sites web dvelopps par les entreprises sont devenus des applications cruciales, voire stratgiques, linstar des sites de e commerce. !ans cette communication, nous proposons une mt"odologie daudit spcifique pour lvaluation dun site web, quelle que soit sa nature. #ette mt"odologie est fonde sur un modle "irarc"ique multicritre. Laudit du site web est ralis en procdant lvaluation de la qualit de ce site en fonction dun nombre limit de critres. $ous analysons les difficults particulires lies ce type daudit, notamment dues au nombre de ses utilisateurs et leur localisation. $ous dgageons une dmarc"e spcifique inspire de laudit dune application classique. $ous illustrons notre approc"e sur un cas rel. %nfin, les voies de rec"erc"e future sont dcrites. Mots clefs : &udit dune application, site web, site de e commerce, critre dvaluation.

Audit dun site web Une dmarche structure

Jacky AKOKA
Professeur #%!/'#, #onservatoire $ational des &rts et 0tiers 1#$&02 et 'nstitut $ational des ,lcommunications 343 /ue *aint 0artin, 56778 P&/'* #ede), 9/&$#% (33) (1) 40.27.24.07

akoka@cnam fr

Isabelle COMYN-WATTIAU
Professeur #%!/'#, #onservatoire $ational des &rts et 0tiers 1#$&02 et 'nstitut $ational des ,lcommunications et %**%#: 343 /ue *aint 0artin, 56778 P&/'* #ede), 9rance :; avenue <ernard =irsc" 4673; #%/>? #ede) 9rance (33) (1) 55.80.87.14

wattiau@cnam fr
Abstract
'nformation systems investment cost "as been recogni(ed by many as e)pensive. &s a consequence, information system officers are confronted wit" t"e problem of justifying and evaluating t"is investment. *everal web sites and e commerce applications "ave been developed recently, are considered to be crucial, and play a strateguc role in organi(ations today. +e present in t"is paper a met"odology allowing management, users, and information systems professionals to evaluate a web site application. ,"e underlying model of t"e met"odology is a "ierarc"ical tree defined as a finite set of nodes related to audit domains evaluated using a limited number of audit criteria.,"e audit process ta-es into account t"e c"aracteristics of t"e web site suc" as t"e number of users, t"eir geograp"ical dispersion, etc. .ur met"odology is built on t"e premise t"at auditing web site application can be performed by adapting an approac" applied to standard application auditing. & real life e)ample illustrates our met"odology. Key-words: &pplication audit, web site, e commerce site, evaluation criteria.

Audit dun site web Une dmarche structure @ac-y &A.A& et 'sabelle #.0?$ +&,,'&B

;. !ntroduction
#est sans relle planification que les entreprises ont t amenes concevoir et mettre en Cuvre des sites web, permettant a minima de diffuser linformation relative leurs produits et services et, le cas c"ant, de servir de canal de vente et mDme de distribution. #es sites sont des applications informatiques, souvent conEues sans mt"ode structure. La maintenance de ces applications est rendue plus difficile, notamment en raison de deu) facteurs F la ncessit de faire voluer constamment le contenu des sites, la difficult remanier des applications conEues de faEon non systmatique. Le site web devient lpine dorsale du systme dinformation, vital au bon fonctionnement de lentreprise. #ette dernire doit tout moment sassurer de ladquation de son systme dinformation sa stratgie et de sa contribution lui octroyer un avantage comptitif. !ans ce but, laudit dun site web permet une valuation des forces et faiblesses de ce dernier. Le processus daudit dun site web ne se limite pas quelques donnes statistiques sur le nombre de visiteurs, les c"ecs de conne)ions, le dcompte des intrusions, etc. 'l inclut non seulement les aspects tec"nologiques F temps de rponse, fiabilit, disponibilit, etc, mais aussi les aspects managriau), notamment organisationnels, "umains et financiers. Pour prendre en compte lensemble de ces aspects, nous proposons une mt"odologie fonde sur lanalyse "irarc"ique multicritre permettant lvaluation du site web vis vis dun ensemble e)"austif de critres, tels ladquation au) besoins, la scurit, la convivialit, la performance, lvolutivit, la rentabilit, etc. #"acun de ces critres peut Dtre lui mDme dcompos en sous critres. &insi la scurit peut Dtre dcompose en confidentialit et intgrit. %valuer lintgrit ncessite de tester lensemble des vulnrabilits de lapplication. & un niveau terminal, c"aque sous critre correspond un contrGle daudit mener. Lapproc"e "irarc"ique multicritre permet, laide de lvaluation de c"aque critre final, dobtenir une valuation globale du site web H&-o-a et al., ;44IJ. La mt"odologie 'nfauditor a t dfinie de faEon gnrale pour auditer lensemble du systme dinformation dune entreprise. %lle comprend, en particulier, une arborescence dvaluation dune application informatique. Lobjectif principal de cette communication est de montrer comment adapter cette arborescence au) applications particulires que sont les sites web. 'l ne sagit pas seulement de prsenter une tude descriptive. 'l sagit pour lessentiel dadapter une mt"odologie gnrale daudit des systmes dinformation au cas particulier de lvaluation dun site web. $otre dmarc"e sinscrit dans la problmatique gnrale de laudit. #e dernier ne consiste pas seulement e)aminer un produit 1dans notre cas un site web2 en vue de)primer une opinion sur ses caractristiques attendues, mais aussi procder un e)amen approfondi des dispositifs de contrGle

