Vous êtes sur la page 1sur 44

L’infogérance

2ème édition
Juin 2012

Copyright © 2012 par l’Institute of Internal Auditors, 247 Maitland Ave., Altamonte Springs, Floride, 32701-4201,
États-Unis. Tous droits réservés. Imprimé aux États-Unis. Aucune partie de cette publication ne peut être reproduite,
stockée dans un système de consultation ou transmise sous quelque forme que ce soit, ni par aucun moyen (électro-
nique, mécanique, reprographie, enregistrement ou autre) sans autorisation écrite préalable de l’éditeur.

L’IIA publie ce document à titre informatif et pédagogique. Cette publication entend donner des informations, mais
ne se substitue en aucun cas à un conseil juridique ou comptable. L’IIA ne fournit pas ce type de service et ne garantit,
par la publication de ce document, aucun résultat juridique ou comptable. En cas de problèmes juridiques ou comp-
tables, il convient de recourir à l’assistance de professionnels.
Contenu

Résumé ............................................................................................................................................................. 4

1. Introduction ........................................................................................................................................... 5

2. Types d’infogérance .............................................................................................................................. 7

3. Cycle de vie de l’infogérance : éléments à prendre en compte pour les risques et les contrôles . 10

4. Prestations d’infogérance : éléments à prendre en compte pour les risques et les contrôles ....... 19

Annexe A : Programme d'audit du cycle de vie de l’infogérance .............................................................. 33

Annexe B : Programme d'audit des prestations d’infogérance ................................................................. 37

Auteurs, relecteurs et contributeurs ............................................................................................................. 43

3
Résumé

Résumé même de détecter les risques informatiques et


de formuler des recommandations pour les
Ce Guide pratique d'audit des technologies de processus externalisés ?
l'information est consacré à l’infogérance. Il a pour • Quel rôle les équipes d'audit interne jouent-
objectif d'aider les responsables de l'audit interne elles durant la renégociation, la réintégration
(RAI) et leurs équipes à déterminer leur degré et le renouvellement des contrats d'externali-
d'implication lorsque les SI sont en tout ou partie sation ?
externalisés. Ce guide fournit des informations sur
les types d'infogérance, le cycle de vie de l'infogé-
rance et la façon dont les auditeurs internes peu-
vent appréhender les risques liés aux prestations
d'infogérance.

L’infogérance consiste à externaliser des fonctions


informatiques auparavant traitées en interne. Les
organisations sont de plus en plus incitées, pour
des raisons économiques, à externaliser une partie
des processus informatiques afin de se concentrer
sur leur cœur de métier. Dans le secteur public, la
fonction informatique est parfois externalisée
auprès d’un opérateur public, prestataire de ser-
vices. Tandis que certaines organisations ont
recours à un seul prestataire, d'autres font appel à
plusieurs infogérants (multi-sourcing) pour parve-
nir à un équilibre optimal entre prestataires
internes et externes pour la fourniture d'un éven-
tail de services opérationnels et informatiques. Le
multi-sourcing peut accroître la complexité.

Voici les principales questions à se poser


lorsqu’une mission d’audit des activités SI exter-
nalisées est envisagée :
• Dans quelle mesure les activités de contrôle
des SI externalisées sont-elles liées aux proces-
sus métier ?
• Les auditeurs internes participent-ils comme
il se doit au cycle de vie du processus d’exter-
nalisation ?
• Les auditeurs internes disposent-ils des
connaissances et de l’expérience suffisantes en
matière de SI pour prendre en compte les
risques et apporter une contribution adé-
quate ?
• Si les activités de contrôle des SI sont transfé-
rées à un prestataire de services informatiques,
ce dernier appréhende-t-il les rôles et les
attentes des parties prenantes de l'audit
interne ? Les auditeurs internes sont-ils à

4
GTAG – Introduction

1. Introduction 2. L'expérience du management dans les


domaines de l'externalisation d'activités com-
Les raisons d’externaliser les technologies de l’in- plexes et la gestion de projets importants.
formation à des prestataires de services sont nom- 3. L'implication d'autres fonctions telles que le
breuses – expertise, optimisation des coûts, gestion management des risques, la conformité ou
des capacités et des risques – mais la direction de d'autres prestataires internes d’assurance.
l'entité utilisatrice reste responsable des activités 4. La nature des activités de contrôle réalisées par
de contrôle et des résultats opérationnels. le prestataire de services informatiques.
5. Les attentes des principales parties prenantes
Les processus financiers et opérationnels cœur de de l'audit interne.
métier dépendent souvent de technologies exter-
nalisées. Lorsque les processus SI – tels que la Ce guide :
sécurité, la gestion du changement et les opéra- • Expose les risques courants liés à l'externalisa-
tions qui étayent les principaux processus métier tion des SI qui doivent être pris en compte par
– sont externalisés, l'auditeur interne peut être les RAI, ainsi que les mécanismes pour évaluer
amené à prendre en compte l'impact de l'externa- leur niveau de maîtrise.
lisation sur les activités de contrôle. Quelle visibi-
lité le prestataire de services donnera-t-il à l'entité Normes de Fonctionnement
utilisatrice sur ses activités de contrôle permanent?
Les technologies telles que le cloud computing faci- 2130 – Contrôle : L’audit interne doit aider l’organi-
litent la réalisation de la stratégie de l'entité utili- sation à maintenir un dispositif de contrôle approprié
satrice, mais peuvent limiter la capacité à rendre en évaluant son efficacité et son efficience et en
compte de l'efficacité des activités de contrôle. encourageant son amélioration continue.
2130.A1 – L'audit interne doit évaluer la pertinence
Selon la nature du processus externalisé, l'audit et l'efficacité du dispositif de contrôle choisi pour faire
interne peut évaluer le caractère adéquat et l'effi- face aux risques relatifs au gouvernement d'entre-
cacité des contrôles des systèmes d’information prise, aux opérations et systèmes d'information de
réalisés par un prestataire de services, conformé- l'organisation. Cette évaluation doit porter sur les
ment à la Norme 2130.A1 : Contrôle. En consé- aspects suivants :
quence, il lui est demandé de donner une • l’atteinte des objectifs stratégiques de l’organisa-
assurance sur le niveau de contrôle interne chez le tion.
prestataire de services. Les contrôles généraux des • la fiabilité et l'intégrité des informations finan-
SI font en effet partie intégrante de l'évaluation cières et opérationnelles.
des risques liés à la fiabilité de l’information, ainsi • l'efficacité et l'efficience des opérations et des
qu’à l’atteinte des objectifs opérationnels et de programmes.
conformité. • la protection des actifs.
• le respect des lois, règlements, règles, procédures
La complexité de la fonction SI, les évolutions et contrats.
technologiques et le degré d'expertise exigé
contraignent le RAI de l'entité utilisatrice à évaluer • Passe en revue les types les plus courants d'in-
les risques relatifs aux activités, à l'efficacité opé- fogérance et analyse les sept phases du cycle
rationnelle des contrôles réalisés par le prestataire de vie d’un projet d’infogérance :
de services. 1. Adéquation stratégique et évaluation de
l'infogérance.
L'implication de l'auditeur interne varie selon : 2. Processus de prise de décision et d’analyse
1. La capacité managériale et la structure de gou- préalable (business case).
vernance existantes pour gérer les risques 3. Processus d'appel d'offres et de contrac-
métier et SI. tualisation.

5
GTAG – Introduction

4. Mise en œuvre et transition.


5. Surveillance et remontée d’informations.
6. Renégociation.
7. Réversibilité.
• Fournit à l'entité utilisatrice des lignes direc-
trices sur les questions concernant les risques
et les contrôles lorsqu'elle décide d'externaliser
une fonction auprès d’un prestataire de ser-
vices informatiques.
• Fournit au prestataire de services des lignes
directrices sur les questions concernant les
risques et les contrôles liés aux prestations
d’infogérance.

L'annexe contient un programme d'audit du cycle


de vie et des prestations d’infogérance.

Ces lignes directrices sont propres aux risques et


aux processus liés à l’infogérance. Lorsque les
métiers sont interdépendants et qu’il existe des
relations « externes » et « étendues », les auditeurs
internes trouveront également des indications
utiles dans le Guide pratique intitulé « L’audit des
relations avec les partenaires externes ».

6
GTAG – Types d’infogérance

2. Types d’infogérance Le développement et la maintenance


d’applications
L'infogérance a évolué des services classiques
d’externalisation, tels que le développement d’ap- Lorsque le développement ainsi que des fonction-
plications et les services d’assistance informa- nalités ou modules spécifiques d'une application
tiques, vers des services spécialisés tels le sont externalisés, l’entité utilisatrice devrait donner
développement de produits, la R&D et le support la priorité à des sociétés de développement de
du parc informatique. Les organisations ne cessent logiciels possédant les compétences techniques et
d’externaliser les services de SI au fur et à mesure les connaissances et l'expérience leur permettant
des avancées technologiques. de répondre aux demandes clients. La program-
L'externalisation est souvent confondue avec la mation devrait être réalisée une fois la méthode
délocalisation. La différence entre les deux est la SDLC (software development life cycle – cycle de vie
suivante : du développement du logiciel) mise en place dans
Externalisation : Sous-traitance à un prestataire le cadre du processus qualité du prestataire de ser-
de services externe de la réalisation d’activités spé- vices. Dans certains accords, les phases de cette
cifiques à un métier ou de travaux nécessitant des méthode peuvent être spécifiées, surveillées et
connaissances particulières. gérées directement par l'entité utilisatrice. Les
Délocalisation : Déplacement d'activités aupara- besoins des utilisateurs ou le cahier des charges
vant gérées à l'échelle nationale. devraient être clairement définis dès les premières
étapes de la phase de développement. Le GTAG
Ce guide couvre l’infogérance, quelle que soit la « Audit des projets SI » recommande d’impliquer
localisation des SI. Toutefois, les risques liés aux les auditeurs internes :
prestataires nationaux et ceux liés aux prestataires • Pour fournir des conseils au fil des projets stra-
à l’étranger devraient être pris en compte dans le tégiques.
cadre d’une analyse préalable formalisée par un • Pour identifier précocement les principaux
business case. Ce guide ne s'applique pas aux acti- risques ou les problématiques importantes.
vités de délocalisation interne, quoique de nom-
breux aspects puissent être similaires. Dans la plupart des cas, le processus SDLC
Parmi les services informatiques les plus externa- s’achève lorsque les résultats de la recette utilisa-
lisés citons : teur (user acceptance testing) effectuée par le client
• Le développement et la maintenance d’appli- sont probants. Cependant, la responsabilité du
cations. prestataire de service peut s’arrêter à l’achèvement
• La gestion de l’infrastructure. des tests unitaires. Les phases de test des sys-
• Le help desk. tèmes, de test d’intégration et de recette utilisateur
• Les tests et validations indépendants. sont essentielles car elles garantissent que le sys-
• La gestion des centres de traitement de don- tème satisfait bien aux exigences du client. Les
nées. tests peuvent être effectués par l’équipe du client
• L’intégration de systèmes. ou conjointement par le client et le prestataire de
• La R&D. services. Dans les deux cas, les problèmes ou ano-
• La gestion de la sécurité. malies rencontrés lors de la phase de tests sont
• Le cloud computing. soumis au prestataire de services pour correction.

Les prestataires de services et les entités utilisa- La maintenance des applications existantes et la
trices peuvent employer une terminologie diffé- montée en version des applications devraient res-
rente pour les types de services externalisés. Ces pecter les recommandations des utilisateurs de
entités peuvent également externaliser un ou plu- processus métier et des parties prenantes. Ces
sieurs de ces services auprès de différents presta- recommandations peuvent porter sur des change-
taires. ments mineurs, tels que la création de nouveaux

7
GTAG – Types d’infogérance

champs ou rapports, ou importants, comme la de réaliser des tests spécialisés du système déve-
création d'un nouveau module. loppé pour en contrôler les performances, identi-
fier et suivre les erreurs ou problèmes de
La gestion de l’infrastructure programmation jusqu'à leur résolution.

Il s’agit des services visant à gérer et à maintenir La gestion des centres de traitement
l’infrastructure des SI. Ils englobent la gestion des de données
réseaux, le maintien des performances et de la dis-
ponibilité de l’infrastructure, les plans de secours À mesure que le nombre de branches, de fournis-
informatique, la résolution des erreurs, la mainte- seurs et de prestataires de services s’est multiplié
nance des bases de données et la gestion des sau- dans le secteur des SI, les attitudes à l’égard de
vegardes et leur restauration. D’autres services à l’externalisation ont changé. Son objectif est passé
valeur ajoutée apparus plus récemment peuvent de la simple réduction des coûts à la recherche
être classés dans cette catégorie : surveillance des d’une meilleure efficience opérationnelle, de pro-
activités liées à l’infrastructure des SI et gestion des duits spécialisés et d’une croissance dynamique.
capacités, analyse des pannes, notification des Les fournisseurs ont commencé à proposer des
défaillances critiques des systèmes et gestion des services spécialisés sur lesquels pouvaient s’ap-
conséquences. puyer de nombreux clients, quel que soit leur sec-
teur d’activité. C’est par exemple le cas des centres
Le help desk de traitement de données.

