Comment auditer son Système d'Information ?
Retrouvez le documents d'audit à télécharger en PDF au début de l'article ->

Questionnaire d'audit du Système d'Information ?
Télécharger le PDF
POLITIQUE ET LÉGAL
1. Gouvernance IT et alignement stratégique
Question : Dans quelle mesure l’entreprise dispose-t-elle d’une gouvernance IT formalisée, alignée sur les contraintes politiques et réglementaires ?
Niveau 1 : Aucune gouvernance formelle, les décisions sont prises au cas par cas.
Niveau 2 : Quelques principes généraux définis, mais pas de processus clair ni de documents officiels.
Niveau 3 : Gouvernance structurée, avec rôles et responsabilités définis, alignés sur la réglementation.
Niveau 4 : Gouvernance intégrée à la stratégie globale, avec mécanismes de pilotage et de contrôle périodiques.
2. Responsabilité légale et conformité
Question : Dans quelle mesure l’entreprise identifie et gère ses responsabilités légales (ex. RGPD, lois sectorielles) liées au SI ?
Niveau 1 : Aucune démarche de suivi ni de conformité explicite.
Niveau 2 : Actions ponctuelles de mise en conformité, réactives aux demandes externes.
Niveau 3 : Processus régulier de veille réglementaire, audits internes ou externes pour vérifier la conformité.
Niveau 4 : Mise en œuvre d’un système complet de gestion de conformité (processus, outils, reporting), anticipation des évolutions légales.
3. Pilotage par la direction
Question : Quel est le degré d’implication du top management (direction générale, comité exécutif) dans la définition et le suivi des orientations politiques et légales du SI ?
Niveau 1 : Pas d’implication, le sujet est laissé à l’IT sans soutien de la direction.
Niveau 2 : La direction intervient ponctuellement sur des sujets critiques ou en cas de crise.
Niveau 3 : La direction participe aux décisions clés, reçoit des rapports réguliers sur les enjeux légaux et réglementaires.
Niveau 4 : Le top management pilote proactivement la stratégie SI, intègre systématiquement les volets politiques et légaux dans la feuille de route.
4. Documentation et traçabilité
Question : Comment sont documentés et tracés les choix stratégiques et les décisions liés aux contraintes politiques et légales ?
Niveau 1 : Pas de documentation formelle, historique des décisions inconnues.
Niveau 2 : Documentation dispersée, stockée dans divers outils sans mise à jour régulière.
Niveau 3 : Documentation centralisée, mise à jour périodiquement, accessible aux parties prenantes.
Niveau 4 : Système de traçabilité robuste (outil dédié), avec workflow de validation et archivage systématique des décisions.
5. Processus de validation et d’arbitrage
Question : De quelle manière les décisions liées à l’architecture (choix technologiques, partenariats…) sont-elles validées et arbitrées en tenant compte des contraintes politiques et légales ?
Niveau 1 : Les décisions sont ad hoc, sans consultation formelle des responsables légaux ou de la direction.
Niveau 2 : Existence d’une validation minimum par l’IT, avec consultation du service juridique en cas de doute.
Niveau 3 : Comités d’arbitrage (architecture board) intégrant un représentant juridique ou conformité.
Niveau 4 : Processus transversal d’arbitrage (IT, métier, juridique, direction) avec critères clairs et systématiques.
6. Politique de sécurité et résilience
Question : Dans quelle mesure la politique de sécurité informatique (y compris la résilience en cas de crise) est-elle définie, appliquée et suivie conformément aux réglementations ?
Niveau 1 : Aucune politique de sécurité officielle, réactivité uniquement en cas d’incident.
Niveau 2 : Politique de sécurité générale, certaines procédures existent mais pas toujours appliquées.
Niveau 3 : Politique de sécurité formalisée, contrôles réguliers, respect des normes (ISO, CNIL, etc.).
Niveau 4 : Approche globale de gestion des risques, continuité d’activité régulièrement testée, conformité certifiée et audits périodiques.
7. Veille réglementaire
Question : Comment l’entreprise anticipe-t-elle les évolutions législatives et réglementaires susceptibles d’impacter son SI ?
Niveau 1 : Aucune veille, l’entreprise réagit uniquement après publication des lois.
Niveau 2 : Veille occasionnelle menée par le service juridique, sans processus formel.
Niveau 3 : Processus de veille dédié, alertes et documents de synthèse partagés aux équipes SI.
Niveau 4 : Veille proactive, participation à des groupes de travail sectoriels, adaptation rapide des processus et de l’architecture.
8. Politique de gestion des données
Question : Dans quelle mesure la politique de gestion des données (classification, protection, archivage) est-elle définie et alignée sur les contraintes politiques et légales ?
Niveau 1 : Pas de politique de gestion des données, manque de sensibilisation aux risques.
Niveau 2 : Politique de base (ex. charte informatique), mise en œuvre partielle.
Niveau 3 : Processus clairs de classification et de protection des données, audités régulièrement.
Niveau 4 : Politique de gestion des données intégrée dans la gouvernance globale, soutenue par des outils d’automatisation et des contrôles continus.
9. Clauses contractuelles et partenariats
Question : Comment l’entreprise gère-t-elle les clauses contractuelles vis-à-vis des fournisseurs et partenaires, en tenant compte des obligations légales et politiques ?
Niveau 1 : Les contrats sont gérés de manière isolée, sans examen des risques réglementaires.
Niveau 2 : Les principaux contrats intègrent des clauses légales standards, révisées par un juriste à la demande.
Niveau 3 : Les contrats IT sont systématiquement revus par le service juridique, et incluent des exigences de conformité et de sécurité.
Niveau 4 : Politique contractuelle formalisée, automatisation des contrôles de conformité sur toute la chaîne de fournisseurs, avec suivi continu.