interne mis en place pour sassurer de la minimisation des dysfonctionnements. $otre mt"odologie propose un ensemble de contrGles internes mis la disposition du management et des auditeurs. %lle sinscrit donc dans la problmatique du contrGle interne permettant lvaluation des risques afin de les maKtriser. Le reste de ce papier est organis comme suit. !ans la deu)ime partie, nous prsentons un tat de lart. La troisime partie est consacre au rappel des concepts de base de laudit dun systme dinformation. !ans la quatrime partie, nous dcrivons la mt"odologie 'nfauditor daudit dune application informatique. !ans la cinquime partie, nous illustrons cette dmarc"e laide dun cas rel. *ur la base de ce cas, nous proposons un ensemble dadaptations de notre dmarc"e gnrale au problme particulier de laudit dun site web, quelle que soit sa nature. %nfin, la dernire partie conclut et prsente quelques pistes de rec"erc"e future.

3. "tat de lart
'l e)iste quelques travau) relatifs laudit des systmes dinformation H#"amplain et al., ;44L M *avolainen, ;444J. #es travau) sont caractriss par une approc"e gnrique de laudit des *'. &insi, la dmarc"e la plus rpandue dans les entreprises est #.<', 1#ontrol .<jectives for 'nformation and related ,ec"nology2 H#obit, ;44IJ. %lle est oriente processus dinformatisation et diffuse par l'*&#& 1'nformation *ystems &udit and #ontrol &ssociation2. $otre mt"ode 'nfauditor analyse le systme dinformation, domaine par domaine, selon un ensemble de critres dfini lavance H&-o-a et al., ;44IJ. #es deu) mt"odes permettent ainsi dauditer tous les processus dinformatisation pour #.<',, et tous les domaines dun systme dinformation pour 'nfauditor, notamment les applications oprationnelles. %n revanc"e, il e)iste ce jour peu de travau) sur laudit des sites web, en termes de systmes dinformation. Les travau) qualifis daudit de site web se concentrent principalement sur lanalyse des flu) et des statistiques associs lutilisation du site H"ttpFNNwww.ipro.comJ. !anna et Laroc"e proposent une mt"ode didentification des profils des utilisateurs au moyen dun algorit"me de classification floue des accs recenss dans les journau) denregistrement du site H!anna et al.J. @ames Lewin propose une dmarc"e daudit et dvaluation de site web HLewinJ. Les critres retenus sont la prsentation, larc"itecture, la visibilit, laccessibilit, lutilisabilit, ladquation du contenu, linteractivit, lintgrit et la conformit au) lois. Bne dmarc"e particulire en ce qui concerne les aspects juridiques est prsente dans HOerbiest et al.J. !es"pande dcrit succinctement une dmarc"e daudit de site web, fonde sur les tapes suivantes F i2 recueil dinformations, ii2 entretiens avec les fonctionnels, iii2 entretiens avec les informaticiens, iv2 entretiens avec les utilisateurs, v2 tests tec"niques H!es"pande et al., 3773J. $otons aussi des tentatives de standardisation par le +8# 1+orld +ide +eb #onsortium2 et '%%%377; qui sont autant de rfrentiels utiles dans laudit des sites web. %nfin, des critres de qualit de sites sont proposs dans H.lsina et al., 377; M *iegel M http://www.indimensions.comJ.