Tous les services de maintenance (gestion des inci- Aujourd’hui, ces centres fournissent généralement
dents, support à l’exploitation et gestion de l’in- les services suivants :
frastructure) peuvent être considérés comme des • Hébergement physique de mainframe, de parcs
services d’assistance (help desk). Le personnel du de serveurs et autres actifs informatiques.
prestataire de services assiste le client dans la réso- • Planification, spécification, achat, installation,
lution de divers problèmes informatiques sur site configuration, maintenance, montées de ver-
(dans les locaux du client) ou à distance (depuis sion et gestion du matériel, des logiciels et des
les locaux du prestataire de services). Les délais systèmes d’exploitation.
d’exécution (réaction et résolution) sont alors défi- • Surveillance continue des performances et de
nis pour chaque niveau de service. l’état de fonctionnement des serveurs.
• Gestion de la capacité des serveurs / main-
Pour se conformer aux niveaux de service, il est frames, notamment planification des capacités,
crucial de respecter les délais d’exécution et le répartition des charges, réglage et reconfigu-
niveau de qualité du service fourni. En outre, la ration.
direction détermine des attentes en termes de pro- • Développement de serveurs, installation et
cédures de surveillance, de mesure de perfor- montées de version d’applications conformé-
mance réelle ainsi que de comparaison avec les ment aux procédures de déploiement conve-
niveaux de services attendus. Enfin, les résultats nues entre le client et le prestataire de services.
de ces mesures, les déficiences et les actions cor- • Sauvegardes et restaurations.
rectives devraient faire partie des principaux cri- • Redémarrage des systèmes serveurs après un
tères d’évaluation des fournisseurs. sinistre, conformément aux délais d’exécution
adoptés.
Les tests et validations indépendants
L’intégration de systèmes
De nombreuses organisations externalisent les
services de tests et de validation des logiciels déve- Dans un environnement décentralisé, les activités
loppés en interne ou par un tiers. Il est nécessaire de diverses fonctions reposent sur des systèmes et

8
GTAG – Types d’infogérance

applications hétérogènes qui peuvent ne pas com- conseils en sécurité et services de sécurité infor-
muniquer. Les environnements décentralisés matique.
nécessitent davantage d'interventions humaines
pour les mises à jour des applications, l'élimina- En fonction des besoins du client, le contrat peut
tion des conditions de déséquilibre, les sources de mentionner la conception et l’utilisation d’une
données et la détection de résultats erronés. architecture sécurisée de bout-en-bout (consulta-
Les services d’intégration de systèmes impliquent tion sur la conception, installation, administration
le développement de scripts, de modules, d’outils des dispositifs de sécurité, gestion des utilisateurs
ou de programmes destinés à intégrer de multiples et support technique) ou inclure la gestion de
applications et systèmes. Ainsi, les applications fonctions de sécurité spécifiques sur un système
existantes peuvent communiquer entre elles sans particulier (surveillance d’un pare-feu, transmis-
problème, ce qui permet d’obtenir un système sion de données, filtrage des contenus, protection
unifié. L’intégration de systèmes présente des anti-virus, détection et réponse aux intrusions, et
contraintes dans la mesure où elle dépend de l'in- évaluations de la vulnérabilité du réseau).
teropérabilité et de l’exactitude des sources de
données. Le cloud computing

La R&D Le cloud computing fournit des ressources informa-


tiques évolutives et souvent virtuelles répondant
Pour s'adapter et innover afin de répondre aux ponctuellement au besoin d'un métier. Le cloud
besoins du marché tout en continuant à construire computing permet de bénéficier de serveurs, de
et à actualiser leurs bases de données décision- capacités de stockage et de puissance informatique
nelles (business intelligence), de nombreuses orga- sous forme de services plutôt que de produits. Les
nisations externalisent la recherche et le ressources, les logiciels et autres informations sont
développement de technologies, solutions, proces- fournis de façon dynamique sur un réseau, sou-
sus et systèmes divers. La recherche ainsi externa- vent Internet. Les types de prestations englobent
lisée porte également sur le recours à des le private cloud, le public cloud, l'hybrid cloud ou le
prestataires extérieurs qui effectuent les études de community cloud, ainsi qu'un ou plusieurs des ser-
marché visant à identifier les tendances et la réac- vices suivants : software-as-a-service (SaaS), infra-
tivité de secteurs clés pour certains produits. structure-as-a-service (IaaS) ou platform-as-a-service
(PaaS).
La gestion de la sécurité
Le cloud computing donne aux entreprises la flexi-
De nombreuses organisations externalisent leurs bilité pour s'adapter à leurs marchés et lancer des
services de sécurité. Ce domaine est également initiatives ou des programmes sans acheter ou
appelé « services externalisés de sécurité » (mana- maintenir des capacités informatiques onéreuses.
ged security services – MSS) car le prestataire de ser- Par ailleurs, le cloud computing permet de substituer
vices gère les exigences des tiers en matière de un modèle d'utilisation à la demande à des inves-
sécurité d’une organisation. Ces services supervi- tissements importants.
sent la sécurité de l’ensemble de l’infrastructure
informatique d’une organisation, de ses données
et de ses activités de gestion des utilisateurs. Cette
fonction est également connue sous le nom de
services de sécurité des liaisons Internet, externa-
lisation de la sécurité, services d’intelligence éco-
nomique, services de conseil en sécurité, services
de sécurité des réseaux, services de gestion de la
sécurité, services d’évaluation de la sécurité,

9
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

3. Cycle de vie de Adéquation stratégique et évaluation


l’infogérance : éléments de l'infogérance
à prendre en compte Comprendre le contexte et les facteurs détermi-
pour les risques et les nant l'adéquation stratégique du rôle joué par le
contrôles prestataire de services :
• Les stratégies organisationnelles sont-elles les
Pour l'entité utilisatrice principaux facteurs de la décision d'externali-
ser les SI ? Ou bien cette décision est-elle
Ce chapitre traite des risques et des étapes suivies motivée par une stratégie favorisant l'innova-
par la direction d’une entité qui externalise une tion et permettant aux métiers de trouver des
activité ou une fonction. La décision d'externaliser solutions innovantes exploitant les capacités
peut être liée à des aspects stratégiques ou tac- des SI sur le marché (qui ne peuvent être déve-
tiques de l’analyse préalable. Toutefois, avant de loppées en interne) ? La nature de la stratégie
s'engager dans l'externalisation, la direction d'externalisation - menée par l'organisation ou
devrait établir clairement les responsabilités, les par les SI - peut mettre en jeu différents
objectifs métier et l'alignement avec les plans stra- aspects de gouvernance et affecter la détermi-
tégiques. La décision d'externaliser devrait être nation et le suivi des responsabilités.
étayée par un « business plan » qui évalue le retour • Comprendre les principaux facteurs :
sur investissement et les risques sous-jacents des - La réduction des coûts grâce à des écono-
avantages projetés, notamment le risque lié à la mies d'échelle que le prestataire de services
mise en œuvre et à la transition. Trop souvent, les permet de réaliser.
risques liés à l'externalisation ne sont pas pleine- - Une amélioration de l’efficacité des proces-
ment pris en compte ni quantifiés de manière sus en exploitant le savoir-faire et les solu-
transparente. tions du prestataire de services.
- Les difficultés liées aux ressources
Cette section passe en revue le cycle de vie de l'ex- humaines / compétences, dans la mesure
ternalisation, le processus qui étaye la décision où le maintien et la gestion en interne de
d'externaliser, et les principales étapes d’interven- l’expertise informatique peuvent être com-
tion du management. Ces étapes sont les sui- plexes.
vantes : • Quelles sont les options existantes sur le
• Adéquation stratégique et évaluation de l'in- marché ?
fogérance. • Quel est le degré de maturité des capacités de
• Processus de prise de décision et analyse préa- l'entité utilisatrice et quelle expérience a-t-elle
lable. en matière d’infogérance ?
• Processus d'appel d'offres et conclusion du • L'organisation est-elle prête à tester (proof of
contrat. concept), à jouer le rôle de précurseur, ou est-
• Mise en œuvre et transition. ce trop risqué ?
• Surveillance et remontée d’informations. • Le nombre de prestataires de services, ou le
• Renégociation. taux de « survie des fournisseurs », est-il adé-
• Réversibilité. quat pour éviter de dépendre d'un seul pres-
tataire ?
Reportez-vous au Tableau 1 (à la fin de ce chapi- • Le processus a-t-il une importance stratégique
tre), qui détaille les risques liés à chaque étape et interdisant son externalisation ? Certaines acti-
l'implication potentielle des auditeurs internes en vités SI peuvent représenter un avantage
fonction des risques en jeu. concurrentiel primordial pour certaines orga-
nisations.
• La modélisation et la cartographie des proces-

10
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

sus métier ont-elles été développées pour éta- correspondre à l'appétence de l’entité pour le
blir l’expression des besoins, définir le périmè- risque. Prendre en compte les besoins en
tre et réaliser un benchmarking ? matière de gestion du changement. Comment
• Qui devrait commanditer l'analyse, être pro- créer un environnement interne qui permette
priétaire de la relation et participer à l'élabo- d'externaliser (par exemple par un change-
ration du « business plan » ? ment de politique, des procédures opération-
nelles et un soutien des infrastructures) ?
Éléments à prendre en compte pour l’audit
interne : Éléments à prendre en compte pour l’audit
• Évaluer le contexte stratégique et déterminer interne :
la fiabilité et l'exhaustivité du benchmarking et • Évaluer si les informations dans l'analyse
des autres informations de marché. détaillée sont fiables et prendre en compte
• Déterminer si des processus de gouvernance tous les risques métier et le risque lié à la mise
des SI adéquats existent pour guider les élé- en œuvre.
ments à prendre en compte pour l'externalisa- • Vérifier que les processus de gouvernance et
tion et l'alignement avec les objectifs d'approbation sont transparents, documentés
d'externalisation. Confirmer si l'implication et complets.
des parties prenantes et la propriété du pro- • Déterminer si les parties et les experts compé-
cessus sont claires et cohérentes. tents prennent part au processus d'évaluation.
• Prendre en compte le portefeuille clients du • Déterminer si les autres principales parties
prestataire de services, son expérience et sa prenantes sont tenues informées.
réputation de fiabilité. • Évaluer les plans de secours de la direction en
cas d'échec de l'externalisation à différentes
Processus de prise de décision – étapes.
Analyse préalable • Évaluer si les estimations d'échec et les
impacts / coûts probables sont pris en compte
L’externalisation devrait être une option pertinente dans le plan d'affaires ou dans la comparaison
à long terme et créatrice de valeur sur la base d'in- des options offertes par les différents presta-
formations et de projections fiables (c'est-à-dire taires.
que les risques devraient être compris). • Évaluer la sensibilité des coûts / avantages aux
• Élaborer une analyse préalable solide couvrant hypothèses.
les principaux risques et avantages. L'externa- • Identifier les principales mesures de perfor-
lisation peut être une solution pour gérer les mance et sources de données.
risques métier, ou peut générer des risques
métier nouveaux, mais les évaluations Processus d'appel d'offres et
devraient également couvrir les risques liés à conclusion du contrat
la mise en œuvre et les impacts probables en d’externalisation
cas d'échec.
• Veiller à ce que le commanditaire et les princi- Réaliser un appel d'offres, sélectionner les fournis-
pales parties prenantes soient impliqués et pris seurs et structurer une transaction conformément
en compte dans la décision finale. à l’analyse préalable :
• Envisager les autres options ou possibilités. La • Développer un périmètre détaillé des travaux
solution optimale devrait être retenue, mais il de façon à ce que les prestataires puissent faire
ne s'agit pas simplement de décider s'il faut ou une offre en connaissance de cause et souli-
non externaliser : de nombreux facteurs sont à gner les autres points pertinents.
prendre en compte. • Évaluer les offres en fonction de critères perti-
• Respecter les exigences fixées par la gouver- nents comme ceux qui sont généralement uti-
nance interne. Le niveau de risque final devrait lisés dans les « business plan », ou en fonction

11
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

d’éléments spécifiques à prendre en compte. tion des ressources dont elle dispose pour
• Détailler les nouveaux risques ou les écarts répondre aux besoins.
significatifs comparativement au « business • Évaluer si les fonctions management des
plan » approuvé. risques, juridique, ressources humaines et
• Sélectionner un prestataire en fonction des cri- finance sont convenablement impliquées.
tères et des offres / propositions soumises. • Réaliser des due diligences ou évaluer la revue
• Constituer une équipe expérimentée afin de des activités du prestataire réalisée par le
réaliser une revue préalable (due diligence) et management.
veiller à ce que les indicateurs clés de perfor- • Prendre en compte les évaluations continues
mance – contrats de niveaux de service et ou périodiques réalisées par d'autres presta-
contrats opérationnels – soient couverts par le taires d'assurance afin de s’assurer de l'effica-
contrat. cité des contrôles de capacité et de
• Évaluer les pertes, pannes et défaillances performance. Examiner les contrats de niveaux
potentielles. Déterminer les seuils de tolérance de services et les contrats opérationnels afin de
et les solutions de recours si des écarts appa- veiller à ce que les mesures de la performance
raissent. soient définies et fiables. Ceci devrait être ini-
• Obtenir l'approbation du commanditaire et tialement réalisé par la direction. Toutefois,
informer les principales parties prenantes en l'audit interne peut évaluer la fiabilité en se
mettant en évidence tout écart ou risque nou- concentrant sur les attentes concernant la per-
veau. Prévoir des examens de conformité à la formance des contrôles / risques et sur la
législation et les étapes contractuelles néces- conformité avec les principales normes du
saires pour finaliser un accord juridiquement prestataire ou celles exigées par le client, ou
contraignant (y compris des stratégies et des rendues obligatoires par la réglementation en
plans de sortie en cas de résiliation ou de non vigueur.
renouvellement).
Mise en œuvre / transition
Éléments à prendre en compte pour l’audit
interne : Élaborer un plan de transition, obtenir le finance-
• Évaluer le processus d'évaluation des appels ment nécessaire et formaliser la gestion, l'assis-
d'offres, le calendrier, les critères, l'exhaustivité tance et les autres ressources du commanditaire
et la transparence de la validation. du programme / projet :
• Examiner les besoins d'assurance de la direc- • Formaliser les plans et définir les attentes des
tion concernant les contrôles tels que les rap- instances de gouvernance pour toute externa-
ports d'audit sur les services (par exemple la lisation d'activité ou de processus important.
norme « Statement on Standards for Attestation Envisager d'intégrer au contrat des points
Engagements (SSAE) No. 16: Reporting on d’étapes avec les instances de gouvernance, un
Controls at a Service Organization », publiée par budget correspondant dans l’analyse préalable
The American Institute of Certified Public et prévoir / intégrer des audits de conformité
Accountants (AICPA), ou la norme « Interna- du contrat.
tional Standard on Assurance Engagements • Déterminer le calendrier, le financement, les
(ISAE) 3402 », publiée par l'International dates de prestation, les tests et la surveillance
Accounting and Assurance Standards Board continue.
(IAASB) de l'International Federation of • Traiter les problématiques de ressources
Accountants (IFAC)), ou les évaluations en humaines et aux ajustements culturels comme
cours. Veiller à ce qu’une clause autorise l’or- des facteurs clés de succès avant, pendant et
ganisation à procéder à des audits. après les transitions.
• Évaluer l'expérience et les compétences de • Obtenir une accréditation concernant les res-
l'équipe chargée du projet, ainsi que l'adéqua- sources du prestataire de services. Comment

