Auditer la maturité de son système d’information
Section 1: Gestion des Processus
Documentation des processus TI
1. Quel niveau de détail atteint la documentation des processus TI ?
(très détaillé, moyennement détaillé, peu détaillé, non documenté)
2. La documentation est-elle accessible à tous les employés concernés ?
(toujours, souvent, rarement, jamais)
3. La documentation des processus TI inclut-elle des exemples pratiques pour faciliter la compréhension ?
(oui, non)
Communication des processus
4. Comment les processus TI sont-ils communiqués aux parties prenantes ?
(réunions régulières, courriels, intranet, non communiqués)
5. Existe-t-il un feedback régulier des parties prenantes sur les processus TI ?
(oui, de manière formelle; oui, de manière informelle; non)
Révision des processus TI
6. À quelle fréquence les processus TI sont-ils révisés ?
(trimestriellement, semestriellement, annuellement, jamais)
7. Qui participe à la révision des processus TI ?
(direction, département TI, utilisateurs finaux, personne)
8. Les révisions des processus entraînent-elles des mises à jour de la documentation ?
(toujours, parfois, rarement, jamais)
Formation des employés
9. Les nouveaux employés reçoivent-ils une formation spécifique sur les processus TI ?
(oui, non)
10. Existe-t-il des formations continues pour les employés sur les mises à jour des processus TI ?
(oui, non)
11. Comment évaluez-vous l'efficacité des formations sur les processus TI ?
(évaluations post-formation, feedback direct, non évaluée)
Adéquation des processus avec les objectifs de l'entreprise
12. Les processus TI sont-ils régulièrement alignés avec les objectifs stratégiques de l'entreprise ?
(toujours, souvent, rarement, jamais)
13. Y a-t-il un mécanisme pour adapter les processus TI lorsque les objectifs stratégiques de l'entreprise changent ?
(oui, non)
14. Comment les décideurs évaluent-ils l'impact des processus TI sur la performance de l'entreprise ?
(analyse de performance, indicateurs clés de performance, pas d'évaluation formelle)
Formation des employés
Questions complémentaires pour une vue globale
15. Les processus TI intègrent-ils des considérations de sécurité et de conformité ?
(oui, non)
16. Comment les incidents liés aux processus TI sont-ils gérés ?
(procédure d'escalade claire, gestion ad-hoc, pas de gestion des incidents)
17. Les technologies utilisées sont-elles appropriées pour les processus actuels ?
(toujours, souvent, rarement, jamais)
Questions complémentaires pour une vue globale
18. Y a-t-il des mesures en place pour assurer la continuité des opérations en cas de défaillance des systèmes informatiques ?
(plan de continuité d'activité, assurances, aucune mesure spécifique)
19. Les processus TI sont-ils soumis à des audits externes ?
(annuellement, occasionnellement, jamais)
20. Comment la satisfaction des utilisateurs finaux est-elle mesurée concernant les processus TI ?
(enquêtes régulières, feedback spontané, non mesurée)
Section 2: Gestion de projet
Clarté des plans de projet
1. Les objectifs de chaque projet TI sont-ils clairement définis dans le plan de projet ?
(toujours, souvent, rarement, jamais)
2. Les plans de projet incluent-ils des jalons et des échéances clairement définis ?
(toujours, souvent, rarement, jamais)
3. La documentation des plans de projet est-elle accessible à toutes les parties prenantes ?
(toujours, souvent, rarement, jamais)
4. Les plans de projet sont-ils régulièrement révisés et mis à jour ?
(toujours, souvent, rarement, jamais)
5. Les plans de projet sont-ils cohérents avec les objectifs stratégiques de l'entreprise ?
(toujours, souvent, rarement, jamais)
Définition des responsabilités
6. Les responsabilités sont-elles clairement définies pour chaque rôle dans le projet ?
(toujours, souvent, rarement, jamais)
7. Les membres de l'équipe ont-ils une compréhension claire de leurs responsabilités ?
(toujours, souvent, rarement, jamais)
8. Existe-t-il des processus pour ajuster les responsabilités en fonction des besoins du projet ?
(toujours, souvent, rarement, jamais)
9. Les responsabilités sont-elles documentées et communiquées efficacement ?
(toujours, souvent, rarement, jamais)
10. Comment l'efficacité de la répartition des responsabilités est-elle mesurée ?
(évaluations régulières, feedback direct, pas d'évaluation formelle)
Suivi de la performance
11. Quels outils ou méthodes sont utilisés pour suivre la performance des projets TI ?
(logiciels spécifiques, tableaux de bord, suivis manuels, pas de suivi spécifique)