Audit dun site web Une dmarche structure @ac-y &A.A& et 'sabelle #.0?$ +&,,'&B

& notre connaissance, il ne)iste pas de mt"odologie spcifique laudit dun site web. $otre interprtation des P best practices Q nous amne assimiler un site web une ou plusieurs applications. %n consquence, nous pouvons adapter la mt"odologie 'nfauditor pour laudit dune application, celle dun site web. #est prcisment lobjet des paragrap"es qui suivent.

-2 l2 m2

les systmes dinformation fonctionnels 1mar-eting, ressources "umaines, logistique, etc.2, les procdures organisationnelles, la fonction systme dinformation.

8. #audit dun syst$me

dinformation
Le but dune mission daudit est de permettre lauditeur de se forger une opinion sur la contribution du systme dinformation la ralisation des objectifs de lentreprise. Pour cela, il doit vrifier que le systme dinformation renforce les objectifs de contrGle interne de lorganisation. & cette fin, il doit rec"erc"er et obtenir les informations fiables et pertinentes lui permettant de tirer des conclusions raisonnables sur ltat du systme dinformation. *on jugement doit de plus tenir compte des facteurs tels que les caractristiques de lorganisation, de son systme dinformation et du risque daudit in"rent tout jugement. #e risque peut Dtre impact par des lments tels que F

#"aque domaine peut Dtre dcompos en sous domaines, par e)emple, laudit de la scurit informatique comprend dune part la scurit p"ysique et dautre part la scurit logique. Bn domaine lmentaire peut Dtre valu au moyen dun test daudit dfinir.

% ' #es crit$res daudit


Pour satisfaire les objectifs de lentreprise, les domaines prcdents doivent obir un certain nombre de)igences qualifies de critres. $ous proposons la "irarc"ie de critres suivante F

n2 o2 p2

les e)igences de qualit qui lefficacit et la performance,

incluent

a2 b2 c2 d2

la nature et les caractristiques du systme dinformation audit, la comple)it des tec"nologies utilises pour la conception, le dveloppement et la mise en Cuvre de ce dernier, le biais possible des acteurs impliqus dans le processus 1audit, auditeur, prescripteur, etc.2, le)prience de lauditeur.

les e)igences en termes de scurit comprenant notamment la co"rence, la scurit, la conformit et la fiabilit, les e)igences de lisibilit, parmi lesquelles nous classons la faisabilit, lauditabilit et lvolutivit H&-o-a et al., 377;J.

&vant de dmarrer une mission dvaluation dun systme dinformation, lauditeur doit valider auprs de son commanditaire le ou les domaines auditer et le ou les critres retenus pour valuer le systme. Ltape suivante consiste gnrer larborescence daudit, cest dire lensemble des nCuds des domaines retenus. Pour permettre une valuation globale, c"aque nCud de cette arborescence est affect dun poids. La note dvaluation dun nCud, par e)emple la scurit p"ysique dun systme dinformation, rsulte de la somme pondre des notes calcules lors de lvaluation de c"acun des sous domaines de la scurit p"ysique. &u niveau lmentaire, cest lauditeur qui, au vu des rsultats du test daudit, affecte une note et une apprciation au nCud terminal correspondant. Bn e)emple partiel darborescence est donn figure ;. & c"aque niveau, un seul nCud est dploy. Les valeurs numriques figurant sur les arcs sont les poids de c"aque nCud dans lvaluation de leur nCud parent.

Laudit du systme dinformation inclut ltude des lments critiques de ce dernier, savoir les mt"odes de dveloppement, la maintenance des applications, la qualit des logiciels, la scurit du systme, sa documentation, etc. Pour organiser et structurer le processus daudit, nous avons dfini deu) concepts principau) F les domaines daudit et les critres.

% & #es domaines daudit


,out systme dinformation comporte deu) dimensions principales, la dimension tec"nologique et la dimension organisationnelle et managriale. La notion de domaine permet daffiner ces deu) dimensions. &insi, laudit de la dimension tec"nologique comprend lvaluation de F

e2 f2 g2 "2 i2 j2

la scurit informatique, le)ploitation, des projets informatiques, des applications, et des rseau). et

Laudit de la dimension organisationnelle managriale contient les domaines suivants F la stratgie des systmes dinformation,

Audit dun site web Une dmarche structure @ac-y &A.A& et 'sabelle #.0?$ +&,,'&B

&udit dune application 7.3 7.3 7.3 9iabilit 7.76 7.76 7.; 7.; 7.;

9igure ;.

