Académique Documents
Professionnel Documents
Culture Documents
SOMMAIRE :
1- Introduction ....................................................................................3
2- Etat de l’art......................................................................................5
3- L’Audit du SI .................................................................................6
3-1 les domaines d’audit..................................................................7
3-2 les critères d’audit.....................................................................8
6- Conclusion......................................................................................19
RESUME :
Pour justifier et planifier leurs dépenses informatiques, les directions des
systèmes d’information sont depuis longtemps conduites à évaluer et
auditer leurs systèmes d’information et plus particulièrement leurs
applications informatiques. Les sites web développés par les entreprises
sont devenus des applications cruciales, voire stratégiques, à l’instar des
sites de e-commerce. Dans cette communication, nous proposons une
méthodologie d’audit spécifique pour l’évaluation d’un site web, quelle que
soit sa nature. Cette méthodologie est fondée sur un modèle hiérarchique
multicritère. L’audit du site web est réalisé en procédant à l’évaluation de la
qualité de ce site en fonction d’un nombre limité de critères. Nous
analysons les difficultés particulières liées à ce type d’audit, notamment
dues au nombre de ses utilisateurs et à leur localisation. Nous dégageons
une démarche spécifique inspirée de l’audit d’une application classique.
Nous illustrons notre approche sur un cas réel. Enfin, les voies de recherche
future sont décrites.
Bibliographie :
Akoka J. et Comyn-W. (2001), “ Auditing Computer and
Management Information Systems ”, Encyclopedia of Library and
Information Science, A. Kent, Volume 68, Marcel Dekker, Inc., New
York.
1. Introduction
2
C’est sans réelle planification que les entreprises ont été amenées à
concevoir et mettre en œuvre des sites web, permettant a minima de
diffuser l’information relative à leurs produits et services et, le cas échéant,
de servir de canal de vente et même de distribution. Ces sites sont des
applications informatiques, souvent conçues sans méthode structurée.
La maintenance de ces applications est rendue plus difficile, notamment en
raison de deux facteurs :
- la nécessité de faire évoluer constamment le contenu des sites,
- la difficulté à remanier des applications conçues de façon non
systématique.
3
La méthodologie Infauditor a été définie de façon générale pour auditer
l’ensemble du système d’information d’une entreprise. Elle comprend, en
particulier, une arborescence d’évaluation d’une application informatique.
Le reste de notre exposé est organisé comme suit : Dans la deuxième partie,
nous présentons un état de l’art. La troisième partie est consacrée au rappel
des concepts de base de l’audit d’un SI. Dans la quatrième partie, nous
décrivons la méthodologie Infauditor d’audit d’une application
informatique. Dans la cinquième partie et dernière partie, nous illustrons
cette démarche par une étude de cas. Sur la base de ce cas, nous proposons
un ensemble d’adaptations de notre démarche générale au problème
particulier de l’audit d’un site web, quelle que soit sa nature.
4
2. Etat de l’art
En revanche, il existe à ce jour peu de travaux sur l’audit des sites web, en
termes de systèmes d’information. Les travaux qualifiés d’audit de site web
se concentrent principalement sur l’analyse des flux et des statistiques
associés à l’utilisation du site web. Danna et Laroche proposent une
méthode d’identification des profils des utilisateurs au moyen d’un
algorithme de classification floue des accès recensés dans les journaux
d’enregistrement du site. James Lewin propose une démarche d’audit et
d’évaluation de site web. Les critères retenus sont la présentation,
l’architecture, la visibilité, l’accessibilité, l’utilisabilité, l’adéquation du
contenu, l’interactivité, l’intégrité et la conformité aux lois. Une démarche
particulière en ce qui concerne les aspects juridiques est présentée par
Verbiest. Deshpande décrit succinctement une démarche d’audit de site
web, fondée sur les étapes suivantes :
- recueil d’informations,
- entretiens avec les fonctionnels,
- entretiens avec les informaticiens,
- entretiens avec les utilisateurs,
- et tests techniques.
