Publie le 26 août 2011, dans Informatique, Méthodes, Qualité, Sécurité

Le guide d’audit pour réussir l’audit de ses prestataires informatiques


2011 03 01 Le guide d’audit pour réussir l’audit de ses prestataires informatiques

Les entreprises dépendent incontestablement de l’outil informatique (logiciels de gestion, logiciels bureautiques, accès Internet, messagerie d’entreprise). Dès lors, il s’agit de s’intéresser à la manière dont les prestations de service seront assurées dans le temps car, en tant que fonction support des activités métiers, leur déficience pourrait impacter directement vos activités donc la satisfaction de vos clients.

Cette liste n’est pas exhaustive, mais elle couvre globalement les prestations de service assurées par votre service informatique interne et/ou par un ou plusieurs prestataires de service informatique.

  • Sauvegarde des données : intégrité de l’information
  • Support des utilisateurs : poste de travail informatique
  • Support des utilisateurs : logiciels bureautiques et logiciels de gestion
  • Projets de développement de nouvelles applications informatiques
  • Gestion des demandes d’amélioration des applications informatiques en production
  • Gestion des incidents : correction des bugs des applications informatiques
  • Gestion de la messagerie d’entreprise : envoi et réception des messages, filtrage antiviral et anti spam
  • Gestion des droits d’accès : confidentialité de l’information
  • Gestion du réseau informatique, y compris les accès vers Internet ou les accès au réseau de l’entreprise de l’extérieur : disponibilité des ressources

Les données d’entrée : informations internes

Dans les grandes entreprises, on trouve classiquement des contrats avec les « clients » utilisateurs permettant de lister le périmètre des prestations de service. Si vous avez externalisé certaines prestations informatiques, vous disposez nécessairement de contrats décrivant, avec plus ou moins de précision, les engagements de qualité. La première chose à faire est donc de retrouver tous les écrits décrivant le « contrat ».

Les données d’entrée : les exigences ISO 9001

Les exigences ISO 9001 ne sont pas très détaillées dans la version ISO 9001 : 2008. Qu’avons nous toutefois à notre disposition pour avancer sur le sujet ?

  • Exigences du paragraphe 6.3 « L’organisme doit déterminer, fournir et entretenir les infrastructures nécessaires pour obtenir la conformité du produit ». Plus précisément « c) les services support (tels que la logistique, les moyens de communication ou les systèmes d’information) ».
  • Exigences du paragraphe 4.1 « Le type et l’étendue de la maîtrise devant être appliquée à ces processus externalisés doivent être définis dans le système de management de la qualité ». Plus précisément « NOTE 2 et 3 ».

Cas du département informatique de son entreprise

Dans le cadre de votre SMQ, il faut bien prendre en compte les systèmes d’information, il n’y a pas de doute d’après l’exigence du paragraphe 6.3 ! Comment ?

Sous la forme d’un processus généralement afin de pouvoir appliquer les principe de maîtrise et d’amélioration continue : voir l’article « L’approche processus comme outil de management» pour plus d’information.

Si les activités informatiques de votre entreprise sont traitées dans un processus du SMQ, alors vous disposez éventuellement d’informations écrites :

  • fiche du processus informatique : données d’entrée et de sorties, …
  • revue de processus
  • outils de surveillance pour garantir la maîtrise du processus
  • indicateurs de performance : objectifs qualitatifs associés aux services rendus
  • plan d’amélioration du processus informatique

Dans le cadre de votre système de management de la qualité, vous pouvez utiliser l’audit interne. Pour allez plus loin dans la méthodologie, je vous invite à voir l’article « Réussir les audits internes en 4 étapes ».

Cas de la prestation informatique externalisée

Dans le cadre de votre système de management de la qualité, il y a à « définir » le type de la maîtrise ET l’étendue de la maîtrise de ce que l’on appelle « un processus externalisé ». Il n’y a donc pas de doute à ce sujet.

Nous sommes en présence d’un ou plusieurs fournisseurs informatiques pouvant impacter la satisfaction de vos clients. Cette situation nous amène nécessairement au sujet de l’évaluation des fournisseurs : cf le paragraphe 7.4 de la norme ISO 9001 et l’article « Améliorer la performance de l’entreprise avec l’évaluation de vos fournisseurs ».

Comment faire confiance à son prestataire informatique ?

Sur la base du contrat, vous devez vous appuyer sur des éléments qui vont vous donner confiance. Rappelez-vous que c’est de la responsabilité de votre entreprise de maîtriser son fournisseur et dans la majeure partie du temps, vous ne pourrez pas dire qu’il n’impacte pas vos clients !