10. Rôles et responsabilités clairs
Question : Dans quelle mesure les rôles et responsabilités politiques et légales (direction SI, RSSI, CIL/DPO, etc.) sont-ils clairement définis et compris ?
Niveau 1 : Pas de description de poste ni de responsabilités formelles.
Niveau 2 : Rôles formalisés, mais recouvrement ou lacunes possibles dans la pratique.
Niveau 3 : Organigramme clair, fiches de poste définies, collaboration effective entre les différentes fonctions.
Niveau 4 : Rôles parfaitement intégrés dans la culture d’entreprise, responsables identifiés et reconnus (processus de passation et backups en place).
11. Impacts géopolitiques et souveraineté
Question : Quelle est la prise en compte des enjeux géopolitiques ou de souveraineté (hébergement des données, localisation des prestataires) dans l’architecture du SI ?
Niveau 1 : Aucune préoccupation, hébergement et prestataires choisis uniquement sur des critères économiques.
Niveau 2 : Quelques règles internes (privilégier un hébergement local), pas systématiquement appliquées.
Niveau 3 : Politique claire sur la localisation des données et la nationalité des fournisseurs, validée par les instances dirigeantes.
Niveau 4 : Processus d’évaluation complet (risques politiques, lois extraterritoriales), intégration dans la gouvernance globale du SI.
12. Contrôle et audit interne
Question : Comment l’entreprise s’assure-t-elle du respect de ses politiques et obligations légales à travers des mécanismes de contrôle interne et d’audit ?
Niveau 1 : Aucune procédure de contrôle interne, absence de dispositif d’audit SI.
Niveau 2 : Audits ponctuels (internes ou externes) sur un périmètre restreint.
Niveau 3 : Plan d’audit annuel intégrant le SI, reporting au comité d’audit, actions correctives mises en place.
Niveau 4 : Système global de contrôle et d’audit interne avec indicateurs de performance, revues indépendantes et amélioration continue.
13. Gestion des litiges et contentieux
Question : Comment l’entreprise gère-t-elle les litiges et contentieux liés à son SI (fuite de données, non-conformité, etc.) ?
Niveau 1 : Réaction improvisée lors d’un incident, sans procédure documentée.
Niveau 2 : Existence d’un processus de gestion de crise, mais pas d’anticipation des litiges potentiels.
Niveau 3 : Procédure formalisée de gestion des incidents et litiges, équipe dédiée ou référent légal.
Niveau 4 : Plan global d’anticipation et de prévention, simulations régulières, collaboration étroite avec l’IT, le juridique et la direction.
14. Engagement éthique et RSE
Question : Dans quelle mesure l’entreprise intègre-t-elle des principes éthiques et de responsabilité sociétale (RSE) dans sa gouvernance SI, au-delà des seules obligations légales ?
Niveau 1 : Pas de prise en compte de l’éthique ou de la RSE dans les décisions IT.
Niveau 2 : Approche ponctuelle (charte éthique), sans réel contrôle ni impact sur le SI.
Niveau 3 : Principes éthiques et RSE inscrits dans la gouvernance SI, avec un suivi formel.
Niveau 4 : L’éthique et la RSE sont des piliers stratégiques, systématiquement intégrés dans toute évolution SI (projets, partenariats, achats…).
15. Transparence et communication
Question : Comment l’entreprise communique-t-elle en interne et en externe sur les engagements politiques et légaux relatifs à son SI (conformité, sécurité, gouvernance…) ?
Niveau 1 : Aucune communication spécifique, manque de transparence.
Niveau 2 : Communication réactive, seulement en cas d’incident ou de demande externe.
Niveau 3 : Publication régulière d’informations (rapports, newsletter interne), sensibilisation des équipes aux enjeux légaux.
Niveau 4 : Communication proactive et détaillée (rapports annuels, tableaux de bord), forte transparence envers toutes les parties prenantes.
ÉCONOMIQUE
1. Alignement des budgets IT et de la stratégie d’entreprise
Question : Dans quelle mesure les budgets dédiés au SI sont-ils définis et pilotés en cohérence avec la stratégie globale de l’entreprise ?
Niveau 1 : Aucune coordination, le budget IT est fixé de manière arbitraire ou historique.
Niveau 2 : L’IT propose un budget aligné sur ses besoins, validé de manière réactive par la direction.
Niveau 3 : Les budgets IT sont construits en collaboration avec les métiers, intégrés à la planification stratégique globale.
Niveau 4 : Les orientations stratégiques et le budget SI sont coconstruits, revus régulièrement, avec des mécanismes d’ajustement dynamique.
2. Pilotage financier et business case
Question : Comment sont évalués les retours sur investissement (ROI) et les coûts totaux (TCO) des projets d’architecture d’entreprise ?
Niveau 1 : Pas d’évaluation formelle, les projets sont lancés sans analyse de rentabilité.
Niveau 2 : Quelques indicateurs financiers basiques (coûts directs, ROI approximatif).
Niveau 3 : Utilisation systématique de business cases avec prise en compte du TCO, justification et suivi des retours attendus.
Niveau 4 : Évaluation financière avancée (mesure de la valeur ajoutée métier), ajustements continus basés sur des données factuelles.
3. Allocation des ressources financières
Question : De quelle manière l’entreprise répartit-elle ses ressources (capex / opex) pour équilibrer maintenance courante et investissements de transformation (architecture, innovation) ?
Niveau 1 : Priorité donnée à la maintenance quotidienne, peu de budget pour l’évolution du SI.
Niveau 2 : Répartition indicative entre run et projets, sans mécanisme précis d’arbitrage.
Niveau 3 : Arbitrage régulier entre coûts de fonctionnement et investissements, basé sur des objectifs chiffrés.
Niveau 4 : Vision pluriannuelle, modèles d’optimisation intégrés (ex. rentabilisation du cloud, mutualisation, etc.) et pilotage fin.