12. La performance des projets est-elle revue régulièrement ?
(hebdomadairement, mensuellement, trimestriellement, jamais)
13. Des indicateurs de performance clés (KPIS) sont-ils utilisés pour évaluer la progression des projets ?
(toujours, souvent, rarement, jamais)
14. Les projets sont-ils régulièrement évalués par rapport à leurs objectifs initiaux ?
(toujours, souvent, rarement, jamais)
15. Les révisions de projets conduisent-elles à des ajustements stratégiques ?
(toujours, souvent, rarement, jamais)
Gestion des budgets
16. Les budgets de projet sont-ils suivis et contrôlés efficacement ?
(toujours, souvent, rarement, jamais)
17. Existe-t-il des procédures pour ajuster les budgets en cas de besoin ?
(toujours, souvent, rarement, jamais)
18. Les écarts budgétaires sont-ils analysés et communiqués ?
(toujours, souvent, rarement, jamais)
19. Comment la performance financière des projets est-elle évaluée ?
(analyse détaillée des coûts, comparaison avec le budget initial, pas d'évaluation financière)
20. Les décisions budgétaires sont-elles prises en tenant compte des retours sur investissement prévus ?
(toujours, souvent, rarement, jamais)
Section 3: Gestion des Risques
Identification des risques TI
1. Les risques TI sont-ils systématiquement identifiés au début de chaque projet ?
(toujours, souvent, rarement, jamais)
2. Existe-t-il un processus standard pour l'identification des risques dans les projets TI ?
(oui, non)
3. Les risques sont-ils réévalués à différentes étapes du projet ?
(toujours, souvent, rarement, jamais)
4. Comment les parties prenantes sont-elles impliquées dans l'identification des risques ?
(participation active, consultées occasionnellement, rarement consultées, jamais)
5. Les outils ou techniques utilisés pour l'identification des risques sont-ils régulièrement mis à jour ?
(toujours, souvent, rarement, jamais)
Plans de gestion des risques
6. Chaque projet TI dispose-t-il d'un plan de gestion des risques spécifique ?
(oui, non)
7. Les plans de gestion des risques sont-ils documentés et facilement accessibles ?
(toujours, souvent, rarement, jamais)
8. Les responsabilités en matière de gestion des risques sont-elles clairement définies dans le plan ?
(toujours, souvent, rarement, jamais)
9. Les plans incluent-ils des stratégies d'atténuation pour tous les risques identifiés ?
(oui, non)
10. Comment la communication des plans de gestion des risques est-elle assurée au sein des équipes ?
(communication régulière, communication ad-hoc, rarement, jamais)
Évaluation des risques
11. Les risques sont-ils évalués en termes de probabilité et de conséquence ?
(toujours, souvent, rarement, jamais)
12. Existe-t-il des critères clairs pour classer les niveaux de risque ?
(oui, non)
13. Les évaluations des risques sont-elles basées sur des données quantitatives, des analyses qualitatives ou les deux ?
(quantitatives, qualitatives, les deux, aucune)
14. Les évaluations de risque sont-elles intégrées dans les rapports de projet réguliers ?
(toujours, souvent, rarement, jamais)
15. Comment les changements dans l'évaluation des risques sont-ils gérés au cours du projet ?
(révisions régulières, révisions ad-hoc, rarement, jamais)
Mise en œuvre des plans d'atténuation
16. Les plans d'atténuation des risques sont-ils efficacement mis en œuvre ?
(toujours, souvent, rarement, jamais)
17. Existe-t-il des ressources spécifiques allouées pour l'atténuation des risques ?
(oui, non)
18. Comment l'efficacité des mesures d'atténuation est-elle évaluée ?
(évaluations régulières, suivi des incidents, pas d'évaluation)
19. Les mesures d'atténuation ont-elles déjà permis de prévenir des incidents ?
(oui, non, inconnu)
20. Les leçons apprises de la gestion des risques sont-elles documentées et partagées ?
(toujours, souvent, rarement, jamais)
Section 4: Gestion des Ressources
Allocation des ressources
1. Les ressources sont-elles allouées en fonction des priorités des projets ?
(toujours, souvent, rarement, jamais)
2. Comment l'allocation des ressources est-elle planifiée au début des projets ?
(planification détaillée, planification générale, planification ad-hoc, pas de planification)
3. Les ressources sont-elles réévaluées et ajustées en fonction de l'avancement des projets ?
(toujours, souvent, rarement, jamais)
4. Existe-t-il des procédures pour gérer les conflits de ressources entre différents projets ?
(oui, non)
5. Les ressources critiques sont-elles identifiées et leur allocation est-elle priorisée ?
(toujours, souvent, rarement, jamais)
