Vous êtes sur la page 1sur 8

Rsum

Pour justifier et planifier leurs dpenses


informatiques, les directions des systmes
dinformation sont depuis longtemps conduites
valuer et auditer leur systmes dinformation et
plus
particulirement
leurs
applications
informatiques. Les sites web dvelopps par les
entreprises sont devenus des applications cruciales,
voire stratgiques, linstar des sites de ecommerce. Dans cette communication, nous
proposons une mthodologie daudit spcifique pour
lvaluation dun site web, quelle que soit sa nature.
Cette mthodologie est fonde sur un modle
hirarchique multicritre. Laudit du site web est
ralis en procdant lvaluation de la qualit de ce
site en fonction dun nombre limit de critres. Nous
analysons les difficults particulires lies ce type
daudit, notamment dues au nombre de ses
utilisateurs et leur localisation. Nous dgageons
une dmarche spcifique inspire de laudit dune
application classique. Nous illustrons notre approche
sur un cas rel. Enfin, les voies de recherche future
sont dcrites.
Mots clefs :
Audit dune application, site web, site de ecommerce, critre dvaluation.

Abstract
Information systems investment cost has been
recognized by many as expensive. As a
consequence, information system officers are
confronted with the problem of justifying and
evaluating this investment. Several web sites and ecommerce applications have been developed
recently, are considered to be crucial, and play a
strateguc role in organizations today. We present in
this paper a methodology allowing management,
users, and information systems professionals to
evaluate a web site application. The underlying
model of the methodology is a hierarchical tree
defined as a finite set of nodes related to audit
domains evaluated using a limited number of audit
criteria.The audit process takes into account the
characteristics of the web site such as the number of
users, their geographical dispersion, etc. Our
methodology is built on the premise that auditing
web site application can be performed by adapting
an approach applied to standard application auditing.
A real-life example illustrates our methodology.
Key-words:
Application audit, web site, e-commerce site,
evaluation criteria.

Audit dun site web


Une dmarche
structure

Jacky AKOKA
Professeur
CEDRIC, Conservatoire National des Arts et
Mtiers (CNAM) et Institut National des
Tlcommunications
292 Rue Saint Martin, 75003 PARIS Cedex,
FRANCE
(33)(1)40.27.24.07

akoka@cnam.fr

Isabelle COMYN-WATTIAU
Professeur
CEDRIC, Conservatoire National des Arts et
Mtiers (CNAM) et Institut National des
Tlcommunications et ESSEC*
292 Rue Saint Martin, 75003 PARIS Cedex,
France
*1 avenue Bernard Hirsch 95021 CERGY
Cedex France
(33)(1)55.80.87.14

wattiau@cnam.fr

Audit dun site web Une dmarche structure


Jacky AKOKA et Isabelle COMYN-WATTIAU

1. Introduction
Cest sans relle planification que les entreprises ont t amenes
concevoir et mettre en uvre des sites web, permettant a
minima de diffuser linformation relative leurs produits et
services et, le cas chant, de servir de canal de vente et mme de
distribution. Ces sites sont des applications informatiques,
souvent conues sans mthode structure. La maintenance de ces
applications est rendue plus difficile, notamment en raison de
deux facteurs :
-

la ncessit de faire voluer constamment le contenu


des sites,

la difficult remanier des applications conues de faon


non systmatique.