4. Flexibilité budgétaire face à la conjoncture
Question : Comment l’entreprise s’adapte-t-elle aux fluctuations économiques (crises, opportunités, variations de la demande) en matière de budget SI ?
Niveau 1 : Aucune flexibilité, décisions budgétaires prises une fois l’an, sans révision possible.
Niveau 2 : Quelques ajustements ponctuels en cas de crise majeure, au détriment d’autres projets.
Niveau 3 : Mécanismes planifiés de réallocation budgétaire, scénarios alternatifs en cas de situation exceptionnelle.
Niveau 4 : Pilotage en temps quasi réel, budgets variables définis par indicateurs macroéconomiques et KPI internes, arbitrages rapides.
5. Culture du coût total de possession (TCO)
Question : Quel est le niveau de prise en compte du TCO (licences, maintenance, formation, support…) dans les décisions relatives à l’architecture du SI ?
Niveau 1 : Décisions fondées principalement sur le coût initial ou le prix d’achat.
Niveau 2 : Le TCO est mentionné mais rarement chiffré ou intégré à long terme dans les décisions.
Niveau 3 : Le TCO est systématiquement évalué, comparé et validé lors du choix des solutions.
Niveau 4 : Suivi permanent du TCO, révisé en fonction de l’évolution des usages et de la stratégie, avec rétroaction sur la roadmap SI.
6. Mesure de la performance économique du SI
Question : Comment l’entreprise évalue-t-elle la performance économique globale de son SI (indicateurs de productivité, gains, etc.) ?
Niveau 1 : Pas de mesure, pas d’indicateurs de productivité ou de gains.
Niveau 2 : Quelques KPI financiers (budget consommé vs. prévu), mais peu de liens avec la performance opérationnelle.
Niveau 3 : Tableau de bord consolidé (coûts, gains, délais), revu périodiquement par la direction et l’IT.
Niveau 4 : Système de pilotage avancé : indicateurs financiers et opérationnels corrélés, simulation d’impacts économiques pour chaque évolution SI.
7. Optimisation des licences et contrats
Question : Dans quelle mesure l’entreprise recherche-t-elle l’optimisation des coûts de licences, de maintenance et de contrats avec les éditeurs/fournisseurs ?
Niveau 1 : Renouvellement automatique de contrats, pas de négociation ni de revue régulière.
Niveau 2 : Négociation a minima au moment du renouvellement, sans vision globale du portefeuille.
Niveau 3 : Revue périodique du portefeuille de licences et contrats, plans d’optimisation identifiés.
Niveau 4 : Gestion active du cycle de vie des contrats, mutualisation des besoins, suivi des consommations réelles, arbitrage constant.
8. Management des risques financiers
Question : Comment l’entreprise évalue-t-elle et gère-t-elle les risques financiers liés au SI (dérives budgétaires, échecs de projets, pénalités contractuelles, etc.) ?
Niveau 1 : Aucune évaluation formelle, on gère les imprévus au cas par cas.
Niveau 2 : Identification sommaire des risques, mesures correctives prises en urgence si besoin.
Niveau 3 : Processus de gestion des risques financiers défini (identification, scoring, mitigation) intégré au pilotage de projets.
Niveau 4 : Pilotage complet des risques (cartographie, indicateurs), actions préventives et correctives proactives, comité de suivi dédié
9. Externalisation vs. internalisation
Question : Dans quelle mesure les choix d’externalisation ou d’internalisation (services cloud, infogérance, etc.) sont-ils évalués économiquement ?
Niveau 1 : Décision au feeling ou par habitude, sans analyse financière approfondie.
Niveau 2 : Étude de coûts superficielle, prise en compte du court terme uniquement.
Niveau 3 : Analyse comparative détaillée (coût, flexibilité, risques), décision validée par un comité.
Niveau 4 : Revue systématique du make or buy à chaque évolution SI, avec modélisation financière et suivi tout au long du contrat.
10. Modèle économique et rentabilité
Question : Comment le SI est-il utilisé pour soutenir le modèle économique de l’entreprise (lancement de nouveaux produits, digitalisation, etc.) ?
Niveau 1 : Le SI est vu comme un centre de coûts, pas comme un levier de business.
Niveau 2 : Quelques initiatives ponctuelles (e commerce, digitalisation), sans vision unifiée.
Niveau 3 : Alignement du SI sur le business model, accompagnement des projets stratégiques (innovation, nouveaux canaux).
Niveau 4 : Le SI est un accélérateur de rentabilité, les projets sont coconstruits entre l’IT et les métiers, avec un suivi précis des gains générés.
11. Planification financière pluriannuelle
Question : Dans quelle mesure l’entreprise planifie-t-elle ses investissements SI sur le moyen-long terme (3-5 ans) ?
Niveau 1 : Aucune projection au-delà de l’exercice budgétaire en cours.
Niveau 2 : Projections approximatives pour les grands projets, mais pas de plan consolidé.
Niveau 3 : Plan pluriannuel d’investissements SI, validé par la direction, revu périodiquement.
Niveau 4 : Roadmap évolutive avec scénarios d’investissement, alignée sur la stratégie globale, intégrant l’analyse de risque et la rentabilité attendue.
12. Efficience des processus d’achat
Question : Comment l’entreprise gère-t-elle ses processus d’achat liés au SI (consultation, sélection, négociation) pour garantir l’efficience économique ?
Niveau 1 : Achats gérés en silo, sans coordination centrale ni processus normé.
Niveau 2 : Politique d’achat IT existante, mais appliquée de façon irrégulière.
Niveau 3 : Processus d’achat formalisé, avec analyse des offres, grille de sélection financière, comité de décision.
Niveau 4 : Démarche continue d’amélioration des achats (benchmark, mutualisation, refonte de contrats) avec KPI d’efficience.
13. Contrôle et reporting financier
Question : Dans quelle mesure l’entreprise dispose-t-elle d’outils et de procédures de reporting financier pour le SI (suivi budgétaire, écarts, alertes) ?