12
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

s’assurer, sur les plans opérationnel et contrac- avec les exigences des métiers, des indicateurs clés
tuel, que les ressources du prestataire sont de performance et des contrats de niveaux de ser-
appropriées ? vice. Cette phase permet de veiller à l’optimisation
• Gérer les attentes concernant les écarts et les de l'exploitation et de la surveillance des perfor-
prestations non réalisées, de part et d'autre, mances, et améliore le processus et la relation
afin de limiter le coût de toute interruption d'infogérance :
imprévue de l'exploitation. • Établir et faire évoluer les indicateurs clés de
• Standardiser les processus avant la transition. performance. Il est préférable qu'ils soient
Ceci peut nécessiter des efforts et des investis- envisagés et définis lors de la phase de rédac-
sements importants. tion du contrat et des accords sur le niveau de
• Effectuer une analyse après la mise en œuvre service. Toutefois, il est impossible de tout anti-
et intégrer les problématiques pertinentes lors ciper. Idéalement, les indicateurs devraient
du suivi et de la remontée d’informations (ou mesurer la prestation du service requis et indi-
les problématiques à prendre en compte lors quer sa conformité ou sa non-conformité glo-
de la renégociation du contrat). Obtenir l'as- bale.
surance que la transition a été effectuée • Obtenir d’autres sources d'assurance perma-
conformément aux clauses contractuelles et au nente sur le contrôle et l'intégrité de l'exploi-
« business plan ». tation (par exemple SSAE 16, ISAE 3402, des
rapports sur l'assurance qualité ou la confor-
mité de l'exploitation, ou des rapports d'audi-
Éléments à prendre en compte pour l’audit teurs indépendants ou internes). Envisager
interne : d'intégrer des évaluations permanentes ou
• Effectuer une revue avant la mise en œuvre périodiques de la conformité au contrat.
pour s'assurer que le projet suit les procédures • Surveiller la nature et la cause des problèmes
standard. liés à la performance et au contrat, et la
• Examiner les plans de secours si la transition réponse apportée par les prestataires pour y
n'est pas convenablement effectuée. remédier. Veiller à ce que ces connaissances
• Déterminer si les risques et les actions sont soient partagées et conduisent à une amélio-
identifiés, traités et communiqués convenable- ration de la prestation ou à des exigences
ment et rapidement aux parties prenantes accrues lors de la renégociation du contrat.
durant le processus de mise en œuvre. Gérer les relations actuelles et futures sur la
• Vérifier que les décisions de « démarrer » / « ne base de connaissances enrichies.
pas démarrer » sont justifiées et fondées sur • Rechercher auprès du prestataire de services
des informations fiables. l’innovation permettant d'avoir une meilleure
• Évaluer si la direction a effectué les tests visibilité quant aux risques et d'améliorer l'in-
appropriés avant de décider de démarrer. tégration.
• Déterminer si les bonnes parties prenantes
sont impliquées et informées. Éléments à prendre en compte pour l’audit
• Déterminer si des informations fiables pour la interne :
prise de décision sont mises à la disposition de • Comprendre comment la performance du
la direction du projet et de la direction géné- prestataire et son respect des clauses contrac-
rale. tuelles seront régulièrement évalués et exami-
nés par le management.
Surveillance et remontée • Évaluer la fiabilité des indicateurs conçus et
d’informations utilisés pour gérer les risques liés aux activités,
aux évolutions et à la sécurité des SI.
Après la transition, surveiller l'exploitation afin de • Évaluer comment les éléments préoccupants
s’assurer qu'elle fournit des prestations conformes et les domaines d'amélioration seront commu-

13
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

niqués et exploités pour améliorer l'exploita- intégrées dans le processus annuel d'évalua-
tion / les contrats actuels et futurs. tion des risques afin de permettre une impli-
• Veiller à ce que l'externalisation soit intégrée à cation efficace de l’audit interne.
l'univers d'audit et à ce que ses risques soient • Veiller à ce que des informations historiques et
régulièrement évalués. des mesures de la performance adéquates /
• Déterminer comment l'audit interne sera précises soient disponibles.
informé de l’évolution des relations.
• Comparer la performance aux indicateurs clés Réversibilité
de performance définis durant la phase de pla-
nification. Comprendre les coûts et les interruptions pouvant
découler du transfert des activités à un autre pres-
Renégociation tataire de services ou de leur réintégration.
• Estimer la probabilité d'un échec du dispositif
À l'approche de la fin du contrat, comprendre les d'externalisation – ce qui arrive souvent.
véritables avantages et problèmes, les évolutions • Déterminer le coût total et l'impact, si les acti-
du marché et des benchmarks, et les coûts liés à une vités doivent être réintégrées et calculer un
réintégration du processus ou à son externalisation « coût probable » (probabilité x coût) de cet
auprès d'un autre prestataire dans le cadre de la événement soit pendant la durée du contrat,
renégociation du contrat. Veiller à l'efficacité de la soit à son terme. Intégrer ce facteur à l'analyse
remontée des problèmes et des incidents. du retour sur investissement dans le « business
• Comparer le fonctionnement opérationnel à plan », au contrat initial et lors de la renégocia-
l’analyse préalable initiale et valider les ensei- tion du contrat.
gnements retenus. • Comprendre les autres options et les scénarios
• Comparer avec d'autres prestataires de ser- de réversibilité partielle.
vices. • Anticiper les éléments du contrat qui évite-
• Explorer les alternatives sur le marché et ana- raient à l'organisation d'être enfermée dans
lyser les avantages actuels au regard d'une une relation où le prestataire pourrait augmen-
réintégration du processus. ter ses tarifs sans recours. Dans la mesure du
• Réaliser une nouvelle analyse / évaluation des possible, intégrer au contrat les conditions de
risques, coûts et avantages. marché et facteurs économiques tels que l’in-
• Rechercher des conditions plus efficaces. Pour flation susceptible de faire évoluer la tarifica-
conserver un effet de levier, l'organisation tion.
devrait disposer d'alternatives et comprendre
ses options (voir également la section suivante Éléments à prendre en compte pour l’audit
« Réversibilité »). interne :
• Évaluer l'adéquation des plans de secours en
Éléments à prendre en compte pour l’audit cas d'échec de l’accord d’externalisation.
interne : • Évaluer si le management a estimé les coûts et
• Comprendre les stratégies et les informations la probabilité d'un échec.
nécessaires à une optimisation des négocia- • Déterminer si l'éventualité d’un échec a été
tions futures. prise en compte dans l’analyse préalable ainsi
• Comprendre la réversibilité, les modalités de que les exigences de retour sur investissement.
surveillance et les résultats des indicateurs de • Demander si le management a envisagé de
performance. faire appel à d'autres prestataires afin d'éviter
• Veiller à ce que les experts et les propriétaires une dépendance inutile.
du processus soient à l'initiative d'améliora- • Déterminer comment le management a évalué
tions lors de la renégociation du contrat. la viabilité du prestataire de services. L'audit
• Veiller à ce que les échéances critiques soient interne pourrait avoir à confirmer la fiabilité de

14
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

cette évaluation. politiques et géographiques - et déterminer


• Vérifier que les facteurs conduisant à changer, s'ils ont été évalués.
ou à envisager de changer, de prestataire sont • Déterminer si le prestataire dispose d'un plan
compris et prédéfinis. de continuité d'activité solide et viable.
• Prendre en compte les autres risques pouvant • Déterminer si le contrat contient une clause de
motiver une réintégration du processus - résiliation.
notamment les risques macroéconomiques,

Tableau 1 : Cycle de vie de l’infogérance : risques et implication des auditeurs à chaque étape
Ce tableau détaille les risques à prendre en compte durant le processus de prise de décision d’externali-
sation. Les rôles et responsabilités au sein de l’entité utilisatrice sont soulignés afin de limiter les risques
et de mettre en place les contrôles nécessaires. Les risques liés aux activités importantes et aux domaines
qui requièrent potentiellement une attention particulière sont mis en évidence pour l'auditeur interne.
Ils peuvent varier de manière importante selon la maturité de l'organisation, du management (expérience
en matière d'externalisation) et selon l'implication des services de management des risques, de gestion
de projets et des autres fonctions d'assurance. Le RAI devrait comprendre les attentes du Conseil1 et des
principales parties prenantes. Cependant, il ne devrait pas prendre part au processus d'approbation afin
de rester indépendant des décisions stratégiques / opérationnelles de la direction.

Activités Rôles mana- Implication des


Étapes Objectifs Risques
principales gériaux* 2 auditeurs internes3

A : Adéqua- Identifier les • Cartographier Propriétaire • Pas d'aligne- Comprendre le contexte stra-
tion straté- options d'ex- les processus du processus,* ment avec les tégique et déterminer si les
gique et ternalisation du modèle experts en stratégies de informations sous-jacentes
évaluation et établir les d'activité. matière l'organisation. sont fiables et complètes.
de l'infogé- contours du • Hiérarchiser les d’achats • Mauvaise déci-
rance périmètre. options en (technique, sion.
fonction des risque, plan • Perte d'actifs ou
avantages et de continuité retour sur
des risques qui d'activité et investissement
y sont liés. stratégie), res- moindre.
• Élaborer une ponsables des
étude de unités opéra-
marché et réali- tionnelles et
ser un bench- commandi-
marking. taire exécutif.

1 Selon le glossaire mis à jour en 2013 inclus dans les Normes, le Conseil se définit comme « Le niveau le plus élevé des organes de gouvernance, respon-
sable du pilotage, et/ou de la surveillance des activités et de la gestion de l'organisation. Habituellement, le Conseil (par exemple, un conseil d’adminis-
tration, un conseil de surveillance ou un organe délibérant) comprend des administrateurs indépendants. Si une telle instance n’existe pas, le terme «
Conseil », utilisé dans les Normes, peut désigner le dirigeant de l’organisation. Le terme « Conseil » peut renvoyer au comité d’audit auquel l’organe de
gouvernance a délégué certaines fonctions. »
2 * L’astérisque indique le responsable en premier lieu et le propriétaire de l’étape.
3 L’implication de l’auditeur interne variera en fonction des risques, des attentes du Conseil et des parties prenantes, des capacités de gestion, et de l’im-
plication des autres fonctions d’assurance et des compétences disponibles.

15
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

Activités Rôles mana- Implication des


Étapes Objectifs Risques
principales gériaux* auditeurs internes

B : Proces- Élaborer un • Effectuer une Propriétaire • Le meilleur • Évaluer si les informations


sus de prise business case analyse détail- du processus,* prestataire n'est contenues dans l'analyse
de décision fiable. lée des risques commandi- pas choisi. détaillée sont fiables et
– business métier et des taire exécutif,* • Perte d'actifs, prendre en compte tous les
case avantages. finance, juri- retour sur risques métier et le risque lié
• Intégrer les dique, SI, res- investissement à la mise en œuvre.
risques liés à la sources moindre ou • Déterminer si la gouver-
mise en œuvre humaines et préjudice pour nance et le processus d'ap-
et l'impact d'un autres experts. la réputation en probation sont transparents
échec. cas de baisse et fiables.
• Choisir la meil- de la qualité • Déterminer si les parties et
leure option et des services. les experts compétents sont
détailler les • répercussion impliqués. Évaluer si les prin-
coûts / avan- négative occa- cipales parties prenantes
tages. sionnée par la sont tenues informées.
• Identifier la règlementa-
relation entre tion.
stratégie et
gouvernance.

C : Proces- Sélectionner • Détailler les exi- Propriétaire • L'accord n'est • Déterminer s'il existe un pro-
sus d'appel un presta- gences, le péri- du processus,* pas optimisé ou cessus d'approbation et
d'offres et taire et éla- mètre et les achats,* l'organisation d’achats approprié.
conclusion borer un appels d'offre. équipe char- n'est pas proté- • Revoir les besoins d'assu-
du contrat contrat favo- • Sélectionner un gée du projet, gée contre des rance liés au contrat et aux
risant le prestataire et commandi- écarts par rap- contrôles (par exemple des
succès. effectuer une taire exécutif, port aux exi- rapports d’audit indépen-
revue préalable juridique, gences de dants conformément à SSAE
(due diligence). finance. qualité, de dis- 16 ou ISAE 3402) et vérifier si
• Négocier le ponibilité et une clause autorise l'organi-
contrat. d'intégrité / de sation à procéder à des
• Élaborer une confidentialité. audits.
stratégie de • Perte d'actifs, • Déterminer si l'équipe char-
sortie. retour sur gée du projet possède les
investissement compétences appropriées.
moindre et pré- Demander si les fonctions
judice pour la management des risques,
réputation. juridique, ressources
• Impact sur les humaines et finance sont
exigences convenablement impli-
réglementaires. quées.
• Réaliser des revues préala-
bles (due diligence) ou éva-
luer la revue du prestataire
réalisée par le management.

16
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

Activités Rôles mana- Implication des


Étapes Objectifs Risques
principales gériaux* auditeurs internes

D : Mise en Exécuter la • Déployer le Équipe char- • Perte d'actifs et • Effectuer une revue avant la
œuvre et transition plan de transi- gée du retour sur mise en œuvre pour déter-
transition comme tion. projet,* pro- investissement miner si le projet suit les pro-
prévu. • Transférer / priétaire du moindre en cédures standard.
Lancer les gérer les res- processus,* raison des inef- • Effectuer une revue des
nouvelles sources. commandi- ficiences et des plans de secours si la transi-
activités. • Transformer le taire exécutif, risques non tion n'est pas convenable-
processus. finance, res- gérés. ment effectuée.
sources • Interruption de • Déterminer si les risques et
humaines, et service et les actions sont identifiés,
management impact sur les réduits et communiqués
des risques. clients. convenablement aux parties
• La qualité opé- prenantes dans le cadre de
rationnelle est la gouvernance et de la mise
moins bonne en œuvre du projet.
que prévu.

E : Contrôle Superviser et • Gérer les rela- Propriétaire • Les relations et • Déterminer comment la per-
et remon- contrôler tions. du processus,* la prestation formance du prestataire et
tée d’infor- l'activité • Évaluer les équipe rete- sont associées son respect des clauses
mations externalisée. résultats et les nue, com- à un préjudice, contractuelles seront régu-
performances. manditaire du à une perte lièrement évalués et exami-
• Concevoir un projet, d'actifs et à un nés par la direction.
modèle de finance, res- retour sur • Demander quelles mesures
remontée d’in- sources investissement et autres indicateurs clés de
formations humaines, moindre pour performance sont utilisés.
continue et management le client. • Demander comment les élé-
d'amélioration des risques et • Le processus ments préoccupants et les
des processus. autres experts. n'est pas main- domaines d'amélioration
tenu ni opti- seront communiqués et
misé comme exploités pour améliorer l'ex-
prévu. ploitation / les contrats
actuels et futurs.