Le site web devient lpine dorsale du systme dinformation,


vital au bon fonctionnement de lentreprise. Cette dernire doit
tout moment sassurer de ladquation de son systme
dinformation sa stratgie et de sa contribution lui octroyer un
avantage comptitif. Dans ce but, laudit dun site web permet
une valuation des forces et faiblesses de ce dernier.
Le processus daudit dun site web ne se limite pas quelques
donnes statistiques sur le nombre de visiteurs, les checs de
connexions, le dcompte des intrusions, etc. Il inclut non
seulement les aspects technologiques : temps de rponse,
fiabilit, disponibilit, etc, mais aussi les aspects managriaux,
notamment organisationnels, humains et financiers. Pour prendre
en compte lensemble de ces aspects, nous proposons une
mthodologie fonde sur lanalyse hirarchique multicritre
permettant lvaluation du site web vis--vis dun ensemble
exhaustif de critres, tels ladquation aux besoins, la scurit, la
convivialit, la performance, lvolutivit, la rentabilit, etc.
Chacun de ces critres peut tre lui-mme dcompos en souscritres. Ainsi la scurit peut tre dcompose en confidentialit
et intgrit. Evaluer lintgrit ncessite de tester lensemble des
vulnrabilits de lapplication. A un niveau terminal, chaque
sous-critre correspond un contrle daudit mener. Lapproche
hirarchique multicritre permet, laide de lvaluation de
chaque critre final, dobtenir une valuation globale du site web
[Akoka et al., 1996].
La mthodologie Infauditor a t dfinie de faon gnrale pour
auditer lensemble du systme dinformation dune entreprise.
Elle comprend, en particulier, une arborescence dvaluation
dune application informatique. Lobjectif principal de cette
communication est de montrer comment adapter cette
arborescence aux applications particulires que sont les sites web.
Il ne sagit pas seulement de prsenter une tude descriptive. Il
sagit pour lessentiel dadapter une mthodologie gnrale
daudit des systmes dinformation au cas particulier de
lvaluation dun site web. Notre dmarche sinscrit dans la
problmatique gnrale de laudit. Ce dernier ne consiste pas
seulement examiner un produit (dans notre cas un site web) en
vue dexprimer une opinion sur ses caractristiques attendues,
mais aussi procder un examen approfondi des dispositifs de
contrle interne mis en place pour sassurer de la minimisation
des dysfonctionnements. Notre mthodologie propose un
ensemble de contrles internes mis la disposition du
management et des auditeurs. Elle sinscrit donc dans la
problmatique du contrle interne permettant lvaluation des
risques afin de les matriser.

Le reste de ce papier est organis comme suit. Dans la deuxime


partie, nous prsentons un tat de lart. La troisime partie est
consacre au rappel des concepts de base de laudit dun systme
dinformation. Dans la quatrime partie, nous dcrivons la
mthodologie Infauditor daudit dune application informatique.
Dans la cinquime partie, nous illustrons cette dmarche laide
dun cas rel. Sur la base de ce cas, nous proposons un ensemble
dadaptations de notre dmarche gnrale au problme particulier
de laudit dun site web, quelle que soit sa nature. Enfin, la
dernire partie conclut et prsente quelques pistes de recherche
future.

2. Etat de lart
Il existe quelques travaux relatifs laudit des systmes
dinformation [Champlain et al., 1998 ; Savolainen, 1999]. Ces
travaux sont caractriss par une approche gnrique de laudit
des SI. Ainsi, la dmarche la plus rpandue dans les entreprises
est COBIT (Control OBjectives for Information and related
Technology) [Cobit, 1996]. Elle est oriente processus
dinformatisation et diffuse par lISACA (Information Systems
Audit and Control Association). Notre mthode Infauditor
analyse le systme dinformation, domaine par domaine, selon un
ensemble de critres dfini lavance [Akoka et al., 1996]. Ces
deux mthodes permettent ainsi dauditer tous les processus
dinformatisation pour COBIT, et tous les domaines dun systme
dinformation pour Infauditor, notamment les applications
oprationnelles.
En revanche, il existe ce jour peu de travaux sur laudit des sites
web, en termes de systmes dinformation. Les travaux qualifis
daudit de site web se concentrent principalement sur lanalyse
des flux et des statistiques associs lutilisation du site
[http://www.ipro.com]. Danna et Laroche proposent une mthode
didentification des profils des utilisateurs au moyen dun
algorithme de classification floue des accs recenss dans les
journaux denregistrement du site [Danna et al.]. James Lewin
propose une dmarche daudit et dvaluation de site web
[Lewin]. Les critres retenus sont la prsentation, larchitecture,
la visibilit, laccessibilit, lutilisabilit, ladquation du
contenu, linteractivit, lintgrit et la conformit aux lois. Une
dmarche particulire en ce qui concerne les aspects juridiques
est prsente dans [Verbiest et al.]. Deshpande dcrit
succinctement une dmarche daudit de site web, fonde sur les
tapes suivantes : i) recueil dinformations, ii) entretiens avec les
fonctionnels, iii) entretiens avec les informaticiens, iv) entretiens
avec les utilisateurs, v) tests techniques [Deshpande et al., 2002].
Notons aussi des tentatives de standardisation par le W3C (World
Wide Web Consortium) et IEEE2001 qui sont autant de
rfrentiels utiles dans laudit des sites web. Enfin, des critres de
qualit de sites sont proposs dans [Olsina et al., 2001 ; Siegel ;
http://www.indimensions.com].
A notre connaissance, il nexiste pas de mthodologie spcifique
laudit dun site web. Notre interprtation des best practices
nous amne assimiler un site web une ou plusieurs
applications. En consquence, nous pouvons adapter la
mthodologie Infauditor pour laudit dune application, celle
dun site web. Cest prcisment lobjet des paragraphes qui
suivent.