Niveau 1 : Suivi manuel dans des tableurs, données peu fiables ou incomplètes.
Niveau 2 : Outils de reporting limités, mis à jour de manière irrégulière.
Niveau 3 : Reporting financier régulier et centralisé, suivi des écarts, mise en place d’alertes budgétaires.
Niveau 4 : Système de pilotage intégré (ERP, BI), reporting automatisé et temps réel, vue granulaire par projet et par service.
14. Priorisation et arbitrage des investissements
Question : Comment l’entreprise hiérarchise-t-elle les projets SI, en fonction de leur valeur ajoutée et de leur impact économique ?
Niveau 1 : Les projets sont lancés en fonction de l’influence interne ou de l’urgence perçue.
Niveau 2 : Les projets majeurs font l’objet d’une étude de rentabilité sommaire, arbitrage par la direction.
Niveau 3 : Matrice de priorisation (valeur, risques, coûts), comités de validation regroupant IT et métiers.
Niveau 4 : Dispositif global de portfolio management, prise de décision rapide sur la base d’indicateurs financiers et stratégiques,
réévaluation continue.
15. Prise en compte des opportunités d’innovation
Question : Dans quelle mesure l’entreprise alloue-t-elle un budget ou des ressources pour explorer et tester des technologies innovantes (IA, IoT, data analytics, etc.) ?
Niveau 1 : Pas de budget dédié, l’innovation est perçue comme un surcoût non prioritaire.
Niveau 2 : Quelques expérimentations isolées menées par des équipes motivées, sans pilotage global.
Niveau 3 : Programme d’innovation avec un budget défini, suivi d’indicateurs de performance et de rentabilité.
Niveau 4 : Culture d’innovation ancrée, incubateur interne ou partenariats externes, budget agile qui s’adapte aux nouvelles opportunités.
SOCIOLOGIQUE
1. Culture de la collaboration
Question : Dans quelle mesure l’entreprise valorise-t-elle la collaboration et le partage de connaissances entre les équipes métier et IT dans le cadre de l’architecture d’entreprise ?
Niveau 1 : Très cloisonné, chaque équipe travaille de son côté sans échanges réguliers.
Niveau 2 : Des initiatives de collaboration existent, mais de façon ponctuelle et peu formalisée.
Niveau 3 : La collaboration est encouragée et organisée (réunions inter-équipes, ateliers de peer coding, etc.).
Niveau 4 : Collaboration en continu : processus, outils (plateformes collaboratives) et culture d’entreprise favorisant le partage et
l’innovation transverse.
2. Compétences et expertise IT
Question : Comment l’entreprise évalue-t-elle et développe-t-elle les compétences IT (architectes, développeurs, urbanistes SI, etc.) nécessaires au maintien et à l’évolution de l’architecture d’entreprise ? Niveau 1 : Aucune démarche structurée, le recrutement et la formation se font au cas par cas.
Niveau 2 : Il existe un référentiel partiel des compétences IT, mais pas de plan de développement formel.
Niveau 3 : Cartographie des compétences et plan de formation établi, avec suivi régulier par la RH et l’IT.
Niveau 4 : Gestion prédictive des compétences (veille, anticipation des besoins futurs), formations ciblées, partenariats académiques ou externes pour monter en compétence rapidement.
3. Engagement des parties prenantes métier
Question : Dans quelle mesure les métiers sont-ils impliqués dans les décisions et les projets liés à l’architecture d’entreprise ?
Niveau 1 : Les métiers sont rarement consultés : les projets sont majoritairement pilotés par l’IT.
Niveau 2 : Les métiers sont sollicités de manière formelle (comités, workshops), mais leur participation est encore limitée.
Niveau 3 : Les métiers sont codécideurs ; ils participent activement aux arbitrages et aux spécifications.
Niveau 4 : Les métiers sont force de proposition et coconstruisent la roadmap d’architecture avec l’IT, dans une démarche continue d’amélioration.
4. Adhésion à la vision d’architecture d’entreprise
Question : Comment la vision ou la cible d’architecture d’entreprise est-elle partagée et comprise par les collaborateurs ?
Niveau 1 : La vision d’architecture est inexistante ou non communiquée, peu de collaborateurs en ont connaissance.
Niveau 2 : La vision est formalisée, diffusée mais pas toujours comprise ni incarnée dans la pratique.
Niveau 3 : Les équipes sont régulièrement informées et formées, la vision est comprise et déclinée dans les projets.
Niveau 4 : L’architecture d’entreprise est un repère central : tout le monde connaît sa finalité et son rôle dans la stratégie globale.
5. Conduite du changement
Question : Dans quelle mesure l’entreprise gère-t-elle le changement (communication, formation, accompagnement) lors de l’implémentation de nouvelles solutions ou évolutions de l’architecture ?
Niveau 1 : Pas de démarche de conduite du changement, on procède par simple annonce.
Niveau 2 : Communication et formation ponctuelles, sans méthodologie formalisée.
Niveau 3 : Plan de conduite du changement systématique pour chaque projet, avec indicateurs de suivi.
Niveau 4 : Approche proactive et globale de la conduite du changement, impliquant dès le départ l’ensemble des parties prenantes (IT, RH, métiers).
6. Résistance culturelle et gestion des silos
Question : Comment l’entreprise gère-t-elle les éventuelles résistances au changement et la culture de « silos » qui peuvent freiner la mise en place de l’architecture d’entreprise ?
Niveau 1 : Les silos sont très marqués, aucune action particulière pour les réduire.
Niveau 2 : Quelques initiatives pour briser les silos (challenges transverses, projets pilotes), impact limité.
Niveau 3 : Programme continu de décloisonnement (communautés métiers/IT, séances de codéveloppement), soutien managérial.
Niveau 4 : Culture d’entreprise très collaborative, avec un management qui valorise la transversalité et la prise d’initiative collective.