Évaluation de la performance des ressources
6. La performance des ressources est-elle régulièrement évaluée ?
(toujours, souvent, rarement, jamais)
7. Quels critères sont utilisés pour évaluer la performance des ressources ?
(productivité, qualité du travail, respect des délais, autres)
8. Comment les résultats de l'évaluation de la performance influencent-ils les décisions de gestion des ressources ?
(affectation de projet, formation, récompenses, aucun impact)
9. Existe-t-il un feedback régulier entre les ressources et la gestion ?
(oui, non)
10. Les évaluations de performance incluent-elles un plan de développement individuel ?
(oui, non)
Mise à jour des compétences
11. Les compétences des ressources sont-elles régulièrement mises à jour ?
(toujours, souvent, rarement, jamais)
12. Quels types de formations sont proposés pour maintenir les compétences à jour ?
(formations techniques, développement professionnel, formations en gestion, aucune formation)
13. Comment l'efficacité des formations est-elle évaluée ?
(évaluations post-formation, performance sur le terrain, pas d'évaluation)
14. Existe-t-il des incitations pour encourager les ressources à mettre à jour leurs compétences ?
(oui, non)
15. Les mises à jour de compétences sont-elles alignées avec les technologies émergentes et les tendances du marché ?
(toujours, souvent, rarement, jamais)
Plan de succession
16. Existe-t-il un plan de succession pour les postes clés ?
(oui, non)
17. Le plan de succession est-il régulièrement révisé et mis à jour ?
(toujours, souvent, rarement, jamais)
18. Les employés sont-ils informés et préparés pour les rôles de succession potentiels ?
(oui, non)
19. Comment l'efficacité des plans de succession est-elle évaluée ?
(exercices de simulation, évaluations de performance, pas d'évaluation)
20. Existe-t-il des stratégies pour gérer les urgences en cas de départ soudain de ressources clés ?
(oui, non)
Section 5 : Sécurité de l’information
Politique de sécurité
1. La politique de sécurité est-elle clairement définie ?
(toujours, souvent, rarement, jamais)
2. La politique de sécurité est-elle communiquée à tous les employés ?
(toujours, souvent, rarement, jamais)
3. Les employés sont-ils formés sur les aspects clés de la politique de sécurité ?
(toujours, souvent, rarement, jamais)
4. La politique de sécurité inclut-elle des directives claires pour tous les types de données gérées ?
(toujours, souvent, rarement, jamais)
5. Comment la politique de sécurité est-elle révisée et mise à jour ?
(annuellement, À chaque modification majeure des systèmes, jamais)
Mise à jour des mesures de sécurité
6. Les mesures de sécurité sont-elles régulièrement mises à jour ?
(toujours, souvent, rarement, jamais)
7.Les mises à jour de sécurité sont-elles basées sur des recommandations de sécurité récentes ou des incidents survenus ?
(oui, non)
8. Qui est responsable de la mise à jour des mesures de sécurité ?
(équipe dédiée de sécurité, département IT, tous les départements)
9. Comment les nouvelles menaces de sécurité sont-elles identifiées et intégrées dans les mesures de sécurité ?
(veille technologique continue, feedback des audits, pas de processus défini)
10. Les mises à jour de sécurité incluent-elles des tests et des validations avant déploiement ?
(toujours, souvent, rarement, jamais)
Conformité aux normes de sécurité
11. Comment la conformité aux normes de sécurité est-elle vérifiée ?
(audits internes, audits externes, auto-évaluations, pas de vérification)
12. Les résultats des audits de sécurité sont-ils utilisés pour améliorer les mesures de sécurité ?
(toujours, souvent, rarement, jamais)
13. Existe-t-il des procédures pour traiter les écarts de conformité identifiés lors des audits ?
(oui, non)
14. Les employés sont-ils conscients des normes de sécurité applicables à leur travail ?
(toujours, souvent, rarement, jamais)
15. Les certifications de sécurité sont-elles recherchées et maintenues par l'entreprise ?
(oui, non)
Gestion des incidents de sécurité
16. Les incidents de sécurité sont-ils correctement enregistrés et documentés ?
(toujours, souvent, rarement, jamais)
17. Existe-t-il un processus formel pour analyser les incidents de sécurité ?
(oui, non)
18. Les leçons tirées des incidents sont-elles partagées au sein de l'organisation ?
(toujours, souvent, rarement, jamais)
19. Les réponses aux incidents incluent-elles des mesures pour éviter la répétition des incidents ?
(toujours, souvent, rarement, jamais)
20. Les tests de pénétration sont-ils réalisés régulièrement pour identifier les vulnérabilités ?
(trimestriellement, semestriellement, annuellement, jamais)
Le Bundle complet DYNAMAP en PDF à prix préférentiel : Livrables expliqués et manuel de cartographie