F : Renégo- Veiller à ce • Recenser tous Propriétaire • L'optimisation • Identifier les stratégies et les
ciation que la nou- les problèmes du processus,* est atteinte, informations utilisées et
velle relation opérationnels, approvision- mais avec un nécessaires à une optimisa-
évolue et liés au coût, à la nement,* retour sur tion des négociations
s’améliore. qualité et à la commandi- investissement futures.
relation. taire exécutif, et une qualité • Comprendre les enjeux de la
• Réaliser un juridique, opérationnelle réversibilité, les indicateurs
benchmarking finance et future moin- de suivi ou de la perfor-
et examiner les autres experts. dres. mance. Déterminer si les
études de • Il est impossible experts et les propriétaires
marché de trouver de du processus sont à l'initia-
récentes. meilleures alter- tive d'améliorations lors de
• Fixer de nou- natives ou les la renégociation du contrat.
veaux objectifs augmentations
pour améliorer de prix ne sont
le contrat. pas justifiées.

17
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

Activités Rôles mana- Implication des


Étapes Objectifs Risques
principales gériaux* auditeurs internes

G : Réversi- Veiller à ce • Prendre une Propriétaire • Paralysie face à • Déterminer les plans de
bilité que l'accord décision de du processus,* une situation secours si le dispositif ne
puisse être réintégration et approvision- défavorable ou fonctionne pas, ainsi que les
annulé et identifier son nement,* à des opportu- coûts estimés et la probabi-
pris en impact. commandi- nités. lité.
compte • Déterminer taire exécutif, • Absence de • Demander si les coûts et la
dans le comment management marge dans les probabilité ont été pris en
« business changer de des risques, négociations compte dans le plan d'af-
case » / la fournisseur. plan de conti- futures. faires et les exigences de
stratégie. • Identifier l'im- nuité des acti- • Perte d'actifs et retour sur investissement.
pact sur le vités et autres interruption de • Demander s’il est possible
« business case ». experts. services en cas de faire appel à d'autres
de réintégra- prestataires efficacement. Se
tion ou de renseigner sur la viabilité du
transfert du prestataire.
processus à un • Déterminer si les facteurs
autre presta- conduisant à changer, ou à
taire. envisager de changer, de
• Coûts non anti- prestataire sont compris et
cipés en cas prédéfinis.
d'échec de l'ex- • Déterminer si d'autres
ternalisation. risques, qui pourraient moti-
ver de réintégrer les activi-
tés, ont été pris en compte,
et s’ils ont été évalués,
notamment les risques
macroéconomiques et poli-
tiques / géographiques.
• Demander si le prestataire
dispose d'un plan solide de
continuité d'activités.
• Déterminer la viabilité des
efforts entrepris par le pres-
tataire dans le cadre de son
plan de continuité d'activi-
tés.
• Évaluer les conditions de
résiliation du contrat.

18
GTAG – Prestations d’infogérance : éléments
à prendre en compte pour les risques et les contrôles

4. Prestations riences – nécessaires pour réaliser des projets et


des services (par exemple des services de main-
d’infogérance : éléments frame d'informatique moyenne gamme et des ser-
à prendre en compte vices de stockage et de sauvegarde). Les fonctions
pour les risques et les sont des processus horizontaux, et les fonctions
opérationnelles qui couvrent des capacités de ser-
contrôles vices fournissent des services d'intégration de pro-
cessus, des outils et des résultats à travers les
Pour le prestataire de services différentes capacités de services (par exemple les
services liés aux centres de traitement de données
Conformément au contrat de niveaux de services et à la gestion de programme / projet).
négocié avec l'entité utilisatrice, le prestataire de
services doit réaliser des activités de contrôle des Compte tenu des concepts fondamentaux précités,
SI correspondant aux risques liés aux SI. Pour éla- il est important de comprendre les fonctions du
borer une approche d'audit convenable, le RAI référentiel suivant. En établissant un lien entre les
devrait commencer par comprendre l'environne- capacités de services et les principes fondamen-
ment et l'architecture de l'infogérance. Le RAI taux de sécurité, de gestion des changements et
devrait ensuite tenir compte du risque lié à la pres- d'opérations, l'auditeur interne peut mieux cerner
tation de services et des contrôles conçus pour pal- les risques et les assertions liés au processus
lier ces risques, et déterminer une méthode métier.
d'assurance pour l'infogérance. Dans le « Guide to the Assessment of IT General
Controls for Business and IT Risk » (GAIT–R), l’IIA
Comprendre l'environnement de identifie les aspects critiques des SI qui sont essen-
l'infogérance tiels à la gestion et à l'atténuation des risques
métier.
Généralement, les services sont organisés et four-
nis par capacité, ou par groupe de capacités, qui Comme indiqué dans le chapitre 2, les fonctions
correspondent à différentes fonctions. de prestation horizontales englobent générale-
Une capacité de services désigne un ensemble de ment :
compétences – une combinaison de compétences, • Le développement et la gestion d’applications.
de processus, d'outils, de technologies et d'expé- • La gestion de l’infrastructure.
gestion de centres de traitement de données, etc.)
(Développement d'applications, gestion d'infrastructure,
Types d’infogérance

Capacités de services
Fonctions horizontales
Mainframe

Stockage et sauvegarde

... Autres services

... Autres services

Services liés aux centres


de traitement de données

Gestion de programme / projet

... Autres fonctions

... Autres fonctions

Sécurité, gestion des changements, opérations


(« Guide to assessing the scope of IT general controls » - GAIT)

19
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

• Le help desk. fogérance. Ce sont les domaines techniques des SI


• Les services indépendants de tests et de vali- et les structures de surveillance générales qui
dation. constituent les bases sur lesquelles les fonctions et
• La gestion des centres de traitement de don- les capacités de services des SI sont bâties et
nées. gérées.
• L’intégration de systèmes.
• La R&D. 1. Organisation : Dans un accord d'infogérance,
• La gestion de la sécurité. l'organisation et le profil du prestataire de ser-
• Le cloud computing (par exemple, SaaS, IaaS, vices sont importants pour garantir la réussite
PaaS). de sa prestation. L'organisation devrait être
bien positionnée pour fidéliser les bons colla-
Les organisations bénéficient de nombreuses borateurs avec les bonnes compétences dans
options lorsqu'il est envisagé d'externaliser des les bons rôles. Il convient de prendre en
capacités et des fonctions : compte l'indice de satisfaction des clients du
• Combiner des services d'externalisation avec prestataire. Les clients du prestataire le perçoi-
des fonctions SI internes (parfois dénommés vent-ils comme étant efficace ? À quand
« in-sourcing » ou « cosourcing »). remonte la dernière analyse des écarts de com-
• Externaliser intégralement une capacité ou une pétences ? Ces questions sont importantes
fonction tout en en maintenant d'autres en pour que l'entité utilisatrice évalue si elle a fait
interne. appel au bon prestataire de services, et pour
• Tout externaliser auprès de prestataires qui que ce dernier puisse évaluer s'il est le mieux
gèreront les ressources technologiques sur site positionné pour répondre aux attentes des
(y compris les machines, les réseaux et les res- clients.
sources humaines).
• Tout externaliser auprès de prestataires qui 2. Système d'exploitation : Un système d'ex-
« loueront » le matériel, les logiciels et les com- ploitation est un logiciel qui fonctionne sur des
munications à l'organisation au travers d'un ordinateurs, gère des ressources matérielles et
modèle de Saas, IaaS ou PaaS. fournit des services courants d'exécution de
différents logiciels d’application. Le système
Quelles que soient les technologies externalisées d'exploitation agit comme un intermédiaire
ou le modèle d'externalisation choisi par une orga- entre les logiciels d’application et le matériel
nisation, il existe des domaines de processus com- informatique. En outre, le système d'exploita-
muns, des domaines de risques clés, des contrôles tion fournit :
et des objectifs d'audit qui devraient être compris • Les outils systèmes (programmes) utilisés
par l'entité utilisatrice et le prestataire de services. pour surveiller la performance informa-
Le GAIT de l'IIA présente une approche pouvant tique, résoudre les problèmes ou maintenir
être adoptée pour organiser des fonctions hori- des parties du système.
zontales par catégorie de processus – sécurité, ges- • Un ensemble de bibliothèques ou de fonc-
tion des changements et opérations – afin tions pouvant être utilisées par les logiciels
d'évaluer l'importance des risques et de veiller à pour exécuter des tâches spécifiques liées
ce que des contrôles clés soient testés dans les dif- à l'interface avec les composants du sys-
férentes capacités de services. tème informatique.
Les systèmes d'exploitation font souvent l'ob-
Principaux domaines d’architecture jet d'attaques, notamment en l'absence de
de l'infogérance montées en version ou de correctifs critiques.
Des problèmes de performance et de disponi-
Cette section identifie et définit les couches ou bilité peuvent donc apparaître, un accès non
domaines des SI constituant l'architecture de l'in- autorisé au système peut être possible et des

20
GTAG – Prestations d’infogérance : éléments
à prendre en compte pour les risques et les contrôles

informations sensibles ou exclusives peuvent autres applications client léger qui étayent la
être divulguées. stratégie actuelle et à venir. Les applications
devraient être standardisées pour soutenir les
3. Réseau : Outre Internet et l'intranet, et la activités, les processus, les salariés, les clients,
nécessité de se connecter, le réseau s'ajuste les fournisseurs et les partenaires, quels que
constamment à de nouveaux modèles métier soient leur localisation physique ou leur degré
et à de nouvelles offres de services telles que de mobilité. La plupart des grandes et
le traitement de transactions B2C et B2B, les moyennes organisations disposent d'applica-
transactions B2G (marketing industriel), l'e- tions importantes telles que les systèmes ERP
apprentissage, les services clients collaboratifs (Enterprise Resource Planning) et de gestion de
et les téléconférences multimédias en temps la relation client. Il existe également des appli-
réel. Avec le développement du télétravail, de cations exclusives et des applications Internet
plus en plus de personnes sont connectées en qui interagissent avec les clients, les fournis-
permanence depuis leur domicile, durant leurs seurs et les partenaires. Enfin, il existe des
trajets ou depuis des espaces virtuels. La pres- applications qui aident les organisations à
sion en faveur d'une offre de communications gérer leurs applications et les infrastructures
fiable, sécurisée et d'un bon rapport coût / effi- informatiques et de communication (par
cacité atteint des niveaux sans précédent et exemple des applications de gestion des
continuera de s'intensifier. Internet, qui n'est réseaux et des systèmes).
pas couvert par les pare-feux des entreprises,
devient progressivement un système d'exploi- 6. Indicateurs et remontée d’informations : Le
tation virtuel et la plateforme favorite d'un contrat de niveaux de services est l'un des pre-
nombre croissant d'organisations. miers indicateurs utilisés pour mesurer la per-
formance. Il peut fournir à la direction des
4. Bases de données : Les données sont au cœur éléments probants à l'appui de l'évaluation de
de tous les modèles économiques. Les « don- la relation client / fournisseur. Un contrat opé-
nées opérationnelles », en particulier rationnel soutient le contrat de niveaux de ser-
lorsqu’elles sont sous différents formats, vices et indique des objectifs précis pour
devraient être converties en un format utilisé exécuter le contrat de services. Les organisa-
par un grand nombre de collaborateurs dans tions entretenant une relation d’infogérance
l'organisation. L’un des principaux enjeux de devraient mettre en place un processus de sur-
la direction des SI consiste à préserver un veillance permanent afin de veiller à ce que la
important volume de données personnelles, performance du prestataire de services soit
sensibles et confidentielles, de biens de pro- conforme au contrat d'externalisation. Des
priété intellectuelle et de secrets commerciaux indicateurs clés de performance devraient être
des attaques malveillantes et des pertes acci- établis pour aider le client et le prestataire de
dentelles. Sur le plan stratégique, la tendance services à réaliser leurs objectifs.
évolue vers une plus grande valorisation des
données non structurées et une moindre 7. Gestion de programme / projet : Pour attein-
importance accordée aux systèmes de fichiers dre son but, un projet donné aura un début et
hiérarchiques classiques qui n’ont pas été une fin bien définis et sera entrepris conformé-
conçus pour supporter les volumes actuels. ment à des contraintes de périmètre, de qualité
et de coût définies. L'importance et le périmè-
5. Application : Les architectures d'applications tre des projets peut varier et englober la
sont des applications intégrées et interopéra- construction d'une nouvelle infrastructure, le
bles utilisées pour l'administration, la produc- développement d'un nouveau produit, la mise
tion, les bureaux virtuels, les ordinateurs de en œuvre de nouveaux processus métier ou la
bureau, les ordinateurs portables, les PDA et transformation de métiers. Lors de l'évaluation

21
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

de ces projets à différentes étapes, il est néces- tion de la vie privée.


saire de comprendre les principaux risques et • Une faible réactivité, une disponibilité du sys-
d'élaborer un ensemble de critères clés. tème réduite, une intégrité des informations
douteuse et une atteinte à la sécurité et la
Principaux domaines de risques liés à confidentialité.
l'infogérance • Des problèmes d’évolutivité, de capacité et de
performance de l'architecture système et des
Cette section passe en revue les risques courants technologies du prestataire de services.
liés à l'architecture de l’infogérance dans le cadre • Une incapacité à maintenir des contrôles opé-
d'une prestation d'infogérance. Dans une relation rationnels et SI appropriés et à respecter les
d'externalisation, il est fondamental d'accepter que exigences réglementaires et du secteur telles
bien que la prestation de services (responsabilité que la Directive européenne sur la protection
opérationnelle) soit transférée au prestataire de des données (EU DPD), les lois américaines
services, l'entité utilisatrice reste responsable de la Graham-Leach-Bliley Act (GLBA), Health
gestion et du respect des politiques, des procé- Insurance Portability and Accountability Act
dures et des exigences réglementaires. Ceci repré- (HIPAA), Sarbanes-Oxley (SOX) Act de 2002,
sente le risque inhérent à l'infogérance. Pour gérer les normes internationales d’information
ce risque, l'entité utilisatrice devrait disposer d'un financière (IFRS), le rapport King III Report on
programme efficace de surveillance de l'externali- Governance et le Payment Card Industry (PCI)
sation ainsi que d'un cadre de gestion permettant ou encore l’article 37 du CRBF 97-02.
d'identifier, d'évaluer, de suivre et de contrôler les • Des plans de secours informatique et de conti-
domaines de risques des processus associés à l'ex- nuité d’activité insuffisants.
ternalisation. Les risques associés à une prestation • Des dépenses pour l'entité utilisatrice et des
d'infogérance dépendent du processus externalisé, efforts pour trouver un autre prestataire de ser-
de la relation avec le prestataire de services et des vices ou pour réintégrer le service externalisé.
technologies qu'il utilise.
Les risques liés à l'infogérance peuvent être iden-
L’incapacité du prestataire de services à mettre en tifiés et hiérarchisés du point de vue de l'entité uti-
œuvre des contrôles appropriés, à donner une lisatrice et du prestataire de services, et regroupés
assurance et à réaliser un suivi concernant le ser- en trois catégories :
vice externalisé peut déboucher sur : • Risques pour le client et le prestataire.
• Une qualité de service médiocre et un nombre • Risques pour le client.
inacceptable de pannes et d'erreurs. • Risques pour le prestataire.
• Des interruptions de service et le manquement
aux obligations de l'organisation envers ses Les domaines d'intérêt communs devraient être
clients. davantage privilégiés dans l'évaluation des risques
• Des problèmes de confidentialité et de protec- lors d'un audit de l'infogérance.