7. Sensibilisation et communication interne
Question : Quelle est la qualité de la communication interne autour des enjeux sociologiques (collaboration, compétences, conduite du changement) liés à l’architecture d’entreprise ?
Niveau 1 : Communication inexistante ou dispersée, seuls quelques experts sont au courant des évolutions.
Niveau 2 : Communication ponctuelle (emails, réunions) mais sans plan structuré ni relais managériaux.
Niveau 3 : Communication planifiée et orchestrée (newsletters, intranet, événements internes), feedback recueilli.
Niveau 4 : Communication intégrée au processus de gestion du SI, large participation des équipes (webinaires, retours d’expérience), amélioration continue des canaux de diffusion.
8. Appropriation de l’innovation
Question : Dans quelle mesure les collaborateurs (IT et métiers) sont-ils encouragés à proposer et expérimenter de nouvelles idées ou solutions (innovations technologiques, processus, etc.) ?
Niveau 1 : L’innovation est considérée comme un risque ou une distraction, aucune incitation.
Niveau 2 : Des initiatives isolées, souvent dépendantes de l’enthousiasme individuel.
Niveau 3 : Programmes d’intrapreneuriat ou comités d’innovation ouverts aux collaborateurs, incitations formalisées (ateliers, hackathons).
Niveau 4 : Culture d’entreprise axée sur l’innovation, allocation de temps et de budget dédiés, écosystème stimulant (communautés, laboratoires d’idées).
9. Valorisation et reconnaissance
Question : Comment l’entreprise valorise-t-elle les efforts fournis par les équipes (IT et métiers) pour faire évoluer et moderniser l’architecture d’entreprise ?
Niveau 1 : Pas de reconnaissance particulière, l’engagement repose sur la bonne volonté des collaborateurs.
Niveau 2 : Reconnaissance informelle, félicitations ponctuelles de la hiérarchie.
Niveau 3 : Système de récompenses ou de primes pour les projets réussis, mise en avant des collaborateurs porteurs d’initiatives.
Niveau 4 : Processus global de valorisation (communication interne, promotion, parcours de carrière), l’architecture d’entreprise est perçue comme un levier de développement professionnel.
10. Ouverture sur l’extérieur
Question : Dans quelle mesure l’entreprise favorise-t-elle les échanges avec l’écosystème externe (partenaires, communautés
professionnelles, universités) pour enrichir ses compétences et ses pratiques en matière d’architecture d’entreprise ?
Niveau 1 : Aucune ouverture, l’entreprise reste centrée sur son propre fonctionnement.
Niveau 2 : Participation à quelques événements ou conférences, de manière sporadique.
Niveau 3 : Partenariats réguliers (organismes de formation, groupes de travail sectoriels), encouragement des collaborateurs à s’y investir.
Niveau 4 : Démarche d’open innovation : veille et collaborations structurées (labs, incubateurs, réseaux), partage de bonnes pratiques avec l’écosystème.
11. Leadership managérial et sponsor
Question : Comment le management (direction générale, direction IT, managers de proximité) exerce-t-il son leadership pour soutenir et impulser les dimensions humaines et culturelles liées à l’architecture d’entreprise ?
Niveau 1 : Aucun leadership visible, les managers ne communiquent pas sur l’importance du sociétal.
Niveau 2 : Intérêt ponctuel de quelques managers « sensibles » mais pas de démarche globale.
Niveau 3 : Le top management promeut la collaboration et la conduite du changement, encourage le partage de vision.
Niveau 4 : Leadership fort et inspirant, sponsor engagé à tous les niveaux, management exemplaire et impliqué dans la cohésion sociale autour du SI.
12. Structure organisationnelle et transversalité
Question : Dans quelle mesure la structure organisationnelle (organigramme, instances de pilotage) facilite-t-elle la transversalité entre les métiers et l’IT ?
Niveau 1 : Organigramme très vertical, peu d’instances de pilotage communes, décisions prises en silo.
Niveau 2 : Quelques instances mixtes (commissions, comités), communication encore perfectible.
Niveau 3 : Instances de gouvernance transverses (board architecture, comité de pilotage SI) où métiers et IT participent régulièrement.
Niveau 4 : Organisation agile centrée sur les processus métiers, équipes pluridisciplinaires, flexibilité dans la répartition des rôles.
13. Clarté des rôles et responsabilités
Question : Quelle est la clarté des rôles et responsabilités des acteurs impliqués dans la transformation du SI (architectes, chefs de projet, business analysts, etc.) ?
Niveau 1 : Rôles confus ou peu formalisés, chevauchements fréquents.
Niveau 2 : Des descriptions de postes existent, mais manquent de précision sur les interfaces ou la collaboration.
Niveau 3 : Rôles et responsabilités documentés, partagés, validés par l’ensemble des parties prenantes.
Niveau 4 : Organisation fluidifiée : chacun connaît son rôle et celui des autres, mécanismes de coordination efficaces (ex. SCRUM, RACI, etc.).
14. Gestion des talents et fidélisation
Question : Comment l’entreprise attire-t-elle, développe-t-elle et retient-elle les talents essentiels à la transformation de son SI ?
Niveau 1 : Pas de démarche particulière, fort turnover, peu d’évolution en interne.
Niveau 2 : Recrutement réactif sur besoin, quelques opportunités de mobilité interne.
Niveau 3 : Politique RH proactive (mobilité interne, parcours de carrière, formation continue) pour garder les profils clés.
Niveau 4 : Marque employeur forte, attractivité sur le marché, plan de carrière individuel, culture de la reconnaissance et avantages alignés
sur le marché.
15. Influence de la culture locale ou nationale
Question : Dans quelle mesure l’entreprise prend-elle en compte les spécificités culturelles (locaux, filiales internationales, etc.) dans la conduite de projets d’architecture d’entreprise ?
Niveau 1 : Aucune prise en compte, même approche imposée partout, adaptation culturelle inexistante.