3. Laudit dun systme dinformation


Le but dune mission daudit est de permettre lauditeur de se
forger une opinion sur la contribution du systme dinformation

Audit dun site web Une dmarche structure


Jacky AKOKA et Isabelle COMYN-WATTIAU

la ralisation des objectifs de lentreprise. Pour cela, il doit


vrifier que le systme dinformation renforce les objectifs de
contrle interne de lorganisation. A cette fin, il doit rechercher et
obtenir les informations fiables et pertinentes lui permettant de
tirer des conclusions raisonnables sur ltat du systme
dinformation. Son jugement doit de plus tenir compte des
facteurs tels que les caractristiques de lorganisation, de son
systme dinformation et du risque daudit inhrent tout
jugement. Ce risque peut tre impact par des lments tels que :

a)

la nature et les
dinformation audit,

b)

la complexit des technologies utilises pour la


conception, le dveloppement et la mise en uvre de ce
dernier,

c)

le biais possible des acteurs impliqus dans le


processus (audit, auditeur, prescripteur, etc.),

d)

lexprience de lauditeur.

caractristiques

du

systme

Tout systme dinformation comporte deux dimensions


principales, la dimension technologique et la dimension
organisationnelle et managriale. La notion de domaine permet
daffiner ces deux dimensions. Ainsi, laudit de la dimension
technologique comprend lvaluation de :

e)
f)
g)
h)
i)

la scurit informatique,
lexploitation,
des projets informatiques,
des applications,
et des rseaux.

Laudit de la dimension organisationnelle et managriale contient


les domaines suivants :

j)

la stratgie des systmes dinformation,

les systmes dinformation fonctionnels (marketing,


ressources humaines, logistique, etc.),

l)
m)

les procdures organisationnelles,


la fonction systme dinformation.

Chaque domaine peut tre dcompos en sous-domaines, par


exemple, laudit de la scurit informatique comprend dune part
la scurit physique et dautre part la scurit logique. Un
domaine lmentaire peut tre valu au moyen dun test daudit
dfinir.

3.2. Les critres daudit


Pour satisfaire les objectifs de lentreprise, les domaines
prcdents doivent obir un certain nombre dexigences
qualifies de critres. Nous proposons la hirarchie de critres
suivante :

Laudit du systme dinformation inclut ltude des lments


critiques de ce dernier, savoir les mthodes de dveloppement,
la maintenance des applications, la qualit des logiciels, la
scurit du systme, sa documentation, etc. Pour organiser et
structurer le processus daudit, nous avons dfini deux concepts
principaux : les domaines daudit et les critres.

3.1. Les domaines daudit

k)

n)

les exigences de qualit qui incluent lefficacit et la


performance,

o)

les exigences en termes de scurit comprenant


notamment la cohrence, la scurit, la conformit et la
fiabilit,

p)

les exigences de lisibilit, parmi lesquelles nous


classons la faisabilit, lauditabilit et lvolutivit
[Akoka et al., 2001].

Avant de dmarrer une mission dvaluation dun systme


dinformation, lauditeur doit valider auprs de son
commanditaire le ou les domaines auditer et le ou les critres
retenus pour valuer le systme.
Ltape suivante consiste gnrer larborescence daudit, cest-dire lensemble des nuds des domaines retenus. Pour
permettre une valuation globale, chaque nud de cette
arborescence est affect dun poids. La note dvaluation dun
nud, par exemple la scurit physique dun systme
dinformation, rsulte de la somme pondre des notes calcules
lors de lvaluation de chacun des sous-domaines de la scurit
physique. Au niveau lmentaire, cest lauditeur qui, au vu des
rsultats du test daudit, affecte une note et une apprciation au
nud terminal correspondant. Un exemple partiel darborescence
est donn figure 1. A chaque niveau, un seul nud est dploy.
Les valeurs numriques figurant sur les arcs sont les poids de
chaque nud dans lvaluation de leur nud parent.
Figure 1. Arborescence daudit dune application

Audit
dune
application
0.2

0.2

Adquation
Scurit
aux besoins

0.2

0.2

0.2
Fiabilit

0.2

0.05

0.05

0.1

0.1

0.1

DocumenMaintenaCohrence Performance
Rentabilit
tation
bilit

0.1

0.1

0.1

0.1

Degr de Atteinte des Procdures Adquation Performance


Degr dobsoConvivialit
satisfaction objectifs parallles documentation Du service
lescence

Lavantage de la
mthodologie
Infauditor
est
quelle permet
daborder
lanalyse
de
faon structure.
De plus, elle
peut tre adapte
aisment des
domaines
particuliers ou
des
situations

spcifiques, soit en amnageant larborescence, soit en modifiant


les poids. Dans la partie suivante, nous dcrivons de faon plus
prcise laudit dune application avant de lappliquer laudit
dun site web.