Tableau 2 : Matrice d'impact des risques liés à l'infogérance (exemple)


Catégorie de risque Risques liés à l'infogérance

Pour le client et le prestataire Conflit entre les parties du fait d'une violation des clauses contractuelles.

Pour le client Non-respect du contrat de la part du prestataire.

Pour le client Augmentation imprévue des coûts d'externalisation.

Pour le client Perte de confidentialité des données.

Pour le prestataire Ressources humaines inadéquates.

22
GTAG – Prestations d’infogérance : éléments
à prendre en compte pour les risques et les contrôles

Risques de gouvernance liés à la Dans l'ancien modèle (encore utilisé), une seule
prestation (méthodologie, modèle, capacité est gérée via un silo, généralement par
site, dans lequel différentes équipes utilisent des
contrat) processus et des outils différents. En revanche, le
nouveau modèle se concentre sur moins de res-
Lors de l'évaluation des risques liés à l'environne-
ponsables par capacité, il est globalement intégré
ment d'externalisation, l'entité utilisatrice devrait
et automatisé, et gère des processus homogènes
prendre en compte le modèle de gouvernance de
dans les capacités de services.
l'infogérance utilisé par le prestataire de services.

APPROCHE PAR SITE APPROCHE AVEC EFFET DE LEVIER

Région 1 Région 2 Région 3

Mainframe Mainframe Mainframe


Stockage et sauve- Stockage et sauve- Stockage et sauve-
garde garde garde
Services de centres Services de centres Services de centres
de traitement de de traitement de de traitement de
données données données
Gestion de pro- Gestion de pro- Gestion de pro-
gramme / projet gramme / projet gramme / projet
Autres services Autres services Autres services
gestion de centres de traitement de données, etc.)
(Développement d'applications, gestion d'infrastructure,
Types d’infogérance

Capacités de services
Sous-région 1 Sous-région 2 Sous-région 3 Fonctions horizontales

Mainframe

Stockage et sauvegarde

... Autres services

... Autres services


Services liés aux centres
Mainframe Mainframe Mainframe
de traitement de données
Stockage et sauve- Stockage et sauve- Stockage et sauve-
garde garde garde
Gestion de programme / projet
Services de centres Services de centres Services de centres
de traitement de de traitement de de traitement de
... Autres fonctions
données données données
Gestion de pro- Gestion de pro- Gestion de pro-
... Autres fonctions
gramme / projet gramme / projet gramme / projet
Autres services Autres services Autres services
Sécurité, gestion des changements, opérations
(« Guide to assessing the scope of IT general controls » - GAIT)
Site optimal 1 Site optimal 2 Site optimal 3

Mainframe Mainframe Mainframe


Stockage et sauve- Stockage et sauve- Stockage et sauve-
garde garde garde
Services de centres Services de centres Services de centres
de traitement de de traitement de de traitement de
données données données
Gestion de pro- Gestion de pro- Gestion de pro-
gramme / projet gramme / projet gramme / projet
Autres services Autres services Autres services

Quel que soit le modèle, un contrat clairement l'externalisation sont mieux gérés grâce à un
défini et complet permettra à l'entité utilisatrice et modèle de gouvernance bien défini et à de solides
au prestataire de services de gérer les risques. Les clauses contractuelles à l'appui d'une relation
risques non techniques menaçant le succès de fondée sur l'excellence des services fournis.

23
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

Tableau 3 : Risques de gouvernance pour le client et pour le prestataire


(exemple)
Risque Définition et mesures d’atténuation

Englobe une performance insuffisante ou une qualité médiocre des services. L'en-
tité utilisatrice peut surveiller la performance des prestataires, signaler la perfor-
mance insuffisante et faire appliquer les clauses contractuelles de pénalité si
Le prestataire de services ne res-
nécessaire. Les prestataires peuvent également surveiller les contrats de niveaux
pecte pas les clauses du contrat
de services et modifier les processus de la prestation afin de répondre aux exi-
de niveaux de services.
gences contractuelles. S'il est difficile de remplir les clauses contractuelles même
après une modification des processus, les prestataires peuvent informer l'entité uti-
lisatrice et, si nécessaire, renégocier les contrats de niveaux de services.

Des ressources compétentes sont essentielles à la réussite des projets SI. Les enti-
Le niveau de compétences /
tés utilisatrices peuvent atténuer ce risque en définissant clairement des critères
connaissances des ressources du
d'éligibilité pour des rôles donnés. Les prestataires peuvent atténuer ce risque en
prestataire de services affectées
ayant une expertise suffisante, en veillant à fidéliser les ressources compétentes et
au projet est insuffisant.
en maintenant des viviers de ressources pour les clients importants.

Les entités utilisatrices et les prestataires peuvent atténuer ce risque en définissant


La communication entre l'entité conjointement une structure de gestion / un moyen de communication pour les
utilisatrice et les prestataires est projets externalisés, et en incluant un plan de communication dans les plans de
insuffisante ; les moyens de projet. Les entités utilisatrices et les prestataires peuvent définir ensemble des
communication / de remontée temps de réponse pour les éclaircissements. Enfin, les deux parties devraient ali-
d’informations sont peu clairs. gner leurs objectifs, processus et calendriers, et faire régulièrement le point sur la
situation comparativement au plan.

Risques liés aux contrôles généraux normes de sécurité qui régissent l'accord d'info-
des SI (GAIT : sécurité, gestion des gérance – celles de l'entité utilisatrice ou du pres-
tataire de services – et devrait couvrir l'accès aux
changements, opérations) données, l'accès aux applications, l'accès au
réseau, les logiciels, la protection des données per-
Dans un accord d'infogérance, les contrôles géné-
sonnelles et le plan de continuité d'activités. En
raux des SI sont essentiels à une prestation de ser-
outre, les organisations devraient comprendre :
vices de qualité et à la protection des données d'un
• La technologie des pare-feux.
client. Le GAIT présente une approche fondée sur
• La technologie des anti-virus.
les risques pour évaluer le périmètre des contrôles
• La technologie de l'autorité de certification.
généraux des SI et s'assurer que les contrôles clés
• La technologie biométrique.
sont testés à tous les niveaux de l'infrastructure
• La protection contre la perte de données.
(par exemple les applications, bases de données,
• Les exigences réglementaires (Directive euro-
systèmes d'exploitation et infrastructures réseau).
péenne, HIPAA, IFRS, King III, etc.).
• Les normes de sécurité PCI.
Sécurité
• La technologie de chiffrement.
• La technologie de protection des données per-
La sécurité, qui est à la base du modèle d'infogé-
sonnelles.
rance, est fondamentale pour protéger les actifs de
• Les méthodes d'authentification.
l'entité utilisatrice (par exemple le matériel, les
• Les structures des répertoires.
logiciels et les données). Le contrat devrait identi-
• La gestion des vulnérabilités et des menaces.
fier de manière explicite les politiques et les

24
GTAG – Prestations d’infogérance : éléments
à prendre en compte pour les risques et les contrôles

Protection des données associés et les contrôles à inclure dans un audit de


l'infogérance).
Il est difficile de protéger des données confiden-
tielles, personnelles et sensibles lorsqu'elles sont Les processus de contrôle des changements sont
obtenues et traitées par des prestataires de services fondamentaux pour assurer l'exactitude du logiciel
qui ne sont pas forcément soumis à la même légis- d'application. Pour parer au risque que les don-
lation et à la même réglementation que leurs nées financières soient mal enregistrées ou enre-
clients. La protection des données représente sou- gistrées à une période inexacte, la logique du
vent l’aspect le plus critique de l'externalisation. système d'application devrait être documentée,
Elle est particulièrement cruciale dans les secteurs testée et autorisée. Les contrôles des changements
publics tels que la justice et la défense, où le secret sont donc directement liés aux déclarations ddu
est primordial, et dans les services financiers et la management sur l'évaluation ou la mesure.
santé, qui sont souvent la cible d'attaques malveil-
lantes. Exploitation

Des complications surviennent lorsque l'entité uti- La gestion de l'exploitation désigne le processus
lisatrice et le prestataire de services sont soumis à d'exploitation ou de fonctionnement des applica-
une législation et une réglementation différentes, tions et des systèmes. Ce processus englobe géné-
notamment lorsqu'ils sont situés dans des régions ralement des contrôles qui assurent que les
ou des pays différents, ou dans des juridictions dif- applications fonctionnent comme prévu, que les
férentes au sein d'un même pays. Les organisa- erreurs de traitement et les exceptions sont réso-
tions présentes dans des secteurs très réglementés lues en temps utile, que les données critiques des
devraient prendre des mesures importantes pour applications ou les fichiers systèmes sont sauve-
s'assurer que leurs prestataires de services respec- gardés, et que la sécurité physique et les autres
tent, pour leur compte, la législation et la régle- aspects de l'exploitation d'un centre de traitement
mentation. de données sont assurés.

Les processus de sécurité et de protection des Le risque que le système soit indisponible ou
données assurent que l'accès aux applications et insuffisamment opérationnel est géré par les
aux données est autorisé et que les actifs sont contrôles opérationnels. Les programmes peuvent
convenablement protégés. Les contrôles de sécu- fonctionner de façon désordonnée et créer des
rité gèrent les risques liés aux actifs non valides, déséquilibres du fait de problèmes d'exploitation.
aux transactions fictives ou à la divulgation non Les processus d'exploitation assurent que les don-
autorisée d'informations sensibles. Ils sont direc- nées sont complètes et transmises en temps utile
tement liés aux déclarations de la direction sur aux décideurs. Les activités de contrôle protègent
l'existence et l'occurrence de tels actifs et transac- contre les interruptions imprévues ou l'introduc-
tions. tion d'erreurs lors de la restauration. La gestion de
l'exploitation est directement liée aux déclarations
Contrôle des changements de la direction sur l'exhaustivité – le fait que des
transactions réelles ne soient pas omises, involon-
Dans l'accord d'infogérance, des changements se tairement redondantes ou incomplètes.
produiront dans le cadre de la transition et de la
transformation initiales réalisées au début du Gestion des incidents et des problèmes
contrat de services, ou dans le cadre d'autres pro-
jets de transformation réalisés au fil du contrat La gestion des incidents porte sur la résolution
(voir la section « Gestion de projet » de ce chapitre rapide de problèmes urgents tels que les pannes
pour de plus amples informations sur les risques de service ou autres incidents. La gestion des pro-

25
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

blèmes porte sur la prévention des problèmes en • La sécurité physique.


les identifiant et en mettant en place des solutions • Des contrôles environnementaux des installa-
pour éliminer leurs causes. La priorité du proces- tions.
sus de gestion des incidents devrait être de rétablir • La surveillance de la conformité en matière de
le service aussi rapidement que possible. Les inci- sécurité.
dents concernant les clients devraient être hiérar- • La gestion d'actifs.
chisés, coordonnés et résolus via un service
d'assistance. Le GAIT permet d’identifier et d’évaluer le risque
inhérent aux SI qui devrait être relié au risque
Qualité des données métier. Les objectifs de traitement des données
concernent les activités de contrôle des traite-
Les données sont de qualité si tous les liens d'un ments mentionnées dans le référentiel COSO,
bout à l'autre de la chaîne de traitement de la « La pratique du contrôle interne ». En alignant
transaction sont solides. L'exactitude et l'exhaus- délibérément les activités de contrôle prévues par
tivité des transactions sont essentielles pour les le GAIT avec les objectifs de traitement des don-
métiers. Bien que l'entité utilisatrice soit proprié- nées, le RAI peut élaborer une approche intégrée
taire des données, le prestataire de services est res- et optimisée pour évaluer le risque lié aux SI.
ponsable de la mise à disposition ou de la gestion
de l'environnement informatique où de nombreux Risques liés à la gestion de projet
processus de contrôle peuvent affecter la qualité
de ces données. La qualité des données est expo- Les projets qui ont échoué ou sont remis en cause
sée à un risque à chaque étape de la chaîne de trai- peuvent avoir un impact significatif sur une orga-
tement, que ce soit au moment où les données nisation selon les besoins du métier. Les impacts
sont saisies dans un système source, au cours de peuvent être les suivants :
leur transfert d'un système à un autre, ou au cours • Une interruption du service client.
des processus d'extraction, de transformation et de • Une perte d’avantage concurrentiel.
téléchargement. • Des amendes liées aux infractions réglemen-
taires.
Exploitation de centres de traitement de • Une perte de chiffre d'affaires.
données • Un impact négatif sur la réputation.
• Des retards dans le déploiement d'initiatives
Qu'il s'agisse de services spécialisés, de centres de stratégiques, de produits ou de processus
traitement de données ou d'infogérance, dans un importants.
environnement exploité ou centralisé, l'exploita- • Une baisse du retour sur investissement
tion de centres de traitement de données com- attendu.
porte probablement le facteur de risque inhérent • La fermeture ou l'endommagement d'une ins-
le plus élevé de l'accord d'infogérance. Ce risque tallation.
couvre le portefeuille de services de centres de trai-
tement de données et les domaines d'exploitation In fine, la direction est chargée de veiller à la réa-
standard, notamment : lisation du projet et des avantages, bien que des
• Des services mainframes gérés. pénalités puissent être infligées au prestataire de
• Des services de sauvegarde et de stockage. services au titre des échecs dans le projet. Une
• Des services d'hébergement Internet. revue des risques inhérents au projet peut contri-
• Des services de gestion de serveurs. buer à sa réussite. Il est préférable de revoir un
• Des services de cloud. projet le plus tôt possible. Les revues réalisées au
• Des services de modernisation de centres de cours des premières étapes du projet peuvent être
traitement de données. les plus utiles car elles permettent d'identifier les