Niveau 2 : Conscience des différences locales, adaptation minimale de la communication.
Niveau 3 : Plan d’intégration culturelle dans les projets internationaux (formations interculturelles, relais locaux).
Niveau 4 : Culture d’entreprise locale : principes communs d’architecture SI, mais forte capacité d’adaptation aux spécificités de chaque région.
TECHNOLOGIQUE
1. Cohérence globale de l’architecture SI
Question : Dans quelle mesure l’architecture technologique est-elle définie, documentée et mise en cohérence pour soutenir les besoins métiers ?
Niveau 1 : Pas de vision d’architecture formalisée, choix technologiques faits au cas par cas.
Niveau 2 : Des briques d’architecture sont définies, mais sans cadre unifié.
Niveau 3 : Une architecture globale est documentée, partagée et régulièrement revue pour assurer sa cohérence.
Niveau 4 : Architecture entièrement pilotée (frameworks, standards, patterns) et adaptée en continu aux évolutions métier et
technologiques.
2. Gestion de l’obsolescence technologique
Question : Comment l’entreprise anticipe-t-elle et gère-t-elle l’obsolescence (logiciels, systèmes d’exploitation, matériel) dans son SI ?
Niveau 1 : Obsolescence subie, aucune planification du renouvellement.
Niveau 2 : Quelques renouvellements programmés, mais pas de démarche globale.
Niveau 3 : Stratégie de gestion de l’obsolescence (roadmap pluriannuelle), inventaire et priorisation des migrations.
Niveau 4 : Planification proactive intégrée à la feuille de route SI, avec veille technologique et budgets dédiés au remplacement préventif.
3. Intégration et interopérabilité des systèmes
Question : Dans quelle mesure les différents systèmes et applications (ERP, CRM, logiciels métiers, etc.) sont-ils intégrés et interopérables ?
Niveau 1 : Solutions en silos, échanges de données ponctuels (fichiers plats, import/export manuel).
Niveau 2 : Intégrations ad hoc (API, EAI, ESB) pour quelques processus clés.
Niveau 3 : Bus d’intégration ou plateforme d’API structurant la communication entre plusieurs systèmes, référentiels de données partagés.
Niveau 4 : SI modulaire et hautement interopérable (architecture orientée services ou micro-services), orchestrations automatisées, uniformisation des référentiels.
4. Sécurité et résilience
Question : Quel est le niveau de prise en compte de la sécurité et de la résilience (cybersécurité, gestion des risques, plan de continuité) dans les choix technologiques ?
Niveau 1 : Sécurité considérée a minima, uniquement lors d’incidents majeurs.
Niveau 2 : Existence de mécanismes basiques (pare-feu, antivirus, backup) ; résilience partiellement adressée.
Niveau 3 : Politique de sécurité formalisée, audits réguliers, plans de continuité d’activité et de reprise après sinistre (PCA/PRA).
Niveau 4 : Sécurité « by design » intégrée dans tout le cycle de vie, tests de pénétration réguliers, gestion proactive des vulnérabilités, PCA/PRA validés et simulés périodiquement.
5. Adoption des technologies émergentes
Question : Dans quelle mesure l’entreprise suit-elle les tendances technologiques (cloud, IA, IoT, blockchain, etc.) et intègre ces innovations dans son SI ?
Niveau 1 : Pas de veille technologique, adoption au coup par coup sous la pression du marché.
Niveau 2 : Veille sporadique, quelques pilotes ou « proof of concept » isolés.
Niveau 3 : Veille organisée, sélection de technologies stratégiques à tester et intégrer si ROI démontré.
Niveau 4 : Culture d’innovation technologique forte : laboratoires internes, expérimentation rapide, architecture SI conçue pour intégrer facilement de nouvelles technologies.
6. Infrastructure (onpremise, cloud, hybridation)
Question : Comment l’infrastructure (serveurs, réseaux, stockage, virtualisation) est-elle gérée et modernisée pour répondre aux besoins de performance et d’évolutivité ?
Niveau 1 : Parc matériel hétérogène, sous-dimensionné ou surdimensionné, pas de gouvernance claire.
Niveau 2 : Virtualisation partielle, quelques services dans le cloud, mais sans stratégie unifiée.
Niveau 3 : Politique d’infrastructure définie (cloud first, hybridation maîtrisée), monitoring et automatisation progressifs.
Niveau 4 : Infrastructure « as code », orchestrée, élastique, adaptée aux pics de charge, pilotée via un centre de services et des outils d’observabilité avancés.
7. Architecture data (gestion, qualité, exploitation)
Question : Dans quelle mesure l’architecture data (gouvernance des données, stockage, qualité, exploitation analytique) est-elle structurée et cohérente ?
Niveau 1 : Données éparpillées, redondances, peu de confiance dans la qualité des informations.
Niveau 2 : Mise en place de quelques référentiels communs, début de gouvernance data.
Niveau 3 : Architecture data consolidée (datawarehouse, datalake), politiques de qualité et catalogage, rôle de Data Owner.
Niveau 4 : Approche datadriven avancée, pipeline data automatisé (ETL/ELT), analytics et IA intégrées, traçabilité et gouvernance
complètes.
8. Qualité logicielle et industrialisation
Question : Quel est le degré de contrôle de la qualité logicielle (intégration continue, tests automatisés, déploiements orchestrés, etc.) dans l’entreprise ?
Niveau 1 : Développements artisanaux, tests manuels, déploiements souvent laborieux.
Niveau 2 : Utilisation sporadique d’outils d’intégration continue ou de tests automatisés sur certains projets.
Niveau 3 : Chaine d’industrialisation (CI/CD) déployée, tests automatisés systématiques, déploiement contrôlé.
Niveau 4 : Usine logicielle mature (CI/CD, DevOps, tests de performance et de sécurité intégrés), culture de l’amélioration continue pour la qualité.