4.

Audit dune application

Il est frquent quun auditeur soit amen valuer une


application. Ainsi, ds quun problme dinsatisfaction des
utilisateurs, de temps de rponse trop long, de maintenance
coteuse, de fiabilit, etc., se produit, lapplication informatique
est rapidement mise en cause par ses utilisateurs et peut conduire
la direction des systmes dinformation ou le directeur du service
utilisateur effectuer ou commander un audit de cette
application. Les audits dapplication sont aussi utiliss par les
cabinets de conseil pour valuer le patrimoine informatique dune

Audit dun site web Une dmarche structure


Jacky AKOKA et Isabelle COMYN-WATTIAU

filiale acheter par exemple. La dcision de recourir un


progiciel de gestion intgre peut rsulter de laudit dune
application juge archaque. Bref, ce type dopration est trs
frquent. Disposer dune mthode structure permettant dauditer
et dvaluer une application, quelle quelle soit, est un atout
prcieux.
Dans Infauditor, nous proposons dvaluer le domaine
correspondant une application selon les huit critres suivants :

adquation aux besoins,

scurit logique,

fiabilit,

qualit de la documentation,

cohrence,

performance,

maintenabilit,

rentabilit.
a)

Adquation aux besoins

Ladquation aux besoins consiste vrifier que lapplication


rpond aux besoins rels de ses utilisateurs, quelle sintgre
harmonieusement dans les procdures de lentreprise et quelle
satisfait ses utilisateurs. Ladquation aux besoins comprend sept
sous-domaines ou critres :

Le degr de satisfaction, qui peut tre mesur laide dun


questionnaire. Outre lvaluation de ce degr, la synthse
des rponses au questionnaire permet aussi de cibler les
sous-domaines de lapplication qui semblent les plus
critiques.
Latteinte des objectifs : ce sous-domaine peut tre audit en
rapprochant lapplication des diffrents documents
pralables sa mise en place et ses ventuelles volutions,
cahier des charges, additifs, etc.
Lexistence de procdures parallles : il est frquent que
linsatisfaction des utilisateurs ou leur manque de confiance
ou les limites de lapplication aient conduit les acteurs
mettre en place des procdures parallles, par exemple des
re-calculs manuels ou sur tableur, des transmissions de
bordereaux de confirmation, etc. La dtection de ce type de
procdure est un lment important de lvaluation de cette
application.
La documentation : il ne sagit pas dvaluer la
documentation en gnrale, mais l adquation de la
documentation aux besoins des utilisateurs. Est-elle
suffisante, claire et dactualit ?
La performance du service : l encore, on nvalue pas la
performance de faon absolue, mais le niveau de
performance obtenu en regard des attentes de lutilisateur. Il
convient pour cela de mesurer les dlais de restitution ou de
rponse, mais aussi les dlais de mise jour de lapplication
au travers, par exemple, du nombre de demandes de
modifications en attente de ralisation.
La convivialit des postes de travail : on mesure
lergonomie de linterface, lagencement ais et performant
des menus et des tapes dinteraction avec lapplication.

Le degr dobsolescence : permet de vrifier que les


fonctionnalits de lapplication sont toujours dactualit.

b)

Scurit logique

Il existe un grand nombre de techniques de scurisation des


logiciels, en termes de confidentialit par le contrle des accs en
lecture et en termes dintgrit par le contrle des accs aux
donnes en criture. La scurit logique dune application peut
tre divise en cinq aspects :
-

le contrle des accs : lauditeur vrifiera que laccs


lapplication nest possible quaux personnes autorises et
quen particulier les procdures didentification et
dauthentification ne sont pas contournes, que les mots de
passe sont rgulirement modifis, etc.