26
GTAG – Prestations d’infogérance : éléments
à prendre en compte pour les risques et les contrôles

problèmes pouvant être résolus à moindre coût Composantes de la gestion de services


comparativement aux problèmes décelés ultérieu- informatiques
rement ou après la mise en œuvre.
Il est primordial, pour l'entité utilisatrice et le pres-
Principales catégories de contrôle de
tataire de services, de comprendre l'architecture
l'infogérance
opérationnelle de la prestation informatique. La
qualité de la prestation et la relation entre l'entité
Les principaux domaines de la prestation de ser-
utilisatrice et le prestataire de services devraient
vices d'infogérance sont divers et varient d'une
être au centre de toute revue.
organisation à une autre. Ces domaines couvrent
les capacités de services (par exemple un environ-
Gestion des configurations et des
nement de serveurs logiciels utilitaires de changements
moyenne gamme / cloud computing) et les fonc-
tions de prestation de services (par exemple l'ex- La gestion des configurations comprend des com-
ploitation de centres de traitement de données et posantes de l'infrastructure et des services dénom-
le support de l'infogérance). En organisant les més « éléments de configuration » (Configuration
contrôles en catégories gérables, la direction Items). Ils sont conservés dans une base de don-
pourra déterminer une méthode d'assurance et nées appelée « base de données de gestion des
obtenir une vision exhaustive du risque. configurations » (Configuration Management Data-
Base). Il ne s'agit pas d'un simple registre des actifs.
Comme indiqué, le GAIT n'identifie pas les Cette base de données contient des informations
contrôles clés spécifiques. Il identifie les processus sur la maintenance, les évolutions et les problèmes
généraux de contrôle des SI et les objectifs associés rencontrés avec les éléments de configuration,
de contrôle des SI pour lesquels des contrôles clés ainsi que les relations entre les éléments de confi-
devraient être identifiés et exploités durant le pro- guration et les données sous-jacentes (par exem-
cessus d'évaluation des risques. D'autres outils, ple les personnes et les organisations). Une base
tels que les Control Objectives for Information and de données sur la gestion des configurations peut
Related Technology (CobiT), ou l'Information Techno- être une base de données physique unique ou peut
logy Infrastructure Library (ITIL), peuvent être uti- englober plusieurs bases de données physiques.
lisés pour identifier puis évaluer des contrôles clés
spécifiques des SI. Une bonne base de données de gestion des confi-
gurations devrait pouvoir :
L'ITIL, développé par l’OGC (UK Office of Govern- • Fournir des éléments de configuration exacts
ment Commerce), fait partie des cadres de référence (y compris les dépendances et les liens) aux
les plus utilisés pour la gestion de services SI. Il autres processus ITIL et opérationnels réunis
offre un ensemble cohérent des meilleures pra- dans une base de données centrale et logique.
tiques mises en œuvre par les secteurs privé et • Prendre en compte tous les éléments de confi-
public. De nombreuses organisations ont déjà pris guration et leurs attributs contrôlés.
ce cadre de référence comme modèle pour la pres- • Vérifier que les données contribuent au respect
tation de services. Un audit de la prestation de ser- des obligations informatiques, financières, juri-
vices basé sur l'approche de l'ITIL peut fournir à diques et de sécurité d'une organisation.
la direction des informations précieuses fondées • Valider les éléments de configuration stockés
sur une norme mondiale bien conçue permettant dans la base de données de gestion des confi-
d’améliorer la gestion et la prestation de services gurations par comparaison avec les situations
informatiques. autorisées (via la gestion des changements) et
découvertes (avec des outils de recensement /

27
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

découverte) en effectuant des vérifications, des Gestion du contrat de niveaux de service


contrôles de conformité et des audits.
Le contrat de niveaux de service est la pierre angu-
La gestion des changements consiste à s'assurer laire de la prestation. Il devrait être clairement
que tous les changements apportés aux éléments mesurable. Toutes les données chiffrées relatives
de configuration sont effectués de façon planifiée au contrat de niveaux de services devraient être
et autorisée. Il s'agit notamment de s'assurer que produites par le système et infalsifiables. L'audit
chaque changement est motivé par une raison de l'infogérance devrait vérifier que les rapports
opérationnelle ou technologique, d'identifier les sur les niveaux de services sont soumis aux res-
éléments de configuration spécifiques et les ser- ponsables appropriés et que des revues perti-
vices SI affectés par le changement, d'obtenir les nentes sont réalisées. La gestion du contrat de
autorisations des services concernés et des experts niveaux de service couvre également la documen-
techniques, de planifier le changement, de le tester tation, le traitement, la surveillance et la gestion
et d'avoir un plan de secours au cas où il aboutirait des plaintes, les marques de satisfaction et tout
à un résultat imprévu pour l'élément de configu- autre commentaire des clients.
ration. Un changement désigne une modification
de l'environnement géré des SI, notamment En outre, l'audit de l'infogérance devrait évaluer
l'ajout, la suppression ou le remplacement d'un les pratiques suivantes. Tous les objectifs de niveau
composant (élément de configuration) ou d'un de service devraient être :
service dans cet environnement. • Clairs et non équivoques.
• Acceptés et approuvés par le client et le pres-
Gestion des capacités et continuité des tataire de services.
services • Mesurables.

Les demandes concernant les SI augmentent Tous les objectifs prévus par les contrats de ser-
parallèlement au développement des activités, et vices opérationnels ou les contrats sous-jacents
la capacité des réseaux, de stockage, informatique devraient être alignés avec ceux du contrat de
et des fonctions de support devraient rester en niveaux de services.
phase avec l'évolution de la demande. Un audit de
l'infogérance devrait valider l’existence d’un pro- Gestion des incidents et des problèmes
cessus assurant que les métiers participent en
amont à la surveillance des capacités et à la plani- Les processus de gestion des incidents devraient
fication des capacités futures, et que les plans sont enregistrer en termes quantifiables clairs les
régulièrement revus. Une bonne gestion des capa- impacts de tous les incidents, notamment le
cités permet une qualité de services constante. nombre d'utilisateurs affectés, le nombre d'heures
de travail, la complexité, l'impact sur le chiffre d'af-
La gestion de la continuité veille à ce que les opé- faires du métier et sur le respect de la réglementa-
rations critiques des métiers puissent se poursuivre tion. Un audit devrait revoir tous les rapports
en cas d'interruption de service ou d'une catas- d'incidents et vérifier qu'ils ont été résolus de
trophe. Les éléments détaillés de la gestion de la manière satisfaisante, que l'analyse de la cause a
continuité sont formalisés dans les plans de conti- été effectuée et que des mesures préventives ont
nuité d'activités et les plans de secours informa- été prises pour éviter que le problème ne se repro-
tique. Ces documents devraient comprendre des duise.
objectifs et délais de reprise clairs et réalistes. Ils
devraient être conçus et élaborés pour soutenir la Les facteurs clés de succès du processus de gestion
reprise des fonctions critiques, et être revus, mis à des incidents sont :
jour et testés régulièrement. • La centralisation des données sur la gestion
des incidents.

28
GTAG – Prestations d’infogérance : éléments
à prendre en compte pour les risques et les contrôles

• L'accès aux informations de la base de don- 4. Optimisation agile – Des processus de déve-
nées de gestion des configurations. loppement et d'optimisation itératifs sont uti-
• Les indicateurs de performance. lisés afin d'éviter des caractéristiques inutiles
• Des responsabilités clairement définies. et de veiller à l'intégration des caractéristiques
• La gestion de la répartition des cas entre les essentielles.
différents responsables.
• Un classement des incidents selon des catégo- 5. Expertise en gestion de projet – Il est fait
ries standard. appel à des chefs de projet qui comprennent
• L'accès aux contrats de niveaux de service. les compétences et pratiques de base. Par
exemple, un chef de projet professionnel cer-
Le processus de gestion des incidents devrait com- tifié du Project Management Institute.
porter les procédures suivantes :
• Identification et classement des problèmes. 6. Gestion financière – La capacité à gérer les
• Investigation et diagnostic des problèmes. ressources financières, à évaluer les risques et
• Évaluation des erreurs. à démontrer la valeur du projet.
• Résolution des problèmes / erreurs.
• Communications sur la situation / mise à jour. 7. Ressources compétentes – Recrutement,
gestion et contrôle de personnels compétents
Gestion de programme / projet en gestion de projet afin de lutter contre la
rotation du personnel et les autres difficultés
La revue d'un projet entrant dans le cadre d'un liées au personnel.
audit de l'infogérance devrait être axée sur cinq
domaines clés (voir le GTAG « Audit des projets 8. Méthodologie formelle – L'ensemble des
SI ») : techniques prédéfinies basées sur des proces-
• Alignement du métier et des SI. sus qui constituent une feuille de route sur les
• Gestion de projet. événements qui doivent se produire et leur
• Existence d'une solution SI. chronologie.
• Gestion des changements.
• Post-mise en œuvre. 9. Outils et infrastructure – Bâtir et gérer l'in-
frastructure du projet à l'aide d'outils qui faci-
La revue du projet devrait intégrer des contrôles litent la gestion des tâches, des ressources, des
concernant les facteurs de succès suivants : exigences, des changements, des risques, des
fournisseurs et de la qualité.
1. Implication de l'utilisateur – Les utilisateurs
des métiers et des SI sont impliqués dans les
processus de prise de décision et de collecte
des informations.

2. Soutien de la direction générale – Les diri-


geants favorisent l'alignement avec la stratégie,
apportent un soutien financier et aident à
résoudre les conflits.

3. Clarté des objectifs métier – Les parties pre-


nantes comprennent la valeur stratégique du
projet et la façon dont il est aligné avec la stra-
tégie.

29
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

Tableau 4 : Éléments à prendre en compte pour le contrôle des projets par étape
(exemple)
Étape du projet Éléments à prendre en compte pour le contrôle

• Business case clair et solide.


• Évaluations réalistes et exhaustives des coûts et des avantages.
Conception et développement
• Implication précoce de toutes les parties prenantes.
• Prise en compte rigoureuse des contrôles de sécurité et d'intégrité.

• Leadership proactif et remontée d’informations en temps réel.


• Implication de toutes les parties prenantes.
Gestion de projet • Identification et remontée des problèmes.
• Délais réalistes et objectifs clairs.
• Pilotage et tests rigoureux avant le démarrage.

• Gestion des changements et formation.


Mise en œuvre • Suivi régulier et fiable des avantages.
• Évaluations constantes de la satisfaction du client.

Méthodes d'assurance pour L'auditeur interne peut :


l'infogérance • Donner une assurance en examinant les sys-
tèmes d'identification et de gestion efficace des
Cette section expose les différentes méthodes que risques menaçant la prestation de services mis
le management devrait utiliser pour obtenir une en place par le management.
assurance sur les risques liés à l'infogérance. La • Donner une assurance en réalisant fréquem-
gestion de ces risques devrait être réalisée par le ment des revues approfondies de la gestion de
prestataire de services et l'entité utilisatrice. Elle la prestation de services.
sera nettement plus fructueuse si la relation entre • Donner une assurance en examinant les sys-
les deux parties est solide. Les prestataires de ser- tèmes de remontée d’informations sur la per-
vices qui ne valoriseraient pas l’obtention et la formance et les systèmes utilisés pour suivre et
fourniture d’une assurance au travers de l'audit et gérer la réalisation des objectifs.
de la surveillance pourraient souffrir d'un net dés- • Obtenir une assurance en s'appuyant sur d'au-
avantage compétitif comparativement à ceux qui tres prestataires d'assurance.
comprennent la nécessité d'une assurance pour le • Jouer un rôle de conseiller plus proactif
client. concernant les différents aspects de l'ensemble
du processus de prestation de services – par
Rôle de l'auditeur interne dans la prestation de exemple en étant impliqué précocement dans
services la conception des systèmes afin de veiller à ce
que les besoins de l'entité utilisatrice soient
En l’absence de mécanismes efficaces de gestion identifiés, ou en suivant les actions de la direc-
des prestations de services, l’organisation risque tion.
de ne pas réaliser ses objectifs. Les auditeurs
internes ont un point de vue unique et sont bien L'audit de l'infogérance
placés pour évaluer les politiques, procédures et
opérations mises en place pour surveiller la réali- Le processus d'externalisation expose les clients et
sation des objectifs de l'organisation, et identifier les prestataires de services à une série de risques
et gérer les risques qui les menacent. qui peuvent gravement affecter leurs activités.
Gérer ces risques en améliorant la qualité et l'effi-