Si l’on reprend la liste des activités énoncées au début de l’article, il en ressort trois mos clés :

  1. Avoir une disponibilité des ressources informatiques : Réseau, Internet, applications de gestion, …
  2. Avoir la garantie de l’intégrité de l’information : Une décision prise sur des données « erronées » peut être préjudiciable à l’entreprise.
  3. Avoir une confidentialité de l’information

Les deux premiers points sont essentiels pour travailler au quotidien avec ses clients. Le troisième point n’est pas à écarter du tout car l’information doit être considérée comme un élément du « patrimoine » de l’entreprise. Certaines informations se doivent donc d’être confidentielles.

Si votre fournisseur informatique a mis en oeuvre un SMSI (Système de Management de la Sécurité de l’information), il vous fournira éventuellement son certificat ISO 27001. Pour en savoir plus, vous pouvez lire l’article « Comment protéger l’information de son entreprise? ».

Vous pourrez obtenir une certaine confiance :

  • En animant les indicateurs de performance définis dans le contrat de prestations informatiques
  • En obtenant le certificat ISO 9001 de votre fournisseur, mais cela n’est pas suffisant car la protection de l’information (disponibilité, intégrité, confidentialité) n’est pas abordé par la norme ISO 9001
  • En obtenant le certificat ISO 27001 de votre fournisseur : il y en a très peu en France à aujourd’hui
  • En réalisant vous-même, ou par une société tiers, un audit de votre prestataire informatique

Et si vous faisiez vous-même l’audit de votre prestataire informatique ?

Pour cela, il faut construire votre guide d’audit en vous appuyant sur :

  • Les éléments du contrat : Plan de management de la qualité construit dans le cadre de la relation client – fournisseur
  • Les exigences ISO 9001 et ISO 27001

Pour ce dernier point, dans la mesure où votre fournisseur est certifié par un organisme tierce partie, la « profondeur » de votre audit devra nécessairement être adapté, une certification amenant nécessairement un certain niveau de confiance. Cela ne vous empêchera toutefois pas d’auditer des sujets, par échantillonnage, en fonction de vos attentes.

Quels sont les thèmes propres au métier « informatique » ?

La liste est non exhaustive car cela dépend des prestations proposées : conception et maintenance d’applications logicielles, hébergement d’un outil de gestion, gestion du réseau d’entreprise, gestion des sauvegardes, support utilisateurs, …

Thèmes liés au système de management de la sécurité de l’information

  • Axes de la politique du SMSI
  • Politique de sécurité
  • Méthode d’appréciation des risques (ISO 27005 ou autres méthodes)
  • Identification des risques (acceptation – évitement – transfert – réduction)
  • Identification des risques résiduels (acceptable – non acceptable
  • Mesures de sécurité prises en compte (ISO 27001 : annexe A )
  • Plan de traitement des risques (plan d’actions PDCA)
  • Traitement des incidents
  • Audits internes : planification des audits et résultats obtenus
  • Revues de direction : résultats des audits internes, retours des parties prenantes, avancement des plans d’actions, revue des risques, les indicateurs de surveillance et de performance
  • Gestion du progrès : actions correctives, actions préventives, actions d’amélioration

Thèmes liés à la sécurité de l’information

Ces thèmes, au nombre de 133, sont listés dans l’annexe A de la norme ISO 27001.

Pour avoir une meilleure compréhension, vous pouvez également consulter le détail (les objectifs des 11 articles, les mesures de sécurité, les préconisations de mise en œuvre) dans la norme ISO 27002 « Code bonne pratique pour la gestion de la sécurité de l’information ».

Cela permet évidemment de se familiariser avec les thèmes adressés dans le cadre de la sécurité de l’information : une connaissance du vocabulaire permet d’être plus crédible pendant un audit, mais on vous demandera pas d’être l’expert de firewall, du VPN, du DNS, par exemples. Ce qui vous intéresse est de voir si votre prestataire applique le PDCA pour chacune de ces mesures de sécurité retenues.

Exemple d’une mesure de sécurité :

« Il convient consistant à réaliser des copies de sauvegarde des informations et des logiciels, et de les soumettre régulièrement à essai conformément à la politique de sauvegarde convenue. »

To plan

  • Quelle est votre stratégie de sauvegarde des données ?
  • L’étendue des sauvegardes est-elle cohérente par rapport aux besoins des métiers ?