Le contrle la saisie : il permet lintgrit des donnes. Il


peut tre test par lauditeur qui tentera dintroduire des
donnes aberrantes et vrifiera quelles sont effectivement
rejetes, mais aussi que les procdures de contrle sont
efficaces en termes de temps de rponse.

Le contrle des traitements : l encore, il sagit dintgrit


des donnes. On vrifiera par une srie de tests que les
calculs sont conformes aux attentes, quil ny a ni problme
dexactitude, ni erreur darrondi, ni aucune autre
imprcision.

Le contrle des rsultats : diffrentes techniques


(totalisation, vraisemblance, chantillonnage) sont
combiner pour sassurer de lexactitude des rsultats
produits par lapplication.
-

c)

La prennit des donnes et des traitements : elle est


lie la mise en place de sauvegardes rgulires.
Fiabilit

Laudit de la fiabilit dune application consiste vrifier quil


existe des procdures de gestion et de suivi des incidents et den
mesurer lefficacit. Cet audit comprend deux lments
principaux :

Le suivi des incidents : il sagit de sassurer de lexistence


dune procdure de suivi des incidents au travers des
documents gnrs lors de son excution.

Lvaluation de la fiabilit au travers de grandeurs de


rfrence : les trois grandeurs habituelles sont le dlai
moyen entre incidents, le dlai moyen de service et la dure
moyenne des incidents. Ces valeurs sont rapprocher dun
rfrentiel interne ou externe.

d)

Qualit de la documentation

Par documentation, on entend les trois manuels ncessaires


respectivement lutilisation, lexploitation et la maintenance
de lapplication. Ces trois documentations doivent tre
disponibles, adaptes et jour.

e)

Cohrence

La cohrence de lapplication peut tre mesure par rapport un


rfrentiel interne ou externe. Elle consiste sassurer que
lapplication rpond aux standards en termes de mthode de
conception, de dveloppement et de maintenance.

f)

Performance

Audit dun site web Une dmarche structure


Jacky AKOKA et Isabelle COMYN-WATTIAU

Lauditeur est amen conduire des tests sur lapplication pour


vrifier que les temps de rponse sont satisfaisants et que
lapplication na pas dimpact ngatif sur lensemble du systme
dinformation, ce qui peut tre le cas par exemple si elle
consomme toutes les ressources matrielles disponibles.

g)

Maintenabilit

La facilit de maintenance dune application est value par


interview des informaticiens responsables deffectuer les
volutions logicielles, tant en termes de maintenance corrective
que de maintenance volutive.

h)

Rentabilit

Le dveloppement de lapplication a ncessit un investissement


dont il faut valuer la rentabilit, cest--dire le retour sur
investissement. Les informations relatives cet aspect financier
sont parfois disponibles dans ltude pralable et/ou ltude de
faisabilit. Dans la plupart des cas, ils nont pas t mis jour.
Laudit complet de lapplication doit aussi tenir compte de cet
aspect en valuant les bnfices raliss au moyen de cette
application. Ces bnfices doivent tre dgrevs des cots
dexploitation et de maintenance de lapplication.
Lensemble des critres prcdents sont regroups sous forme
darborescence multicritre pondre. Cest cette arborescence
que nous nous proposons dadapter au cas particulier dun site
web. A priori, un site web peut tre assimil une application
informatique. En consquence, la dmarche prcdente peut
sembler adquate dans la ralisation dun audit de site web.
Nanmoins, il existe un ensemble de diffrences entre une
application classique et un site web. Dans la suite, nous
proposons danalyser ces diffrences et dadapter la dmarche
Infauditor laudit dun site web.

5. Audit dun site web


La mthodologie daudit dcrite ci-dessus a t applique
lvaluation dun site web ayant pour objet la mise en ligne de
loteries. Laudit a t ralis au moyen dentretiens dtaills. Les
rsultats ont t compars avec le cahier des charges de
lapplication. La stratgie de cette entreprise est fonde sur
lutilisation des technologies de linformation et de la
communication, ainsi que sur le renouvellement de ses jeux. Le
site Internet complte les autres outils dinformation utiliss
(tlvision, radio, etc.). Dans le futur, le site Internet sera utilis
galement dans les relations commerciales avec les dtaillants.
Chaque mois, environ 48000 connexions sont enregistres dans
ce site. Certaines fonctionnalits prvues dans le cahier des
charges, telles que les historiques des rapports et des tirages, la
recherche des points de vente et les jeux gratuits sont encore
raliser. Laudit avait pour but de vrifier si ces fonctionnalits
reprsentent un vrai besoin sur ce march, si le site correspond
aux attentes exprimes dans le cahier des charges et sil existe
dautres besoins non explors.

a)

Les rsultats

La mthodologie Infauditor a t applique ce cas rel. Pour


valuer chacun des nuds de larborescence, chaque point a t
rapproch des objectifs du cahier des charges. Toutefois, nous ne
pouvons donner ici tous les dtails. Nous nous contentons donc
de synthtiser les rsultats de laudit dans un tableau. Pour rendre
le propos plus prcis, nous ne faisons pas figurer les notes mais
plutt les apprciations lies chaque nud.