&dquation *curit au) besoins

!ocumen 0aintena #o"rence Performance /entabilit tation bilit

vrifier que lapplication rpond au) besoins rels de ses utilisateurs, quelle sintgre "armonieusement dans les procdures de lentreprise et quelle satisfait ses utilisateurs. Ladquation au) besoins comprend sept sous domaines ou critres F Le degr de satisfaction, qui peut Dtre mesur laide dun questionnaire. .utre lvaluation de ce degr, la synt"se des rponses au questionnaire permet aussi de cibler les sous domaines de lapplication qui semblent les plus critiques. Latteinte des objectifs F ce sous domaine peut Dtre audit en rapproc"ant lapplication des diffrents documents pralables sa mise en place et ses ventuelles volutions, ca"ier des c"arges, additifs, etc. Le)istence de procdures parallles F il est frquent que linsatisfaction des utilisateurs ou leur manque de confiance ou les limites de lapplication aient conduit les acteurs mettre en place des procdures parallles, par e)emple des re calculs manuels ou sur tableur, des transmissions de bordereau) de confirmation, etc. La dtection de ce type de procdure

est un lment important de lvaluation de cette application. La documentation F il ne sagit pas dvaluer la documentation en gnrale, mais l adquation de la documentation au) besoins des utilisateurs. %st elle suffisante, claire et dactualit U La performance du service F l encore, on nvalue pas la performance de faEon absolue, mais le niveau de performance obtenu en regard des attentes de lutilisateur. 'l convient pour cela de mesurer les dlais de restitution ou de rponse, mais aussi les dlais de mise jour de lapplication au travers, par e)emple, du nombre de demandes de modifications en attente de ralisation. La convivialit des postes de travail F on mesure lergonomie de linterface, lagencement ais et performant des menus et des tapes dinteraction avec lapplication. Le degr dobsolescence F permet de vrifier que les fonctionnalits de lapplication sont toujours dactualit.

7.3

7.3

7.3

7.;

7.;

7.;

7.;

!egr de &tteinte des Procdures &dquation Performance !egr dobso #onvivialit satisfaction objectifs parallles documentation !u service lescence &rborescence daudit dune application Lavantage de la mt"odologie 'nfauditor est quelle permet daborder lanalyse de faEon structure. !e plus, elle peut Dtre adapte aisment des domaines particuliers ou des situations spcifiques, soit en amnageant larborescence, soit en modifiant les poids. !ans la partie suivante, nous dcrivons de faEon plus prcise laudit dune application avant de lappliquer laudit dun site web. cette application. Les audits dapplication sont aussi utiliss par les cabinets de conseil pour valuer le patrimoine informatique dune filiale ac"eter par e)emple. La dcision de recourir un progiciel de gestion intgre peut rsulter de laudit dune application juge arc"aTque. <ref, ce type dopration est trs frquent. !isposer dune mt"ode structure permettant dauditer et dvaluer une application, quelle quelle soit, est un atout prcieu). !ans 'nfauditor, nous proposons dvaluer le domaine correspondant une application selon les "uit critres suivants F adquation besoins, fiabilit, qualit de la documentation, co"rence, performance, maintenabilit, rentabilit. a2 &dquation au) besoins Ladquation au) besoins consiste au)

R.

Audit dune a((lication

'l est frquent quun auditeur soit amen valuer une application. &insi, ds quun problme dinsatisfaction des utilisateurs, de temps de rponse trop long, de maintenance coSteuse, de fiabilit, etc., se produit, lapplication informatique est rapidement mise en cause par ses utilisateurs et peut conduire la direction des systmes dinformation ou le directeur du service utilisateur effectuer ou commander un audit de

scurit logique,

b2
logique

*curit

Audit dun site web Une dmarche structure @ac-y &A.A& et 'sabelle #.0?$ +&,,'&B

'l e)iste un grand nombre de tec"niques de scurisation des logiciels, en termes de confidentialit par le contrGle des accs en lecture et en termes dintgrit par le contrGle des accs au) donnes en criture. La scurit logique dune application peut Dtre divise en cinq aspects F le contrGle des accs F lauditeur vrifiera que laccs lapplication nest possible quau) personnes autorises et quen particulier les procdures didentification et daut"entification ne sont pas contournes, que les mots de passe sont rgulirement modifis, etc. Le contrGle la saisie F il permet lintgrit des donnes. 'l peut Dtre test par lauditeur qui tentera dintroduire des donnes aberrantes et vrifiera quelles sont effectivement rejetes, mais aussi que les procdures de contrGle sont efficaces en termes de temps de rponse. Le contrGle des traitements F l encore, il sagit dintgrit des donnes. .n vrifiera par une srie de tests que les calculs sont conformes au) attentes, quil ny a ni problme de)actitude, ni erreur darrondi, ni aucune autre imprcision. Le contrGle rsultats F diffrentes des