To do

  • Comment assurez-vous les différentes sauvegardes (base de données, répertoires utilisateurs, messagerie, …) ?
  • Comment assurez-vous la dissociation géographique entre les données sources et les données sauvegardées (envisager les sinistres de vol, d’incendie, d’inondation, par exemples) ?
  • Comment protéger vous les supports de sauvegardes ?

To check

  • Comment vérifiez-vous que les sauvegardes sont bien réalisées conformément à votre politique de sauvegarde des données ?
  • Comment réalisez-vous des essais de fiabilité des supports de sauvegarde ?
  • Comment réalisez-vous des tests de restauration ? A quelle fréquence ?

To act

  • Comment gérez-vous les incidents liés aux traitements de sauvegarde des données ?
  • Comment améliorez-vous votre stratégie de sauvegarde des données ?

En conclusion

Il est difficile de faire une synthèse complète sur l’audit de votre prestataire de service informatique.

Vous pouvez toutefois retenir les 3 points clés suivants :

  • Exploitez les contrats fournisseurs
  • Appuyez-vous sur les exigences l’ISO 9001 car vous êtes le client à satisfaire
  • Complétez votre guide d’audit avec les exigences de l’ISO 27001 afin de pouvoir affiner les exigences de disponibilité, d’intégrité et de confidentialité des informations qui vous appartiennent

N’hésitez pas à commenter cet article afin de compléter le sujet de l’audit des prestataires informatiques! Le débat est ouvert.

Crédit photo : Cliff Dwelling

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)

Expressions recherchées:

  • auditer un prestataire
  • outils surveillance contrat prestataire
Mots-clés: audit, erp, ISO 27000, ISO 27001, ISO 27002, ISO 27005, ISO 9001
    Partager cet article :
Autres articles Vous pouvez laisser un commentaire. Les Ping ne sont pas autorisés.

4 commentaires pour “Le guide d’audit pour réussir l’audit de ses prestataires informatiques”

  1. Bonsoir Pascal et merci pour cet article très complet.

    Je ne reviendrais pas trop sur les éléments que tu as cités, car je ne maitrise pas les exigences de différentes normes…

    En revanche, en tant qu’ex-responsable informatique, je ne peux pas être indifférent à la thématique.

    Dans les points que tu évoques, tu parles d’intégrité des données. Je ne sais pas quel est le niveau de préconisation de l’ISO27001, mais il est hallucinant de constater à quel point les systèmes de mesures qui alimentent les systèmes de données sont si peu fiables. Personnellement, je n’ai jamais fait un projet lean six sigma sans avoir à valider à deux reprises le système de mesure tant les données étaient erronées lors du premier test.

    Mon deuxième point de réflexion concerne la paperasserie… Quand je te lis, j’ai le sentiment qu’il y a beaucoup de choses à écrire, à vérifier, à contrôler (Contrat, Contrôle…). N’hésite pas à me reprendre si j’ai mal lu entre les lignes… ;-)
    Or dans le Lean Software par exemple, les cahiers des charges à l’ancien, et toute la paperasserie administrative ca va à la poubelle pour laisser place à la vélocité, c’est à dire les développements au plus vite avec un système de test automatisé qui permet à chaque incrémentation de s’assurer que le soft n’a pas perdu en fonctionnalité…

    Bref, tout ça reste encore à murir de mon côté… ;-)

    Au plaisir d’échanger avec toi sur le sujet.
    Florent.

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
  2. Bonjour Pascal,

    Excellent article complet et clair sur une thématique majeure trop souvent négligée par les entreprises qui confient les clés de leur informatique sans évaluer l’aptitude du prestataire à maîtriser leurs données.

    Une autre thématique connexe qu’il convient de maîtriser avec autant de rigueur est celle de la propriété intellectuelle des solutions développées sur le web (sites et autres applications) par ses prestataires.

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
  3. DRP Security dit :

    Je viens de tomber sur ce post très intéressant.

    Vous ne parlez pas de l’importance d’avoir des clauses juridiques fortes avec ses prestataires, et d’automatiser ce process « à la source » en insérant des clauses types dans l’ensemble des contrats IT.

    C’est pourtant une bonne manière d’automatiser et de faire entrer dans les mœurs le principe d’audit !

    Mathieu

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
  4. Pascal Weber dit :

    Bonjour Mathieu,

    Vous avez parfaitement raison. En fonction de l’impact des services du prestataire informatique, il est fondamental de contractualiser les services rendus avec des clauses juridiques. La mise en place d’indicateurs de performance permettra de « piloter » le contrat avec son prestataires informatique.

    Au plaisir de vous lire.

    Pascal Weber

    VN:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)

Laisser un commentaire