Audit dun site web Une dmarche structure


Jacky AKOKA et Isabelle COMYN-WATTIAU

CRITERES

POINTS FORTS

POINTS FAIBLES

80 85% des utilisateurs se dclarent


satisfaits

Le moteur de recherche n'est pas complet

Adquation aux besoins


Degr de satisfaction

La recherche par mot-cl est efficace


La navigation est juge conviviale
Objectifs atteints
Procdures parallles

Les utilisateurs regrettent l'absence de contact par


email, de jeux gratuits et le manque d'information
didactique sur les jeux eux-mmes.

On peut dclarer que les objectifs globaux Il manque de ressources humaines et de temps pour
sont atteints
perfectionner le site
Aucune procdure n'est utilise

Documentation

L'utilisation du site est rendue aise par la navigation

Performance du service

Elle est juge trs bonne. Il n'y a pas de file d'attente. Un site miroir permet un "back up" continu.
Le serveur est actuellement suffisamment puissant, la bande passante aussi.

Convivialit

Elle est value positivement par tous les intervenants

Degr d'obsolescence

Une commission ad hoc se runit


rgulirement pour vrifier la mise en uvre
des procdures de mise jour

Les runions de la commission ne sont pas assez


formalises

Plusieurs contrles automatiss existent

Divers moyens de communication obligent une


double saisie (fax, email)

Scurit
Contrles la saisie

Il semble exister un manque de coordination entre


les entits internes de l'entreprise
On dplore une absence de suivi de la relation
client en cas d'erreur
Contrle des traitements

Il existe plusieurs niveaux de contrle et des


procdures sous forme de check-list

Contrle des rsultats

Le contrle n'est effectu que sur les nouvelles


pages
Il n'existe pas de contrle global.

Fiabilit
Suivi des incidents

Peu d'incidents sont dplorer


Il existe une procdure de suivi de ces incidents, ainsi qu'une documentation crite listant les
incidents possibles

Mesure des incidents

Le dlai de 2 3 heures pour remonter le serveur en prsence du web master est jug court.

Documentation

Une seule personne est responsable du systme


dans son ensemble
De ce fait, la documentation est limite.

Cohrence

Le site de dveloppement est spar du site en Le site a t lanc partir d'un prototype, sans la
exploitation
dfinition d'une mthode de suivi
Il existe des documents internes rsumant les
normes en vigueur

Performance

Acceptable

Maintenabilit

Satisfaisante

Audit dun site web Une dmarche structure


Jacky AKOKA et Isabelle COMYN-WATTIAU

Rentabilit

Le cot est infrieur au support papier

Les cots ne sont pas analyss sparment des frais


gnraux

Le cot des ressources humaines est limit

b)

La mthodologie Infauditor savre applicable un site web. Elle


permet une approche structure et une valuation systmatique
des diffrents aspects importants relatifs au site web. Toutefois,
cette exprimentation et la revue de la littrature nous conduisent
proposer certains amnagements de la mthodologie Infauditor
pour ce type trs spcifique dapplication. Par exemple, la notion
de procdure parallle est trs difficile mettre en application.
Dans un site de commerce lectronique, peut-on considrer que
lacheteur qui utilisera un autre canal de vente que le site web
utilise une procdure parallle ? Oui, dans la mesure o cela peut
reflter un manque de confiance dans la transaction lectronique.
Non, sil ne dispose pas de ce moyen de commercer avec
lentreprise. Cet aspect nest pas majeur dans laudit dune
application. Pourtant, cest un moyen de mesurer la satisfaction
des utilisateurs.
Plus gnralement, plusieurs lments diffrencient un site
web dune application informatique classique :

applications appeles et la performance des rseaux (Intranet


et Internet) sur lesquels transitent les interactions.

Discussion

La qualit de la documentation diffre en ce qui concerne la


documentation utilisateur. En effet, celle-ci est
compltement en ligne, intgre linterface utilisateur. La
convivialit de la documentation est troitement lie celle
de lapplication et inversement.