3. L’audit du SI
6
Tout système d’information comporte deux dimensions principales, la
dimension technologique et la dimension organisationnelle et managériale.
La notion de domaine permet d’affiner ces deux dimensions. Ainsi, l’audit
de la dimension technologique comprend l’évaluation de :
- la sécurité informatique,
- l’exploitation,
- des projets informatiques,
- des applications,
- et des réseaux.
7
Avant de démarrer une mission d’évaluation d’un système d’information,
l’auditeur doit valider auprès de son commanditaire le ou les domaines à
auditer et le ou les critères retenus pour évaluer le système.
L’étape suivante consiste à générer l’arborescence d’audit, c’est-à-dire
l’ensemble des nœuds des domaines retenus. Pour permettre une évaluation
globale, chaque nœud de cette arborescence est affecté d’un poids. La note
d’évaluation d’un nœud, par exemple la sécurité physique d’un système
d’information, résulte de la somme pondérée des notes calculées lors de
l’évaluation de chacun des sous-domaines de la sécurité physique. Au
niveau élémentaire, c’est l’auditeur qui, au vu des résultats du test d’audit,
affecte une note et une appréciation au nœud terminal correspondant. Un
exemple partiel d’arborescence est donné figure 1. A chaque niveau, un
seul nœud est déployé. Les valeurs numériques figurant sur les arcs sont les
poids de chaque nœud dans l’évaluation de leur nœud parent.
Audit
d’une
application
8
L’avantage de la méthodologie Infauditor est qu’elle permet d’aborder
l’analyse de façon structurée. De plus, elle peut être adaptée aisément à des
domaines particuliers ou à des situations spécifiques, soit en aménageant
l’arborescence, soit en modifiant les poids. Dans la partie suivante, nous
décrivons de façon plus précise l’audit d’une application avant de
l’appliquer à l’audit d’un site web.
Il est fréquent qu’un auditeur soit amené à évaluer une application. Ainsi,
dès qu’un problème d’insatisfaction des utilisateurs, de temps de réponse
trop long, de maintenance coûteuse, de fiabilité, etc., se produit,
l’application informatique est rapidement mise en cause par ses utilisateurs
et peut conduire la direction des systèmes d’information ou le directeur du
service utilisateur à effectuer ou commander un audit de cette application.
Les audits d’application sont aussi utilisés par les cabinets de conseil pour
évaluer le patrimoine informatique d’une filiale à acheter par exemple. La
décision de recourir à un progiciel de gestion intégrée peut résulter de
l’audit d’une application jugée archaïque. Bref, ce type d’opération est très
fréquent. Disposer d’une méthode structurée permettant d’auditer et
d’évaluer une application, quelle qu’elle soit, est un atout précieux.
Dans Infauditor, nous proposons d’évaluer le domaine correspondant à une
application selon les huit critères suivants :
4-3 Fiabilité
L’audit de la fiabilité d’une application consiste à vérifier qu’il existe des
procédures de gestion et de suivi des incidents et d’en mesurer l’efficacité.
Cet audit comprend deux éléments principaux :
4-5 Cohérence
La cohérence de l’application peut être mesurée par rapport à un référentiel
interne ou externe. Elle consiste à s’assurer que l’application répond aux
standards en termes de méthode de conception, de développement et de
maintenance.
4-6 Performance
L’auditeur est amené à conduire des tests sur l’application pour vérifier que
les temps de réponse sont satisfaisants et que l’application n’a pas d’impact
négatif sur l’ensemble du système d’information, ce qui peut être le cas par
exemple si elle consomme toutes les ressources matérielles disponibles.
4-7 Maintenabilité
La facilité de maintenance d’une application est évaluée par interview des
informaticiens responsables d’effectuer les évolutions logicielles, tant en
termes de maintenance corrective que de maintenance évolutive.