9. Modèle d’architecture (monolithique, SOA, microservices)
Question : Quelle est la maturité de l’entreprise dans le passage ou l’utilisation d’architectures modulaires et évolutives (microservices, conteneurs, etc.) ?
Niveau 1 : Majorité des systèmes monolithiques, complexité élevée pour toute évolution.
Niveau 2 : Projet(s) pilote de décomposition du monolithe, expérimentation autour de services isolés.
Niveau 3 : Mise en place d’une architecture orientée services (API management, conteneurisation), refonte progressive des blocs legacy.
Niveau 4 : Architecture distribuée à grande échelle, microservices largement adoptés, scalabilité et résilience optimisées, pratique
maîtrisée du déploiement conteneurisé.
10. Observabilité et monitoring
Question : De quelle manière l’entreprise supervise-t-elle la performance et la disponibilité de ses systèmes (monitoring, alerting, logs, métriques) ?
Niveau 1 : Pas de monitoring formel, découverte des incidents par les utilisateurs.
Niveau 2 : Outils basiques de supervision (par ex. alertes sur CPU, RAM), gestion réactive des incidents.
Niveau 3 : Outils de monitoring plus avancés (métriques temps réel, logs centralisés), alertes configurées pour les principales applications.
Niveau 4 : Observabilité complète (logs, métriques, traces, événements) avec corrélation automatique, suivi proactif, auto-résolution partielle des incidents.
11. Séparation des environnements (dev, test, prod)
Question : Quel est le degré de séparation, de contrôle et de cohérence entre les différents environnements (développement, test, intégration, production) ?
Niveau 1 : Environnements confondus ou inexistants, tests réalisés directement en production.
Niveau 2 : Un environnement de préproduction limité, pas de processus formel de promotion des versions.
Niveau 3 : Environnements distincts (dev, test, préprod, prod) avec un pipeline structuré et des validations à chaque étape.
Niveau 4 : Environnements automatisés, déploiements et rollbacks orchestrés, monitoring cross environnements, traçabilité continue.
12. Gestion des configurations et inventaire
Question : Dans quelle mesure l’entreprise tien-t-elle à jour un inventaire et une configuration (CMDB, repository) de ses composants technologiques ?
Niveau 1 : Inventaire inexistant ou obsolète, difficulté à savoir qui utilise quoi.
Niveau 2 : Inventaire partiel sous format tableur ou base de données rudimentaire, maintenu de façon irrégulière.
Niveau 3 : Utilisation d’un outil de CMDB (Configuration Management Database) ou équivalent, processus de mise à jour défini.
Niveau 4 : CMDB ou repository intégré à la gouvernance SI, synchronisé automatiquement (discovery), maintenu en temps réel,
référentiel fiable pour toutes les équipes.
13. Processus de sélection technologique
Question : Comment sont évaluées et sélectionnées les nouvelles technologies ou les évolutions d’outils (frameworks, langages, solutions SaaS, etc.) ?
Niveau 1 : Choix basés sur les préférences personnelles des équipes ou des consultants.
Niveau 2 : Étude rapide (POC) sans véritable cahier des charges ni critères de sélection formalisés.
Niveau 3 : Processus d’évaluation formel avec grille multicritères (performance, sécurité, coût, support), validation par un comité d’architecture.
Niveau 4 : Démarche d’architecture d’entreprise intégrée, veille continue, comparatifs systématiques et prise en compte du cycle de vie, tests d’intégration automatisés.
14. Méthodologies de développement (agilité, DevOps, etc.)
Question : Dans quelle mesure l’entreprise a-t-elle adopté (ou adapté) des méthodologies de développement et de livraison modernes (Scrum, Kanban, DevOps) ?
Niveau 1 : Approche traditionnelle en mode « cycle en V », longs cycles, peu de retours intermédiaires.
Niveau 2 : Quelques équipes utilisent l’agilité ou le DevOps, mais sans homogénéité ni support de l’organisation.
Niveau 3 : Méthodes agiles ou hybrides (agile + cycle en V) reconnues et partiellement industrialisées, DevOps en expansion.
Niveau 4 : Organisation entièrement agile, culture DevOps généralisée (collaboration IT/métiers), pipeline CI/CD mature et automatisé de bout en bout.
15. Documentation et standardisation
Question : Quel est le niveau de documentation (architecture, interfaces, standards internes) et de standardisation (langages, frameworks, best practices) au sein du SI ?
Niveau 1 : Documentation quasi inexistante ou obsolète, aucune standardisation.
Niveau 2 : Documentation minimale pour les projets majeurs, quelques standards identifiés mais pas toujours respectés.
Niveau 3 : Standards formalisés (framework, guidelines), documentation technique à jour, référentiels partagés.
Niveau 4 : Documentation vivante (base de connaissances), standards reconnus et régulièrement évalués, cartographie d’architecture maintenue en continu.
ENVIRONNEMENTAL
1. Vision et stratégie « Green IT»
Question : Dans quelle mesure l’entreprise dispose-t-elle d’une vision et d’une stratégie pour réduire l’empreinte environnementale de son SI (Green IT) ?
Niveau 1 : Aucune stratégie formalisée, la réduction de l’impact environnemental n’est pas considérée.
Niveau 2 : Sensibilisation sporadique ou initiatives isolées (ex. extinction des équipements, recyclage).
Niveau 3 : Stratégie Green IT définie et communiquée, objectifs chiffrés (économies d’énergie, réduction des déchets, etc.).
Niveau 4 : Approche globale et pérenne : la performance environnementale du SI est intégrée dans la stratégie RSE, avec reporting régulier et plans d’action continus.
2. Optimisation énergétique des infrastructures
Question : Comment l’entreprise gère-t-elle l’optimisation énergétique de ses infrastructures (data centers, serveurs, stockage) ?