La maintenabilit du site web est un aspect important.


Notons que lapplication correspondante est plus sujette
maintenance quune application classique : son contenu
volue parfois dheure en heure. Toutefois, des outils de
gestion de contenu peuvent tre utiliss pour faciliter cette
mise jour. On considrera donc quun site qui utilise
astucieusement de tels outils a une maintenabilit largement
suprieure.

La rentabilit dun site web mesure le rapport entre


linvestissement consenti pour son dveloppement et sa
maintenance avec les bnfices lis son exploitation. Dans
ces bnfices, il convient dvaluer pour les sites marchands
la part de march atteinte via ce crneau de
commercialisation. On mesure de plus lefficacit du service
au client rendu par le moyen des conseils en ligne, des
moteurs de recherche intgrs au site, etc.

le nombre dutilisateurs est gnralement trs lev, leur


profil peut tre extrmement vari, leur comportement et
leurs besoins sont trs diffrents. Ces particularits vont
rendre plus complexe lvaluation de ladquation aux
besoins. La satisfaction des utilisateurs devra tre mesure
laide de moyens spcifiques, non plus sur la base dun
chantillon dutilisateurs connus, mais par le biais dun
questionnaire on-line, enrichi dune analyse statistique sur le
journal de suivi des accs au site.

Enfin, le rfrencement du site est un critre important


dvaluation de son adquation aux besoins, mais aussi
de sa rentabilit. Il convient de mesurer ce
rfrencement et de pallier les lacunes ventuelles, par
exemple par le moyen daccords commerciaux.

Les utilisateurs sont pour la plupart externes


lorganisation. Le site web est une application ouverte, plus
vulnrable. La scurit de cette application sera donc
considrer avec dautant plus de vigilance.

Le risque daudit est lev dans la mesure o il nest pas


possible dinterroger un grand nombre dutilisateurs, ni
mme dans de nombreux cas de connatre ces
utilisateurs.

On ne peut gnralement pas limiter le site web une


application. Laccs par un utilisateur un site va impacter
plusieurs applications, lapplication de gestion des accs,
lapplication de gestion du contenu, les modules de scurit
du SI, etc. Laudit du site web doit concerner toutes les
applications relies travers ce site.

Les aspects juridiques deviennent cruciaux dans ces


systmes dinformation ouverts. Cest un critre
supplmentaire considrer dans laudit. En particulier, le
nom du site ne doit pas tre sujet rclamation par des tiers.
Les textes, images, sons intgrs dans le site doivent tre
conformes au droit de la proprit intellectuelle. Le site ne
doit pas contenir de lien vers des sites dont le contenu est
illgal. Pour se protger de rclamations lies au contenu
informationnel, le site doit contenir une clause exonratoire
de responsabilit. Nous ne mentionnons ici que quelques
lments parmi lensemble des rgles de droit auxquelles
tout site Internet est soumis [Breese, 2000].

La plupart des sites proposent deux modes daccs : un


mode public sans contrle didentit, fournissant une
information limite et un mode priv ncessitant
une authentification et, le cas chant, un paiement
lectronique. Cette particularit augmente la
vulnrabilit du site face aux intrusions et impacte
laudit de la scurit de cette application.

La mesure de la fiabilit du site requiert lexploitation des


journaux (fichiers log ). Cest une tche bien plus
consquente que le suivi dincidents dapplications
classiques.
La performance du site web est, elle aussi, complexe
valuer. Dune part, il faut la mesurer diffrents moments,
par exemple laide de routines spcifiques. Dautre part, il
faut prendre en compte la performance des diffrentes

A la lumire de ces diffrences, la dmarche daudit dune


application adapte un site web ncessite plusieurs types de
transformations :
1 la modification de certains tests daudit :
A titre dexemple, citons la vrification de lexistence de
procdures parallles, la mesure du degr de satisfaction des
utilisateurs, lvaluation de la fiabilit, de la performance ou
encore de la rentabilit du site web qui donnent lieu des
mthodes spcifiques de conduite de tests.