tec"niques 1totalisation, vraisemblance, c"antillonnage2 sont combiner pour sassurer de le)actitude des rsultats produits par lapplication. La prennit des donnes et des traitements F elle est lie la mise en place de sauvegardes rgulires.

Dtre disponibles, adaptes et jour.

e2

#o"rence

La co"rence de lapplication peut Dtre mesure par rapport un rfrentiel interne ou e)terne. %lle consiste sassurer que lapplication rpond au) standards en termes de mt"ode de conception, de dveloppement et de maintenance.

moyen de cette application. #es bnfices doivent Dtre dgrevs des coSts de)ploitation et de maintenance de lapplication. Lensemble des critres prcdents sont regroups sous forme darborescence multicritre pondre. #est cette arborescence que nous nous proposons dadapter au cas particulier dun site web. & priori, un site web peut Dtre assimil une application informatique. %n consquence, la dmarc"e prcdente peut sembler adquate dans la ralisation dun audit de site web. $anmoins, il e)iste un ensemble de diffrences entre une application classique et un site web. !ans la suite, nous proposons danalyser ces diffrences et dadapter la dmarc"e 'nfauditor laudit dun site web.

f2

Performance

c2

9iabilit

Laudit de la fiabilit dune application consiste vrifier quil e)iste des procdures de gestion et de suivi des incidents et den mesurer lefficacit. #et audit comprend deu) lments principau) F Le suivi des incidents F il sagit de sassurer de le)istence dune procdure de suivi des incidents au travers des documents gnrs lors de son e)cution. Lvaluation de la fiabilit au travers de grandeurs de rfrence F les trois grandeurs "abituelles sont le dlai moyen entre incidents, le dlai moyen de service et la dure moyenne des incidents. #es valeurs sont rapproc"er dun rfrentiel interne ou e)terne.

Lauditeur est amen conduire des tests sur lapplication pour vrifier que les temps de rponse sont satisfaisants et que lapplication na pas dimpact ngatif sur lensemble du systme dinformation, ce qui peut Dtre le cas par e)emple si elle consomme toutes les ressources matrielles disponibles.

g2

0aintenabilit

La facilit de maintenance dune application est value par interview des informaticiens responsables deffectuer les volutions logicielles, tant en termes de maintenance corrective que de maintenance volutive.

6. Audit dun

site web
La mt"odologie daudit dcrite ci dessus a t applique lvaluation dun site web ayant pour objet la mise en ligne de loteries. Laudit a t ralis au moyen dentretiens dtaills. Les rsultats ont t compars avec le ca"ier des c"arges de lapplication. La stratgie de cette entreprise est fonde sur lutilisation des tec"nologies de linformation et de la communication, ainsi que sur le renouvellement de ses jeu). Le site 'nternet complte les autres outils dinformation utiliss 1tlvision, radio, etc.2. !ans le futur, le site 'nternet sera utilis galement

"2

/entabilit

d2

Vualit de la documentation Par documentation, on entend les trois manuels ncessaires respectivement lutilisation, le)ploitation et la maintenance de lapplication. #es trois documentations doivent

Le dveloppement de lapplication a ncessit un investissement dont il faut valuer la rentabilit, cest dire le retour sur investissement. Les informations relatives cet aspect financier sont parfois disponibles dans ltude pralable etNou ltude de faisabilit. !ans la plupart des cas, ils nont pas t mis jour. Laudit complet de lapplication doit aussi tenir compte de cet aspect en valuant les bnfices raliss au

Audit dun site web Une dmarche structure @ac-y &A.A& et 'sabelle #.0?$ +&,,'&B

dans les relations commerciales avec les dtaillants. #"aque mois, environ RL777 conne)ions sont enregistres dans ce site. #ertaines fonctionnalits prvues dans le ca"ier des c"arges, telles que les "istoriques des rapports et des tirages, la rec"erc"e des points de vente et les jeu) gratuits sont encore raliser. Laudit avait pour but de vrifier si ces fonctionnalits reprsentent un vrai besoin sur ce marc", si le site correspond au) attentes e)primes dans le ca"ier des c"arges et sil e)iste dautres besoins non e)plors.