4-8 Rentabilité
Le développement de l’application a nécessité un investissement dont il
faut évaluer la rentabilité, c’est-à-dire le retour sur investissement. Les
informations relatives à cet aspect financier sont parfois disponibles dans
l’étude préalable et/ou l’étude de faisabilité. Dans la plupart des cas, ils
n’ont pas été mis à jour. L’audit complet de l’application doit aussi tenir
compte de cet aspect en évaluant les bénéfices réalisés au moyen de cette
application. Ces bénéfices doivent être dégrevés des coûts d’exploitation et
de maintenance de l’application.
L’ensemble des critères précédents sont regroupés sous forme
d’arborescence multicritère pondérée. C’est cette arborescence que nous
nous proposons d’adapter au cas particulier d’un site web. A priori, un site
web peut être assimilé à une application informatique. En conséquence, la
démarche précédente peut sembler adéquate dans la réalisation d’un audit
de site web. Néanmoins, il existe un ensemble de différences entre une
application classique et un site web. Dans la suite, nous proposons
d’analyser ces différences et d’adapter la démarche Infauditor à l’audit d’un
site web.
Adéquation aux
besoins
Performance du Elle est jugée très bonne. Il n'y a pas de file d'attente. Un site
service miroir permet un "back up" continu. Le serveur est
actuellement suffisamment puissant, la bande passante aussi.
Sécurité
Contrôle des Il existe plusieurs niveaux de Le contrôle n'est effectué que sur
traitements contrôle et des procédures
sous forme de check-list les nouvelles pages
Fiabilité
Performance Acceptable
Maintenabilité Satisfaisante
5-2 Discussion
La méthodologie Infauditor s’avère applicable à un site web. Elle permet
une approche structurée et une évaluation systématique des différents
aspects importants relatifs au site web. Toutefois, cette expérimentation et
la revue de la littérature nous conduisent à proposer certains aménagements
de la méthodologie Infauditor pour ce type très spécifique d’application.
Par exemple, la notion de procédure parallèle est très difficile à mettre en
application. Dans un site de commerce électronique, peut-on considérer que
l’acheteur qui utilisera un autre canal de vente que le site web utilise une
procédure parallèle ? Oui, dans la mesure où cela peut refléter un manque
de confiance dans la transaction électronique. Non, s’il ne dispose pas de ce
moyen de commercer avec l’entreprise.
Cet aspect n’est pas majeur dans l’audit d’une application. Pourtant, c’est
un moyen de mesurer la satisfaction des utilisateurs.
Plus généralement, plusieurs éléments différencient un site web d’une
application informatique classique :
- le nombre d’utilisateurs est généralement très élevé, leur profil peut être
extrêmement varié, leur comportement et leurs besoins sont très
différents. Ces particularités vont rendre plus complexe l’évaluation de
l’adéquation aux besoins. La satisfaction des utilisateurs devra être
mesurée à l’aide de moyens spécifiques, non plus sur la base d’un
échantillon d’utilisateurs connus, mais par le biais d’un questionnaire
on-line, enrichi d’une analyse statistique sur le journal de suivi des
accès au site.
- Les utilisateurs sont pour la plupart externes à l’organisation. Le site
web est une application ouverte, plus vulnérable. La sécurité de cette
application sera donc à considérer avec d’autant plus de vigilance.
- On ne peut généralement pas limiter le site web à une application.
L’accès par un utilisateur à un site va impacter plusieurs applications,
l’application de gestion des accès, l’application de gestion du contenu,
les modules de sécurité du SI, etc. L’audit du site web doit concerner
toutes les applications reliées à travers ce site.
- La plupart des sites proposent deux modes d’accès : un mode public
sans contrôle d’identité, fournissant une information limitée et un mode
“ privé ” nécessitant une authentification et, le cas échéant, un paiement
électronique. Cette particularité augmente la vulnérabilité du site face
aux intrusions et impacte l’audit de la sécurité de cette application.
- La mesure de la fiabilité du site requiert l’exploitation des journaux
(fichiers “ log ”). C’est une tâche bien plus conséquente que le suivi
d’incidents d’applications classiques.