Audit dun site web Une dmarche structure


Jacky AKOKA et Isabelle COMYN-WATTIAU

2 la modification des poids de larborescence :


La scurit et la maintenabilit doivent tre pondres de faon
plus importante que dans les applications classiques.
3 lamnagement de larborescence :
A titre dillustration, nous proposons lajout dun nud
Rfrencement du site pour valuer ladquation aux besoins de
ce dernier. De la mme faon, nous proposons lajout dun nud
Conformit aux lois situ au premier niveau de larborescence
daudit dapplication.
Les limites de notre approche de laudit dun site web sont celles
de la mthodologie d analyse hirarchique multicritre, et donc
dInfauditor. Elle impose une connaissance pralable de
lensemble des critres pouvant intervenir dans lvaluation dun
site web. De plus elle ncessite le regroupement de ces critres
des niveaux dagrgation appropris. Enfin, elle requiert une
pondration de ces critres adapts au site web considr et aux
objectifs poursuivis par les responsables de ce site. Pour faire
face ces limites, nous faisons appel notre exprience
dauditeurs ainsi quaux best practices des entreprises.

6.

Conclusions et recherche future

Dans cet article, nous avons prsent une dmarche structure


daudit dun site web. Dans un premier temps, nous avons dfini
les concepts relatifs laudit dun systme dinformation. Puis
nous avons propos une mthodologie daudit dune application.
Cette dernire, appele Infauditor, est fonde sur un modle
hirarchique multicritre formant une arborescence pondre
daudit. Nous avons appliqu cette dmarche laudit dun site
web rel, puis nous avons montr les diffrences importantes
existant entre une application classique et un site web. Fondes
sur cette exprience, nous avons propos des adaptations de notre
dmarche daudit dapplication afin de tenir compte des
spcificits dun site web. Le rsultat constitue une dmarche
autonome et structure daudit dun site web, quil sagisse dune
vitrine, dun portail ou dun site de e-commerce.
Plusieurs voies de recherche future sont possibles :

ladaptation de cette dmarche gnrique des types


particuliers de sites web,

lexprimentation large de notre dmarche sur plusieurs sites


diffrents et complexes,

la comparaison avec lapproche COBIT,

la mise au point dun outil dautomatisation de lapproche.

7.

Rfrences

Akoka J. et Comyn-Wattiau I. (1996), A Knowledge-Based


System for Auditing Computer and Management Information
Systems , Expert Systems With Applications, Vol 11(3),
Elsevier Science Ltd.
Akoka J. et Comyn-Wattiau I. (2001), Auditing Computer and
Management Information Systems , Encyclopedia of
Library and Information Science, A. Kent, Volume 68,
Marcel Dekker, Inc., New York.
Atzeni P., Merialdo P., Sindoni G. (2001), Web Site Evaluation
Methodology and Case Study , DASWIS01 Workshop,
Lecture Notes on Computer Science, Springer Verlag.
Breese P. (2000), Guide juridique de lInternet et du commerce
lectronique , Collection Entreprendre Informatique,
Vuibert.
Champlain J.J, Wiley J. & Sons, (1998), Control SelfAssesment and an Application in an Information Systems
Environment , in Auditing Information Systems, Inc.
Danna E., A. Laroche, Auditing Web Sites Using Their Access
Patterns , http://www9.org/final-posters/poster25.html.
Deshpande Y., Chandrarathna A., Ginige A. (2002), Web Site
Auditing First Step Towards Re-engineering , Proceedings
of SEKE02, pp 731-737.
Lewin
J. ,
Web
Site
http://www.lewingroup.com.

Audit

and

Evaluation ,

Olsina L, Lafuente G et Rossi G (2001), Specifying Quality


Characteristics and Attributes for Websites , in Web
Engineering Managing Diversity and Complexity of Web
Application Development, Murugesan S and Deshpande Y,
LNCS Hot Topics 2016, Springer, pp 266-278.
Savolainen V. (1999), Analysis of the Dynamic Nature of
Information Systems Performance Evaluation , in
Perspectives of Information Systems, Springer-Verlag New
York, Inc.
Siegel D. (1997), Secrets of Successful Web Sites , New
Riders, Indianapolis.
Verbiest T., D. Cassiers, Laudit juridique dun site web ,
http://www.droit-technologie.org.
COBIT Audit Guidelines (1996), Information Systems Audit
and Control Foundation , Rolling Meadows, IL.
Measuring Web Site Traffic : Panel vs. Audit , I/PRO,
http://www.ipro.com.
Web Site Audit , In DIMENSIONS Consulting Group,
http://www.indimensions.com.
Remerciements : Nous tenons remercier chaleureusement les
tudiants qui nous ont permis pour la mise en uvre de la
mission daudit dcrite dans le paragraphe 4.