)R!*"R"+ Ad0uation au1 besoins Degr de satisfaction

,-!.*+ /-R*+

L7 L6W des utilisateurs se dclarent satisfaits La rec"erc"e par mot cl est efficace La navigation est juge conviviale

Objectifs atteints Procdures parallles Documentation Performance du service

.n peut dclarer que les objectifs globau) sont atteints &ucune procdure nXest utilise

LXutilisation du site est ren

%lle est juge trs bonne. 'l nXy a pas de file continu. Le serveur est actuellement suffi

onvivialit Degr d!obsolescence

%lle est value positivem Bne commission ad "oc se runit rgulirement pour vrifier la mise en Cuvre des procdures de mise jour

a2

#es rsultats +curit ontr"les # la saisie

La mt"odologie 'nfauditor a t applique ce cas rel. Pour valuer c"acun des nCuds de larborescence, c"aque point a t rapproc" des objectifs du ca"ier des c"arges. ,outefois, nous ne pouvons donner ici tous les dtails. $ous nous contentons donc de synt"tiser les rsultats de laudit dans un tableau. Pour rendre le propos plus prcis, nous ne faisons pas figurer les notes mais plutGt les apprciations lies c"aque nCud.

Plusieurs contrGles automatiss e)istent

ontr"le des traitements

'l e)iste plusieurs niveau) de contrGle et des procdures sous forme de c"ec- list

Audit dun site web Une dmarche structure @ac-y &A.A& et 'sabelle #.0?$ +&,,'&B

ontr"le des rsultats /iabilit $uivi des incidents

%esure des incidents

2ocumentation

)ohrence

,erformance Maintenabilit Rentabilit

b2

2iscussion

La mt"odologie 'nfauditor savre applicable un site web. %lle permet une approc"e structure et une valuation systmatique des diffrents aspects importants relatifs au site web. ,outefois, cette e)primentation et la revue de la littrature nous conduisent proposer certains amnagements de la mt"odologie 'nfauditor pour ce type trs spcifique dapplication. Par e)emple, la notion de procdure parallle est trs difficile mettre en application. !ans un site de commerce lectronique, peut on considrer que lac"eteur qui utilisera un autre canal de vente que le site web utilise une procdure parallle U .ui, dans la mesure oZ cela peut reflter un manque de confiance dans la transaction lectronique. $on, sil ne dispose pas de ce moyen de

connus, mais par le requiert biais dun le)ploitation des questionnaire on journau) 1fic"iers line, enric"i dune P log Q2. #est une analyse statistique t[c"e biencrite plus 'l e)iste une procdure de suivi de ces incidents, ainsi quXune documentation listant les sur le journal de consquente que le suivi des accs au suivi dincidents site. dapplications Le dlai de 3 8 "eures pour remonter le serveur en prsence duclassiques. web master est jug court. Les utilisateurs La performance du sont pour la plupart e)ternes site web est, elle lorganisation. Le aussi, comple)e site web est une valuer. !une application part, il faut la ouverte, plus mesurer Le site de dveloppement est spar du site vulnrable. La diffrents en e)ploitation scurit de cette moments, par application sera e)emple laide de 'l e)iste des documents internes rsumant routines les normes en vigueur donc considrer avec dautant plus spcifiques. &cceptable de vigilance. !autre part, il faut prendre en compte *atisfaisante .n ne peut la performance des Le coSt est infrieur au support papier gnralement pas diffrentes limiter Le coSt des ressources "umaines est limitle site web applications une application. appeles et la Laccs par un performance des utilisateur un site rseau) 1'ntranet et va impacter commercer avec 'nternet2 sur plusieurs lentreprise. #et aspect lesquels transitent applications, nest pas majeur dans les interactions. lapplication de laudit dune La qualit de la gestion des accs, application. Pourtant, documentation lapplication de cest un moyen de diffre en ce qui gestion du contenu, mesurer la satisfaction concerne la les modules de des utilisateurs. documentation scurit du *', etc. ,lus 3nralement4 utilisateur. %n Laudit du site web (lusieurs lments effet, celle ci est doit concerner diffrencient un site compltement en toutes les web dune a((lication ligne, intgre applications relies informati0ue linterface travers ce site. classi0ue : utilisateur. La La plupart des sites convivialit de la le nombre proposent deu) documentation est dutilisateurs est modes daccs F un troitement lie gnralement trs mode public sans celle de lev, leur profil contrGle didentit, lapplication et peut Dtre fournissant une inversement. e)trDmement vari, information limite La maintenabilit leur comportement et un mode du site web est un et leurs besoins P priv Q aspect important. sont trs diffrents. ncessitant une $otons que #es particularits aut"entification et, lapplication vont rendre plus le cas c"ant, un correspondante est comple)e paiement plus sujette lvaluation de lectronique. #ette maintenance ladquation au) particularit quune application besoins. La augmente la classique F son satisfaction des vulnrabilit du contenu volue utilisateurs devra site face au) parfois d"eure en Dtre mesure intrusions et "eure. ,outefois, laide de moyens impacte laudit de des outils de spcifiques, non la scurit de cette gestion de contenu plus sur la base application. peuvent Dtre dun c"antillon La mesure de la utiliss pour dutilisateurs fiabilit du site