- La performance du site web est, elle aussi, complexe à évaluer. D’une
part, il faut la mesurer à différents moments, par exemple à l’aide de
routines spécifiques. D’autre part, il faut prendre en compte la
performance des différentes applications appelées et la performance des
réseaux (Intranet et Internet) sur lesquels transitent les interactions.
- La qualité de la documentation diffère en ce qui concerne la
documentation utilisateur. En effet, celle-ci est complètement en ligne,
intégrée à l’interface utilisateur. La convivialité de la documentation est
étroitement liée à celle de l’application et inversement.
- La maintenabilité du site web est un aspect important. Notons que
l’application correspondante est plus sujette à maintenance qu’une
application classique : son contenu évolue parfois d’heure en heure.
Toutefois, des outils de gestion de contenu peuvent être utilisés pour
faciliter cette mise à jour. On considèrera donc qu’un site qui utilise
astucieusement de tels outils a une maintenabilité largement supérieure.
- La rentabilité d’un site web mesure le rapport entre l’investissement
consenti pour son développement et sa maintenance avec les bénéfices
liés à son exploitation. Dans ces bénéfices, il convient d’évaluer pour les
sites marchands la part de marché atteinte via ce créneau de
commercialisation. On mesure de plus l’efficacité du service au client
rendu par le moyen des conseils en ligne, des moteurs de recherche
intégrés au site, etc.
- Enfin, le référencement du site est un critère important d’évaluation de
son adéquation aux besoins, mais aussi de sa rentabilité. Il convient de
mesurer ce référencement et de pallier les lacunes éventuelles, par
exemple par le moyen d’accords commerciaux.
- Le risque d’audit est élevé dans la mesure où il n’est pas possible
d’interroger un grand nombre d’utilisateurs, ni même – dans de
nombreux cas – de connaître ces utilisateurs.
- Les aspects juridiques deviennent cruciaux dans ces systèmes
d’information ouverts. C’est un critère supplémentaire à considérer dans
l’audit. En particulier, le nom du site ne doit pas être sujet à réclamation
par des tiers. Les textes, images, sons intégrés dans le site doivent être
conformes au droit de la propriété intellectuelle. Le site ne doit pas
contenir de lien vers des sites dont le contenu est illégal. Pour se
protéger de réclamations liées au contenu informationnel, le site doit
contenir une clause exonératoire de responsabilité.
A la lumière de ces différences, la démarche d’audit d’une application
adaptée à un site web nécessite plusieurs types de transformations :
l’aménagement de l’arborescence :
Les limites de notre approche de l’audit d’un site web sont celles de la
méthodologie d’analyse hiérarchique multicritère, et donc d’Infauditor. Elle
impose une connaissance préalable de l’ensemble des critères pouvant
intervenir dans l’évaluation d’un site web. De plus elle nécessite le
regroupement de ces critères à des niveaux d’agrégation appropriés. Enfin,
elle requiert une pondération de ces critères adaptés au site web considéré
et aux objectifs poursuivis par les responsables de ce site.
6. Conclusion :
Dans cet exposé, nous avons présenté une démarche structurée d’audit d’un
site web. Dans un premier temps, nous avons défini les concepts relatifs à
l’audit d’un système d’information. Puis nous avons proposé une
méthodologie d’audit d’une application. Cette dernière, appelée Infauditor,
est fondée sur un modèle hiérarchique multicritère formant une
arborescence pondérée d’audit. Nous avons appliqué cette démarche à
l’audit d’un site web réel, puis nous avons montré les différences
importantes existant entre une application classique et un site web. Fondées
sur cette expérience, nous avons proposé des adaptations de notre démarche
d’audit d’application afin de tenir compte des spécificités d’un site web. Le
résultat constitue une démarche autonome et structurée d’audit d’un site
web, qu’il s’agisse d’une vitrine, d’un portail ou d’un site de e-commerce.