30
GTAG – Prestations d’infogérance : éléments
à prendre en compte pour les risques et les contrôles

cience du contrôle interne fait de l’audit de l’info- reuse qu'un audit. Les rapports d'audit sur les ser-
gérance une composante incontournable pour vices pourraient perdurer à la demande des clients.
toutes les organisations impliquées dans ce pro-
cessus. L'audit interne peut non seulement inter- Normes américaines : En avril 2010, l'Auditing
venir sur les éléments du processus d’infogérance Standards Board de l'AICPA a publié la norme
au sein de l’organisation, mais également sur les SSAE 16. Comme ISAE 3402, il s'agit d'une attes-
éléments externes de ce processus. En outre, l'au- tation.
dit de l'infogérance peut être étendu de l'entité
utilisatrice au prestataire de services grâce à une Rapports de l'AICPA sur les contrôles d'un
collaboration réciproque. D'autres approches prestataire de services : En promulguant SSAE
d'audit, telles que les tests de cheminement et la 16, l'AICPA a instauré trois rapports sur les
surveillance continue, peuvent renforcer la colla- contrôles des prestataires de services (« rapports
boration entre le prestataire de services et le client, SOC ») afin d'élargir le périmètre des probléma-
ainsi que le niveau d'assurance obtenu grâce à tiques examinées par les experts-comptables qui
l'audit. auditent des prestataires de services. Ceci permet
de renforcer la confiance des organisations envers
ISAE 3402 / SSAE 16 les processus de prestation de services. Les rap-
ports SOC distinguent trois catégories d'audit de
ISAE 3402 est devenue une norme largement prestataires de services, ce qui doit permettre à ces
reconnue. Elle indique que les objectifs et les acti- derniers de répondre à des besoins spécifiques et
vités de contrôle du prestataire de services ont été de se réorienter sur des risques particuliers :
examinés par un cabinet d'audit et d'expertise • Rapport SOC 1 – Rapport sur les contrôles
comptable indépendant. Des rapports externes sur d'un prestataire de services utiles pour le
les contrôles internes des prestataires de services contrôle interne sur l'information financière
décrivent les processus de contrôle des services des entités utilisatrices.
réalisés par un prestataire. Ces rapports donnent • Rapport SOC 2 – Rapport sur les contrôles
aux utilisateurs des informations utiles pour éva- d'un prestataire de services utiles pour la sécu-
luer les risques liés l’externalisation d’un service. rité, la disponibilité, l'intégrité des traitements,
Si un prestataire de services fait réaliser une revue la confidentialité ou la protection des données
selon la norme ISAE 3402, il bénéficie d'une meil- personnelles.
leure crédibilité, essentielle pour respecter les exi- • Rapport SOC 3 – Rapport public de fiabilité
gences réglementaires et comptables des clients. d’un prestataire de services.
Les audits de prestataires de services sont néces-
saires pour que l'entité puisse affirmer qu'elle a Recours par l’auditeur à la fonction d'audit
mis en place des procédures d'audit et de contrôle interne d'un prestataire de services : Les nou-
appropriées pour gérer son activité conformément velles normes d'attestation permettront à l'audi-
à la Section 404(b) de la loi Sarbanes-Oxley. teur d'un prestataire de services de s'appuyer non
seulement sur la description des processus faite
Les Normes par le management, mais également sur les audi-
teurs internes du prestataire de services.
Normes internationales : En décembre 2009,
l'IAASB a adopté la norme ISAE 3402 comme pro- Problème lié à une dépendance excessive
cédure « d'attestation » pour l'évaluation de la
conformité des contrôles des SI et processus d'un Auparavant, les audits SAS 70 de type II servaient
prestataire de services. Par son attestation, le pro- souvent de norme aux sociétés cotées pour satis-
fessionnel de l'audit se prononce sur des sujets faire aux exigences de la Section 404(b) de la loi
autres que l'image fidèle que donnent les états Sarbanes-Oxley sur les informations concernant
financiers. Une attestation peut être moins rigou- « l’audit et les contrôles ». Cette dernière couvre

31
GTAG – Cycle de vie de l’infogérance : éléments à
prendre en compte pour les risques et les contrôles

les contrats d'externalisation. Toutefois, les nou- La réalisation d'évaluations et d’une surveillance
veaux rapports « d'attestation » réduiront la continues des indicateurs clés de risque fournira
confiance des utilisateurs car l'auditeur d'un pres- une assurance, mais révèlera surtout les problèmes
tataire de services n'exercera pas un jugement précocement. Cela permettra au management de
aussi important que dans le cadre des rapports prendre des mesures et de contrer le risque.
SAS 70 de type II. Autrement dit, l'entité utilisa-
trice exercera son propre jugement sur le caractère
acceptable des rapports d'attestation, et pourra
demander un rapport d'attestation spécial sur les
« objectifs de contrôle » définis par l'utilisateur. Les
entités utilisatrices devront désormais s'appuyer
davantage sur les prestataires de services pour réa-
liser l'analyse des risques, et les utilisateurs
devront détecter les écarts dans cette analyse.

Aux termes des nouvelles normes d'assurance, il


appartient au prestataire de services de définir les
risques auxquels il est confronté et comment il
prévoit de les surveiller et de les atténuer afin de
s’assurer de la réalisation des objectifs de contrôle.

Surveillance des indicateurs clés de risque

Il convient de surveiller les risques émergents et


d'y répondre rapidement. Un indicateur clé de
risque est un indicateur utilisé par le management
pour mesurer le risque inhérent à une activité. Si
un indicateur clé de performance mesure la qualité
d'une activité, un indicateur clé de risque reflète la
possibilité d'un impact négatif futur. Les indica-
teurs clés de risque agissent comme des signaux
d'alerte précoces en révélant une modification du
profil de risque d'une organisation. En tant que
tels, les indicateurs clés de risques sont essentiels
à un cadre de risque et de contrôle complet, et à
une bonne pratique de gestion des risques. Ce
sont des indicateurs qui peuvent montrer que l'or-
ganisation est exposée, ou est potentiellement for-
tement exposée à un risque dépassant son seuil de
tolérance. La surveillance des indicateurs clés de
risque peut aider une activité à réduire ses pertes
et à éviter une exposition en gérant précocement
une situation de risque avant la survenue d'un
événement. L'entité utilisatrice et le prestataire de
services devraient élaborer des indicateurs clés de
risque adaptés à leurs besoins dans le cadre du
processus de management des risques.

32
GTAG – Annexe A : Programme d'audit
du cycle de vie de l’infogérance

Annexe A : Programme matière d'externalisation et des projets, ou du


temps affecté à la participation des auditeurs. Ce
d'audit du cycle de vie de programme présente deux exemples de participa-
l’infogérance tion : un audit complet de toutes les étapes ou des
domaines critiques sur lesquels l'audit pourrait se
Ce programme d'audit de base sert à évaluer les concentrer dans des délais limités, ou pour les-
risques et les processus d'une entité utilisatrice quels une opinion indépendante pourrait renfor-
lorsqu'elle décide d'externaliser. L'implication de cer l'assurance du management. De nombreuses
l'auditeur interne dans le cycle de vie de l'externa- variations sont envisageables en fonction des
lisation peut varier sensiblement selon l'implica- attentes des parties prenantes de l’audit et de leur
tion des autres fonctions d'assurance ou experts appétence ou de leur tolérance pour le risque.
externes, de l'expérience du management en

CYCLE DE VIE DE L’INFOGÉRANCE


Audit Domaines
Étape d'audit
complet critiques
Adéquation stratégique et évaluation de l'infogérance
Objectif d'audit : Identifier les options d'externalisation et déterminer le périmètre.
Risques : Non alignés avec les stratégies de l'organisation ; mauvaise décision ; perte
d'actifs ; retour sur investissement moindre.
• Comprendre le contexte stratégique et déterminer si les informations sous-jacentes
X
sont fiables et complètes (selon le cas).
- Existe-t-il une cartographie des processus du modèle d'activité ? X
- Les options sont-elles hiérarchisées en fonction des avantages et des risques ? X
- Une étude de marché et un benchmarking ont-ils été réalisés ? X
Résumer les résultats et documenter les conclusions. X
Processus de prise de décision – business case
Objectif d'audit : Évaluer si l'organisation a élaboré un business case fiable.
Risques : Le meilleur prestataire n'est pas choisi ; perte d'actifs, retour sur investisse-
ment moindre ou préjudice pour la réputation en cas de baisse de la qualité des ser-
vices ; impact réglementaire potentiel.
• Évaluer si les informations contenues dans l'analyse détaillée sont fiables et pren-
X X
nent en compte tous les risques métier et le risque lié à la mise en œuvre.
- L'analyse détaillée des risques et des avantages métier a-t-elle intégré les risques
liés à la réalisation et à l'impact d'un échec ?
- La meilleure option est-elle sélectionnée en fonction du rapport coûts / avantages ?
• Déterminer si la gouvernance et le processus d'approbation sont transparents et
X X
fiables.
- Existe-t-il une relation entre la stratégie de l'organisation et la gouvernance ?
• Évaluer si les parties et les experts compétents ont été impliqués dans le processus. X
• Évaluer si les principales parties prenantes sont tenues informées. X X
• Résumer les résultats et documenter les conclusions. X

33
GTAG – Annexe A : Programme d'audit
du cycle de vie de l’infogérance

CYCLE DE VIE DE L’INFOGÉRANCE


Audit Domaines
Étape d'audit
complet critiques
Processus d'appel d'offres et conclusion du contrat
Objectif d'audit : Déterminer si la sélection d'un prestataire se conclue par un contrat
favorisant le succès.
Risques : L’accord n'est pas optimisé ou l'organisation n'est pas protégée contre des
écarts par rapport aux exigences de qualité, de disponibilité et d'intégrité / de confi-
dentialité ; perte d'actifs, retour sur investissement moindre et préjudice pour la répu-
tation ; impact potentiel sur le respect de la réglementation.
• Déterminer si un processus d'approbation et d’achat approprié a été suivi. X
• Revoir les besoins d'assurance concernant le contrat et les contrôles du prestataire
(par exemple besoin d'une assurance du type SAS 70 ou des nouvelles normes X X
SSAE 16 ou ISAE 3402) et évaluer si une clause autorisant l'organisation à procéder à
des audits est rédigée et intégrée au contrat.
- Revoir les exigences, le périmètre et les appels d'offre.
• Déterminer si l'équipe chargée du projet est constituée et si elle dispose des res-
X
sources nécessaires à la mise en œuvre.
- Revoir le niveau et la qualification des membres de l'équipe.
• Évaluer si les fonctions management des risques, juridique, ressources humaines et
X X
finance ont été convenablement impliquées.
• Revoir les contrats et documents liés à la négociation, et la documentation relative
X X
au plan de sortie.
• Revoir la documentation et les résultats de la revue approfondie réalisée par la
direction opérationnelle et l'équipe chargée du projet. Évaluer leur pertinence et X X
leur exhaustivité.
• Réaliser les étapes supplémentaires jugées nécessaires, en se concentrant sur l'adé-
quation des normes de contrôle du prestataire et les niveaux de conformité.
• Résumer les résultats et documenter les conclusions. X
Mise en œuvre et transition
Objectif d'audit : Déterminer si la transition a été exécutée comme prévu avant de
démarrer de nouvelles activités.
Risques : Perte d'actifs ou retour sur investissement moindre du fait d'inefficiences et
de risques non gérés ; interruption de service et impact sur les clients ; qualité opéra-
tionnelle moins bonne que prévu.
• Réaliser une revue avant la mise en œuvre ou faire en sorte que l'audit assiste aux réu-
X X
nions sur la gouvernance afin d'assurer que le projet suit des procédures standard.
• Revoir les revues approfondies ou évaluer la revue réalisée par la direction des acti-
vités du prestataire et les moyens d'obtenir une assurance sur les capacités et l'his- X X
torique de qualité du prestataire.
• Revoir les plans de secours si la transition n'est pas convenablement effectuée. X
- Déterminer si les risques et les actions sont identifiés, limités et communiqués
convenablement aux parties prenantes.
• Résumer les résultats et documenter les conclusions. X

34
GTAG – Annexe A : Programme d'audit
du cycle de vie de l’infogérance

CYCLE DE VIE DE L’INFOGÉRANCE


Audit Domaines
Étape d'audit
complet critiques
Surveillance et remontée d’informations
Objectif d'audit : Évaluer la supervision et le contrôle de l'activité externalisée.
Risques : Les relations et la prestation sont associées à un préjudice, à une perte d'ac-
tifs et à un retour sur investissement moindre ; le processus n'est pas maintenu ni
optimisé comme prévu.
• Déterminer comment la performance du prestataire et son respect des clauses
X X
contractuelles seront régulièrement évalués et examinés par le management.
• Revoir les mesures et autres indicateurs clés de performance utilisés. X
• Revoir comment les éléments préoccupants et les domaines d'amélioration sont
communiqués et exploités pour améliorer les opérations / les contrats actuels et X
futurs.
• Résumer les résultats et documenter les conclusions. X
Renégociation
Objectif d'audit : Évaluer si la nouvelle relation évolue et s’améliore.
Risques : L'optimisation est atteinte, mais avec un retour sur investissement et une
qualité opérationnelle future moindres ; il est impossible de trouver de meilleures
alternatives ou les augmentations de prix ne sont pas justifiées.
• Déterminer les stratégies et les informations nécessaires à une optimisation des
X
négociations futures.
• Revoir les mesures et autres indicateurs clés de performance utilisés. X
- Revoir et comparer la performance aux études récentes de marché et de bench-
X
marking.
- Déterminer si la direction fixe de nouveaux objectifs fondés sur la performance. X
• Comprendre les résultats réels de performance, droits de réversibilité, activités de
contrôle afin d'assurer que les experts et les propriétaires du processus apportent X
des améliorations avant la renégociation.
• Résumer les résultats et documenter les conclusions.X X

35
GTAG – Annexe A : Programme d'audit
du cycle de vie de l’infogérance

CYCLE DE VIE DE L’INFOGÉRANCE


Audit Domaines
Étape d'audit
complet critiques
Réversibilité
Objectif d'audit : Évaluer si l'accord est réversible et considéré comme faisant partie
intégrante d'un plan d'affaires / d'une stratégie, si nécessaire.
Risques : Paralysie face à une situation défavorable ou à des opportunités ; absence
de marge dans les négociations futures ; perte d'actifs et interruption de service en
cas de réintégration ou de transfert du processus à un autre prestataire ; coûts non
anticipés en cas d'échec de l'externalisation.
• Comprendre les plans de secours si l’accord ne fonctionne pas. X
• Quantifier les coûts estimés et la probabilité d'un échec. Ces facteurs ont-ils été pris
X X
en compte dans le plan d'affaires et les exigences de retour sur investissement ?
- Est-il possible de faire appel à d'autres prestataires efficacement pour combler les
X
écarts potentiels ?
- Le prestataire est-il viable ? X
- Les facteurs conduisant à changer, ou à envisager de changer, de prestataire
X
sont-ils compris par la direction et prédéfinis ?
- La direction a-t-elle pris en compte les autres risques pouvant motiver une réinté-
gration du processus ? Ces risques ont-ils été évalués, notamment les risques X
macroéconomiques, politiques et géographiques ?
- Le prestataire dispose-t-il d'un plan de continuité d'activités solide ? Les efforts
entrepris par le prestataire dans le cadre de son plan de continuité d'activités X X
sont-ils viables ?
• Évaluer les conditions d'une résiliation du contrat. X X
• Résumer les résultats et documenter les conclusions. X

36
GTAG – Annexe B : Programme d'audit
des prestations d’infogérance

Annexe B : Programme risques dans le cadre d'un audit complet ou d'un


test de cheminement de la conception des
d'audit des prestations contrôles. Un audit complet est censé fournir une
d’infogérance assurance sur l'efficacité des activités de contrôle.
Un test de cheminement de la conception des
Ce programme d'audit de base sert à évaluer le contrôles est censé donner à la direction une éva-
prestataire de services. Les services fournis ou luation de la conception des activités de contrôle.
consommés devraient être identifiés et les Les étapes du test de cheminement sont hiérar-
contrôles utiles ajoutés au programme. Ce pro- chisées au cas où les ressources, le budget ou les
gramme est destiné à couvrir les domaines de délais seraient limités.