Audit dun site web Une dmarche structure @ac-y &A.A& et 'sabelle #.0?$ +&,,'&B

faciliter cette mise jour. .n considrera donc quun site qui utilise astucieusement de tels outils a une maintenabilit largement suprieure. La rentabilit dun site web mesure le rapport entre linvestissement consenti pour son dveloppement et sa maintenance avec les bnfices lis son e)ploitation. !ans ces bnfices, il convient dvaluer pour les sites marc"ands la part de marc" atteinte via ce crneau de commercialisation. .n mesure de plus lefficacit du service au client rendu par le moyen des conseils en ligne, des moteurs de rec"erc"e intgrs au site, etc. %nfin, le rfrencement du site est un critre important dvaluation de son adquation au) besoins, mais aussi de sa rentabilit. 'l convient de mesurer ce rfrencement et de pallier les lacunes ventuelles, par e)emple par le moyen daccords commerciau). Le risque daudit est lev dans la mesure oZ il nest pas possible dinterroger un grand nombre dutilisateurs, ni mDme \ dans de nombreu) cas \ de connaKtre ces utilisateurs.

Les aspects juridiques deviennent cruciau) dans ces systmes dinformation ouverts. #est un critre supplmentaire considrer dans laudit. %n particulier, le nom du site ne doit pas Dtre sujet rclamation par des tiers. Les te)tes, images, sons intgrs dans le site doivent Dtre conformes au droit de la proprit intellectuelle. Le site ne doit pas contenir de lien vers des sites dont le contenu est illgal. Pour se protger de rclamations lies au contenu informationnel, le site doit contenir une clause e)onratoire de responsabilit. $ous ne mentionnons ici que quelques lments parmi lensemble des rgles de droit au)quelles tout site 'nternet est soumis H<reese, 3777J. & la lumire de ces diffrences, la dmarc"e daudit dune application adapte un site web ncessite plusieurs types de transformations F ;] la modification de certains tests daudit F & titre de)emple, citons la vrification de le)istence de procdures parallles, la mesure du degr de satisfaction des utilisateurs, lvaluation de la fiabilit, de la performance ou encore de la rentabilit du site web qui donnent lieu des mt"odes

spcifiques de conduite de tests. 3] la modification des poids de larborescence F La scurit et la maintenabilit doivent Dtre pondres de faEon plus importante que dans les applications classiques. 8] lamnagement de larborescence F & titre dillustration, nous proposons lajout dun nCud &frencement du site pour valuer ladquation au) besoins de ce dernier. !e la mDme faEon, nous proposons lajout dun nCud onformit au' lois situ au premier niveau de larborescence daudit dapplication. Les limites de notre approc"e de laudit dun site web sont celles de la mt"odologie d ^analyse "irarc"ique multicritre, et donc d'nfauditor. %lle impose une connaissance pralable de lensemble des critres pouvant intervenir dans lvaluation dun site web. !e plus elle ncessite le regroupement de ces critres des niveau) dagrgation appropris. %nfin, elle requiert une pondration de ces critres adapts au site web considr et au) objectifs poursuivis par les responsables de ce site. Pour faire face ces limites, nous faisons appel notre e)prience dauditeurs ainsi quau) P best practices Q des entreprises.

