Fruit d’un groupe de travail réunissant une soixantaine d’experts adhérents de ISACA France, du Cigref et de l’IFACI, ce guide a pour vocation d’être un véritable référentiel des bonnes pratiques de gouvernance du numérique pour l’audit et l’évaluation de la maturité. Il intègre toutes les évolutions que connaît le monde du numérique.
La dernière édition du GAGSI (Guide d’audit de la gouvernance du système d’information de l’entreprise numérique), publiée en 2019, posait déjà les bases d’un outil d’audit de gouvernance efficace des systèmes d’information applicable à toutes les entreprises et administrations. Un premier pas réalisé grâce à la volonté stratégique des trois associations, qui viennent de finaliser un nouveau « Modèle de Maturité et d’Audit de la Gouvernance du Numérique » (MAGNUM): ISACA-France1, le Cigref2 et l’IFACI. Un guide de bonnes pratiques, entièrement pensé pour accompagner les adhérents avec simplicité et efficacité.
« Après un premier constat, en 2022-2023, qui avait abouti à un mémo synthétisant les évolutions de la gouvernance du numérique, publié par le Cigref en 2023, nous nous sommes forgés la conviction qu’il fallait mettre à jour l’édition de 2019 », explique Véronique Beaupère, Consultante en stratégie et gouvernance des systèmes d’information, et administratrice de ISACA France, qui a codirigé les travaux. « ISACA-France avait déjà développé un référentiel de mesure de la maturité de la gouvernance, qui a été intégré dans nos travaux. Nous avons ainsi rapproché à la fois les notions d’audit et celles de mesure de la maturité ».
Une mise à jour « augmentée » du précédent guide qui prend toute son importance au regard de l’accélération des évolutions du digital, et des risques liés, devenus une préoccupation majeure pour les auditeurs internes, comme le souligne la dernière étude Risk in focus. La cybersécurité et la sécurité des données tout comme la transformation digitale, y apparaissent en effet largement en tête des préoccupations des professionnels européens du risque, notamment face à la percée de l’intelligence artificielle.
« Nos trois associations, chacune par leurs travaux parallèles, ont acquis la conviction que la maîtrise de la gouvernance du numérique n’est aujourd’hui plus négociable pour les entreprises, c’est devenu un impératif » confirme de son côté Djilali Kies, qui était jusqu’en septembre DSI du groupe TDF, actuellement consultant en stratégie et en gouvernance du numérique, qui est intervenu en tant que pilote du projet pour le Cigref. « Nous avons donc décidé de regrouper nos efforts, avec pour objectif d’aller au-delà du guide d’audit et de produire cette fois un référentiel de bonnes pratiques accompagné d’un puissant modèle de maturité. Il permet d’auditer et d’évaluer la performance de la gouvernance du numérique sur plusieurs dimensions enrichies par la prise en compte des nouveaux enjeux et évolutions que l’on connaît à date du monde du numérique ».
Ces travaux ont réuni une soixantaine d’experts, adhérents des trois associations
Lancés à la fin de l’année 2024, ces travaux ont permis à une soixantaine d’experts, adhérents des trois associations, de collaborer régulièrement au sein d’ateliers ciblant chacun des 12 principaux vecteurs du modèle de maturité – la stratégie, l’architecture, la donnée, le risque, la gestion de projet, etc. Cette démarche a également intégré des sujets émergents désormais incontournables comme l’IA, la menace cyber ou la RSE. Cette dernière a d’ailleurs été ajoutée comme vecteur à part entière.
« Il était important de ne pas s’attacher à une tendance technologique du moment, » insiste Djilali Kies, « mais bien d’avoir une ouverture d’esprit qui permette de faire en sorte que ce guide reste d’actualité pour les deux à trois ans à venir ».
L’IA est ainsi largement abordée, mais au travers de plusieurs vecteurs plutôt qu’un seul qui lui serait dédié.
Les experts qui ont participé aux travaux sont issus de tout type d’organisation, exerçant des responsabilités variées au sein de l’entreprise : des auditeurs, des DSI, des architectes de systèmes d’information, des consultants… Une diversité des profils impliqués qui a permis un résultat adapté à toutes les situations.
« Après un inventaire des évolutions numériques, chaque association a pris en charge 4 à 5 vecteurs, » poursuit Djilali Kies, « et nous avons animé des groupes de travail croisés auxquels participaient des adhérents des trois structures. Nous avons également constitué un comité des sages, un comité de pilotage pour mettre tous les travaux en cohérence et assurer la relecture. Cette relecture, réalisée en commun, a représenté pratiquement autant de temps que les travaux en eux-mêmes, afin de s’assurer d’une véritable cohérence, d’un même niveau de détail, dans la façon de présenter les sujets. »
« Les responsables d’audit ont aujourd’hui besoin d’avoir de l’assurance sur ces sujets »
« Maîtriser les questions de gouvernance du numérique est devenu un enjeu très important pour une direction d’audit interne, » estime de son côté Guillaume Cuisset, associé chez KPMG, qui travaille sur la partie gestion des risques technologiques et est membre du groupe professionnel système d’information et risques digitaux au sein de l’IFACI3. « Les responsables d’audit ont aujourd’hui besoin d’avoir de l’assurance sur ces sujets : est-ce que mon SI est sécurisé ? Est-ce que la manière dont il est géré est efficiente ou peut-on y apporter des améliorations ? Ces postes sont consommateurs de budget et l’on doit pouvoir déterminer si les investissements qui sont réalisés dans la transformation digitale vont porter leurs fruits, s’ils sont en adéquation avec la stratégie ou s’ils risquent d’exposer l’organisation, demain, à des failles. Tous ces sujets, en fait, trouvent une réponse dans la gouvernance du numérique. Ce nouveau modèle de maturité constitue donc un super outil à maîtriser pour un auditeur interne. C’est une matière qui va lui permettre de discuter, selon un même champ lexical, avec son DSI, son directeur du numérique, tout en s’appuyant sur un référentiel de bonnes pratiques qui est partagé par les deux métiers, puisqu’il aura été construit collégialement entre nos trois associations ».
Si la structure de ce nouvel outil est finalement assez proche du GAGSI de 2019, la forme est assez différente, plus moderne. « Le guide est au format PDF avec l’ensemble des vecteurs dans lesquels nous avons intégré les niveaux de maturité, » reprend Véronique Beaupère. « Nous avons ajouté un fichier Excel qui pourra servir de guide d’audit et intègre la mesure de la maturité pour qu’il y ait un aspect concret et pratique pour les auditeurs ou toute personne appelée à l’utiliser, afin qu’il soit directement opérationnel pour leur analyse ». La publication est disponible en français, et très prochainement en anglais, ici.
1 Faisant partie d’un réseau international de 188 000 membres présent dans 195 pays, ISACA France œuvre pour un digital de confiance. Depuis 1982, l’association aide les organisations à mettre leur système d’information au service de leur stratégie et de leur développement, et renforce les compétences des professionnels, grâce à un ensemble de formations et de certifications dédiées.
2 Le Cigref est une association représentative des grandes entreprises et administrations publiques françaises, utilisatrices de solutions et services numériques, qui accompagne ses membres dans leurs réflexions collectives sur leurs enjeux numériques.
3 Le groupe professionnel système d’information et risques digitaux de l’IFACI réunit des adhérents qui échangent sur des sujets autour par exemple des normes réglementaires, des nouvelles normes de l’audit interne, des nouveaux standards de l’IA, des tendances de marché autour du cloud ou de l’obsolescence IT.