PROGRAMME D'AUDIT DES PRESTATIONS D’INFOGÉRANCE

Test de chemi-
Audit nement de la
Étape d'audit conception des
complet
contrôles

Gouvernance
Objectif d'audit : Déterminer si la relation client-prestataire de services (le contrat)
X X
prévoit une gouvernance et une supervision adéquates.
Risques : Détérioration de la relation client-prestataire de services. X X
• Le contrat devrait indiquer la répartition des responsabilités, et les politiques et les
normes de sécurité à suivre, et définir des objectifs clairs pour le niveau des ser- X X
vices.
• Le niveau de compétences des ressources devrait correspondre au service fourni. X
• La communication entre le prestataire de services et le client est formalisée et suffi-
X X
sante pour contribuer au bon déroulement de la relation contractuelle.
Sécurité
Objectif d'audit : Évaluer la sécurité à chaque couche de l'infrastructure des SI. X X
Risques : Les systèmes client sont accessibles sans autorisation, ou les données peu-
X X
vent être perdues, diffusées ou divulguées sans autorisation.
• Il existe des politiques et des procédures de sécurité qui sont suivies. X X
• Les données sensibles sont identifiées et protégées. X
• L'accès est contrôlé tous les niveaux (documenté, autorisé, revu et révoqué). X
• Les exigences légales et réglementaires sont identifiées et respectées. X
• Les patchs des systèmes sont réalisés. X
• Il existe un processus de surveillance proactif de la sécurité. X X

37
GTAG – Annexe B : Programme d'audit
des prestations d’infogérance

PROGRAMME D'AUDIT DES PRESTATIONS D’INFOGÉRANCE

Test de chemi-
Audit nement de la
Étape d'audit conception des
complet
contrôles

Qualité des données


Objectif d'audit : Déterminer s'il existe suffisamment de contrôles pour garantir la
X X
qualité des données.
Risques : Les données sont incomplètes, inexactes ou ne sont pas communiquées en
X X
temps utile.
• Des contrôles d’intégrité devraient être intégrés aux interfaces, comme des algo-
X
rithmes de hachage et des décomptes.
• La réussite ou l'échec des tâches qui traitent les données sont contrôlés, et il existe
X X
un processus pour pallier les échecs.
• Les données devraient être convenablement protégées (par exemple en étant chif-
X
frées) lors des transferts au-delà des frontières sûres.
Gestion des configurations
Objectif d'audit : Évaluer l'existence, l'exhaustivité et l'exactitude de la base de don-
X
nées sur la gestion des configurations.
Risques : La base de données ne contribue pas au bon déroulement des processus
X
opérationnels.
• Fournir des éléments de configuration exacts (y compris les dépendances et les
liens) aux autres processus ITIL et opérationnels réunis dans une base de données X
centrale et logique.
• Prendre en compte tous les éléments de configuration et leurs attributs contrôlés. X
• Vérifier que les données contribuent au respect des obligations informatiques,
X
financières, légales et de sécurité d'une organisation.
• Valider les éléments de configuration stockés dans la base de données sur la ges-
tion des configurations par comparaison avec des situations autorisées (via la ges-
tion des changements) et découvertes (avec des outils de recensement / X
découverte) en effectuant des vérifications, une revue de la conformité et des vérifi-
cations d'audit.

38
GTAG – Annexe B : Programme d'audit
des prestations d’infogérance

PROGRAMME D'AUDIT DES PRESTATIONS D’INFOGÉRANCE

Test de chemi-
Audit nement de la
Étape d'audit conception des
complet
contrôles

Gestion des changements


Objectif d'audit : Déterminer si les changements sont effectués de façon planifiée et
X X
autorisée.
Risques : Des changements non autorisés ou non planifiés entraînent des problèmes
X X
de fonctionnalité ou de performance des systèmes.
• Des tests sont réalisés afin de valider la fonctionnalité du changement avant son
X
transfert à un environnement de production.
- Les changements sont approuvés et documentés avant d’être transférés à un
X X
environnement de production.
- Les tâches sont convenablement séparées, permettant d'éviter que des change-
X
ments non autorisés ne soient effectués dans l'environnement de production.
• Les bibliothèques de programmes – bibliothèques d'applications et schémas de
bases de données (selon le cas) – sont examinées afin de vérifier que les change- X
ments sont appropriés.
Gestion des capacités
Objectif d'audit : Déterminer si les capacités du système sont contrôlées et gérées afin
X
de pouvoir répondre aux besoins des métiers.
Risques : Les capacités du système ne répondent pas aux besoins des métiers. X
• Il existe un processus de surveillance des capacités et de planification des capacités
X
futures.
• La planification est effectuée avec la participation des opérations / des métiers et
X
anticipe la demande réelle.
• Les plans de capacité sont régulièrement examinés. X
• Les capacités sont surveillées et les résultats sont conservés et revus afin de déga-
X
ger des tendances.

39
GTAG – Annexe B : Programme d'audit
des prestations d’infogérance

PROGRAMME D'AUDIT DES PRESTATIONS D’INFOGÉRANCE

Test de chemi-
Audit nement de la
Étape d'audit conception des
complet
contrôles

Continuité des services


Objectif d'audit : Évaluer si l'organisation dispose d'un plan de continuité d'activités et
X X
d'un plan de secours informatique efficaces.
Risques : Les activités critiques pour l’entreprise sont paralysées après une catastrophe
X X
ou une interruption.
• Il existe un plan de continuité d'activités documenté. X X
• Il existe un plan de secours documenté. X X
• Les plans ont été revus et approuvés, et ils sont régulièrement revus. X X
• Les plans sont testés / répétés régulièrement (au moins une fois par an). X X
• Les plans comportent des objectifs et des délais de reprise d'activités réalistes. X
• Les plans sont élaborés afin de participer à la reprise de fonctions critiques. X
Gestion du contrat de niveaux de services
Objectif d'audit : Évaluer si l'accord comprend un contrat de niveaux de services et si
X X
l'organisation surveille et communique les indicateurs de ce contrat.
Risques : La satisfaction du client est affectée ; des pénalités pourraient être infligées ;
X X
le contrat peut ne pas être renouvelé ou peut être annulé.
• Tous les objectifs de niveau de service sont clairs et non équivoques. X
• Tous les objectifs de niveau de service sont acceptés et approuvés par l'entité utili-
X
satrice et le prestataire de services.
• Tous les objectifs de niveau de service sont mesurables. X
• Tous les objectifs prévus par les contrats de services opérationnels ou les contrats
X
sous-jacents sont alignés avec ceux du contrat de niveaux de services.
• Les indicateurs sont produits par le système et infalsifiables. X
• Les rapports sur le contrat de niveaux de services revus par la direction (et le client). X X
• Il existe un processus pour gérer les plaintes des clients. X

40
GTAG – Annexe B : Programme d'audit
des prestations d’infogérance

PROGRAMME D'AUDIT DES PRESTATIONS D’INFOGÉRANCE

Test de chemi-
Audit nement de la
Étape d'audit conception des
complet
contrôles

Gestion des incidents


Objectif d'audit : Déterminer si l'organisation a mis en place un processus de gestion
X X
des incidents.
Risques : Interruption de l'activité et problèmes de performance. X X
• Il existe un processus et un outil pour gérer les incidents. X X
• Les données sur la gestion des incidents sont centralisées et accessibles. X
• Les opérateurs de la gestion des incidents ont accès aux informations concernant la
X
base de données sur la gestion des configurations.
• Les incidents sont gérés sur la base d'indicateurs de performance clairs : « time to
X
own » (TTO) délai d’affectation et « time to fix » (TTF) délai de résolution.
• Les indicateurs sont examinés par le management et des mesures correctives sont
X X
prises si nécessaire.
• Les opérateurs de la gestion des incidents sont formés. X
• Les incidents sont classés et hiérarchisés afin de contribuer au bon déroulement de
X
l'activité.
Gestion des problèmes
Objectif d'audit : Déterminer si l'organisation a mis en place un processus de gestion
X
des problèmes.
Risques : Les causes des problèmes ne sont pas identifiées et les incidents continuent
X
de provoquer des perturbations.
• Les problèmes sont identifiés et classés. X
• Les problèmes font l'objet d'une investigation et sont diagnostiqués, et leur cause
X
est documentée.
• Les problèmes sont résolus et la situation / les mises à jour sont communiquées à la
X
direction.

41
GTAG – Annexe B : Programme d'audit
des prestations d’infogérance

PROGRAMME D'AUDIT DES PRESTATIONS D’INFOGÉRANCE

Test de chemi-
Audit nement de la
Étape d'audit conception des
complet
contrôles

Exploitation de centres de traitement de données


Objectif d'audit : Déterminer si les centres de traitement des données ayant un
impact sur les services disposent d'une infrastructure adéquate pour prévenir les X X
pannes ou les interruptions de services (généralement « Tier III » tel que défini par le
Uptime Institute).
Risques : Le prestataire ne peut fournir ou maintenir la prestation de services. X X
• La sécurité physique et logique est mise en place et gérée convenablement. X X
• La température et le taux d'humidité sont contrôlés. X
• L'alimentation électrique (universelle) et la mise à la terre sont installées afin d'éviter
X
des pannes ou des interruptions de service.
• Des détecteurs de fumée et des dispositifs de prévention contre les incendies sont
X
installés et régulièrement testés.
Gestion de programme / projet
Objectif d'audit : Déterminer si l'organisation suit une méthode standard de gestion
X
de projet.
Risques : Le projet ne satisfait pas les objectifs métier ; le projet dépasse les délais et le
X
budget.
Conception et développement - Déterminer si les critères suivants sont satisfaits : X
• Il existe un business case clair et solide pour le projet. X
• Des évaluations réalistes et exhaustives des coûts et des avantages sont réalisées. X
• Les principales parties prenantes sont toutes impliquées précocement. X
• Les contrôles de sécurité et d'intégrité sont rigoureusement pris en compte. X
Gestion de projet - Déterminer s'il existe : X
• Un leadership proactif et une remontée d’informations en temps réel. X
• Une implication de toutes les principales parties prenantes. X
• Une identification et remontée des problèmes. X
• Des délais réalistes et des objectifs clairs. X
• Un pilotage et des tests rigoureux avant le démarrage. X
Mise en œuvre - Déterminer s'il existe : X
• Une gestion des changements et une formation. X
• Un suivi régulier et fiable des avantages. X
• Des évaluations constantes de la satisfaction du client. X

42
GTAG – Auteurs et réviseurs

Auteurs, relecteurs et
contributeurs
Auteurs
Bradley C. Ames, CPA, CISA
Frederick Brown, CISA, CRISC, ITIL-F
Jeanot Deboer
Dragon Tai, CIA, CCSA, CISA, CFE
Michael Lynn, CPA
Cesar L.Martinez, CIA, CGAP

Relecteurs et contributeurs
Steven Stein, CIA, CISA, CISSP, CFE, CGEIT
Steve Hunt, CIA, CRMA
Steve Jameson, CIA, CCSA, CFSA, CRMA

Réviseurs
Marie-Elisabeth Albert, CIA
José Bouaniche, CIA, CISA
Emeline Bredy, CIA
Julien Cornuché, CIA
Béatrice Ki-Zerbo, CIA
Yann Le Bourthe
Jacques Renard

43
A PROPOS DE L’INSTITUTE OF INTERNAL AUDITORS
Fondé en 1941, The Institute of Internal Auditors (IIA) est une organisation professionnelle internationale dont le
siège mondial se situe à Altamonte Springs, en Floride, aux États-Unis. L’Institute of Internal Auditors est la voix
mondiale, une autorité reconnue, un leader incontesté et le principal défenseur de la profession d’auditeur interne.
C’est également un acteur de premier plan pour la formation des auditeurs internes. Il est représenté en France
par l’IFACI.

A PROPOS DES GUIDES PRATIQUES


Les guides pratiques détaillent la réalisation des activités d’audit interne. Ils contiennent des processus et des pro-
cédures, tels que les outils et techniques, les programmes et les approches pas-à-pas, et donnent des exemples de
livrables. Les guides pratiques s’inscrivent dans le Cadre de référence international des pratiques professionnelles
de l'audit interne de l’Institute of Internal Auditors. Ces guides pratiques relèvent de la catégorie des dispositions
fortement recommandées. La conformité à ces guides pratiques n’est donc pas obligatoire, mais fortement recom-
mandée. Ces guides ont été officiellement révisés et approuvés par l’IIA.
Le Global Technologies Audit Guide (GTAG) est un type de guide pratique qui aborde, dans un langage courant,
une question d’actualité liée à la gestion, au contrôle ou à la sécurité des technologies de l’information.
Pour de plus amples informations sur les documents de référence proposés par l’Institute, vous pouvez consulter
notre site Web, www.theiia.org.guidance ou www.ifaci.com.

AVERTISSEMENT
L’Institute of Internal Auditors publie ce document à titre informatif et pédagogique. Cette ligne directrice n’a pas
vocation à apporter de réponses définitives à des cas précis, et doit uniquement servir de guide. L’Institute of
Internal Auditors vous recommande de toujours solliciter un expert indépendant pour avoir un avis dans chaque
situation. L’Institute dégage sa responsabilité pour les cas où des lecteurs se fieraient exclusivement à ce guide.

COPYRIGHT
Le copyright de ce guide pratique est détenu par l’Institute of Internal Auditors et par l’IFACI pour sa version fran-
çaise. Pour l’autorisation de reproduction, prière de contacter l’Institute of Internal Auditors à l’adresse
guidance@theiia.org ou l’IFACI à l’adresse recherche@ifaci.com.

The Institute of Internal Auditors IFACI


247 Maitland Avenue, Altamonte Springs 98bis, Boulevard Haussmann
Florida 32701, États-Unis 75008 PARIS, France
Téléphone : +1 407 937 1100 Téléphone : 01 40 08 48 00
Télécopie : 1 407 937 1101 Fax : 01 40 08 48 20
Site Web : www.theiia.org Site Web : www.ifaci.com
Courrier électronique : guidance@theiia.org Courrier électronique : recherche@ifaci.com