!ans cet article, nous avons prsent une dmarc"e structure daudit dun site web. !ans un premier temps, nous avons dfini les concepts relatifs laudit dun systme dinformation. Puis nous avons propos une mt"odologie daudit dune application. #ette dernire, appele 'nfauditor, est fonde sur un modle "irarc"ique multicritre formant une arborescence pondre daudit. $ous avons appliqu cette dmarc"e laudit dun site web rel, puis nous avons montr les diffrences importantes e)istant entre une application classique et un site web. 9ondes sur cette e)prience, nous avons propos des adaptations de notre dmarc"e daudit dapplication afin de tenir compte des spcificits dun site web. Le rsultat constitue une dmarc"e autonome et structure daudit dun site web, quil sagisse dune vitrine, dun portail ou dun site de e commerce. Plusieurs voies de rec"erc"e future sont possibles F ladaptation de cette dmarc"e gnrique des types particuliers de sites web, le)primentation large de notre dmarc"e sur plusieurs sites diffrents et comple)es, la comparaison avec lapproc"e #.<',, la mise au point dun outil dautomatisation de lapproc"e.

I.

)onclusion s et recherche future

Audit dun site web Une dmarche structure @ac-y &A.A& et 'sabelle #.0?$ +&,,'&B

5.

Rfrences

&-o-a @. et #omyn +attiau '. 1;44I2, P& Anowledge <ased *ystem for &uditing #omputer and 0anagement 'nformation *ystems () *'pert $+stems ,ith Applications, Ool ;;182, %lsevier *cience Ltd. &-o-a @. et #omyn +attiau '. 1377;2, P &uditing #omputer and 0anagement 'nformation *ystems () *nc+clopedia of -ibrar+ and .nformation $cience, &. Aent, Oolume IL, 0arcel !e--er, 'nc., $ew ?or-. &t(eni P., 0erialdo P., *indoni >. 1377;2, P +eb *ite %valuation \ 0et"odology and #ase *tudy Q, DA$,.$/0 ,or1shop) -ecture 2otes on omputer $cience, *pringer Oerlag. <reese P. 137772, P >uide juridique de l'nternet et du commerce lectronique Q, ollection *ntreprendre .nformati3ue, Ouibert. #"amplain @.@, +iley @. _ *ons, 1;44L2, P #ontrol *elf &ssesment and an &pplication in an 'nformation *ystems %nvironment Q, in Auditing .nformation $+stems, 'nc.

!anna %., &. Laroc"e, P &uditing +eb *ites Bsing ,"eir &ccess Patterns Q, "ttpFNNwww4.orgNfin al postersNposter36."t ml. !es"pande ?., #"andrarat"na &., >inige &. 137732, P +eb *ite &uditing \ 9irst *tep ,owards /e engineering Q, Proceedings of $*4*/5, pp 58; 585. Lewin @. , P +eb *ite &udit and %valuation Q, "ttpFNNwww.lewingr oup.com. .lsina L, Lafuente > et /ossi > 1377;2, P *pecifying Vuality #"aracteristics and &ttributes for +ebsites Q, in ,eb *ngineering %anaging Diversit+ and omple'it+ of ,eb Application Development, 0urugesan * and !es"pande ?, L$#* =ot ,opics 37;I, *pringer, pp 3II 35L. *avolainen O. 1;4442, P &nalysis of t"e !ynamic $ature of 'nformation *ystems Performance %valuation Q, in Perspectives of .nformation $+stems, *pringer Oerlag $ew ?or-, 'nc. *iegel !. 1;4452, P *ecrets of *uccessful +eb *ites Q, 2ew &iders, 'ndianapolis. Oerbiest ,., !. #assiers, P Laudit juridique dun site web Q, "ttpFNNwww.droit tec"nologie.org. P #.<', >uidelines &udit 1;44I2,

'nformation *ystems &udit and #ontrol 9oundation Q, &olling %eadows, 'L. P 0easuring +eb *ite ,raffic F Panel vs. &udit Q, 'NP/., "ttpFNNwww.ipro.co m. P +eb *ite &udit Q, .n D.%*2$.O2$

onsulting 6roup, "ttpFNNwww.indimen sions.com. Remerciements : $ous tenons remercier c"aleureusement les tudiants qui nous ont permis pour la mise en Cuvre de la mission daudit dcrite dans le paragrap"e R.