Niveau 1 : Pas de mesure ni de suivi de la consommation énergétique, matériel choisi sans critères écologiques.
Niveau 2 : Mise en place de quelques actions de base (virtualisation partielle, extinction de serveurs inutilisés).
Niveau 3 : Plan global d’optimisation (suivi des consommations, consolidation des serveurs, effectivité de l’energie maîtrisé).
Niveau 4 : Infrastructure écoconçue (data centers écoresponsables, recours aux énergies renouvelables, monitoring fin pour réduire la consommation en continu).
3. Cycle de vie des matériels et ressources IT
Question : Dans quelle mesure l’entreprise prend-elle en compte la durabilité et la fin de vie du matériel (postes de travail, serveurs, périphériques) ?
Niveau 1 : Renouvellement du matériel sans critères d’impact environnemental, mise au rebut non contrôlée.
Niveau 2 : Tentative de prolongation de la durée de vie du matériel, recyclage ponctuel.
Niveau 3 : Politique claire de recyclage ou de reconditionnement, partenariat avec des filières spécialisées, suivi d’inventaire.
Niveau 4 : Approche complète du cycle de vie (matériel certifié « green », achat et renouvellement raisonné, réutilisation en interne ou dons, traçabilité jusqu’à la fin de vie).
4. Écoconception des applications
Question : Quel est le degré de prise en compte des principes d’écoconception (optimisation des ressources, sobriété, performance) lors du développement ou de l’intégration d’applications ?
Niveau 1 : Pas de considération pour la performance énergétique ou la sobriété dans les développements.
Niveau 2 : Quelques bonnes pratiques ponctuelles (limitation des appels, optimisation des requêtes), sans cadre systématique.
Niveau 3 : Charte d’écoconception applicative, indicateurs de performance (temps de réponse, consommation de ressources) suivis.
Niveau 4 : Écoconception intégrée au cycle de développement (outils d’audit et de mesure, critères environnementaux dans les revues de code, politiques d’architecture logicielle sobres).
5. Gestion responsable du numérique
Question : Dans quelle mesure l’entreprise cherche-t-elle à réduire la surconsommation numérique (stockage inutile, emails volumineux, applications sous-utilisées) ?
Niveau 1 : Aucune action, les espaces de stockage et l’usage des applications augmentent librement.
Niveau 2 : Actions de sensibilisation (tri des emails, suppression des fichiers obsolètes), sans suivi précis.
Niveau 3 : Politiques de quotas, archivage systématique, gouvernance des applications pour réduire le gaspillage.
Niveau 4 : Pilotage actif de la sobriété numérique : indicateurs (volume de données stockées, nombre d’applications non utilisées), politiques de rationalisation, automatisation du nettoyage.
6. Choix et gestion des fournisseurs (green sourcing)
Question : Dans quelle mesure l’entreprise intègre-t-elle des critères environnementaux dans la sélection et la gestion de ses fournisseurs IT (hébergeurs, éditeurs, matériel) ?
Niveau 1 : Les coûts et la performance sont les seuls critères d’achat, pas de prise en compte de l’empreinte carbone.
Niveau 2 : Quelques clauses environnementales dans les contrats les plus visibles ou imposées par la réglementation.
Niveau 3 : Grille de sélection incluant systématiquement des critères écologiques (labels, certifications, bilan carbone).
Niveau 4 : Relation partenariale pour améliorer l’impact environnemental : audits réguliers, co-innovation avec les fournisseurs pour réduire l’empreinte globale.
7. Reporting et indicateurs environnementaux
Question : Comment l’entreprise mesure-t-elle et communique-t-elle l’impact environnemental de son SI (consommation énergétique, émissions carbone, recyclage, etc.) ?
Niveau 1 : Aucune mesure, aucune communication sur le sujet.
Niveau 2 : Estimations ponctuelles, données partielles communiquées de façon informelle.
Niveau 3 : Tableaux de bord environnementaux mis à jour régulièrement, intégrés dans les rapports RSE ou bilans d’activité.
Niveau 4 : Reporting automatisé, suivi en temps réel, indicateurs publiés et comparés à des objectifs ambitieux, impact direct sur les décisions stratégiques.
8. Sensibilisation et formation des collaborateurs
Question : Dans quelle mesure l’entreprise forme-t-elle et sensibilise-t-elle ses équipes (IT et métiers) aux enjeux environnementaux liés au SI ?
Niveau 1 : Pas de sensibilisation, chacun gère son usage numérique comme il l’entend.
Niveau 2 : Quelques sessions ou campagnes d’information ponctuelles (écogestes).
Niveau 3 : Programme de formation et de sensibilisation régulier, intégration des bonnes pratiques dans le règlement intérieur ou la charte IT.
Niveau 4 : Culture d’entreprise fortement orientée développement durable : ateliers, certifications internes, équipes IT/métiers impliquées dans des actions concrètes (challenges écoresponsables, etc.).
9. Architecture Cloud et impact environnemental
Question : Si l’entreprise utilise du cloud, dans quelle mesure l’impact environnemental (data centers, localisation, consommation énergétique) est-il pris en compte dans la stratégie cloud ?
Niveau 1 : Choix du cloud basé uniquement sur le prix ou la performance, sans considération écologique.
Niveau 2 : Prise en compte minimale du lieu d’hébergement ou du type d’énergie (mais pas prioritaire).
Niveau 3 : Stratégie cloud « durable » : sélection des fournisseurs engagés (datacenters green, énergies renouvelables), suivi de la consommation.
Niveau 4 : Pilotage avancé : arbitrage temps réel de la localisation des workloads pour réduire l’empreinte carbone, partenariats R&D avec les fournisseurs cloud sur l’efficacité énergétique.
10. Politique de mobilité et télétravail
Question : Dans quelle mesure l’entreprise évalue-t-elle l’impact environnemental de ses pratiques de mobilité numérique (télétravail, visioconférences, déplacements) et agit-elle pour l’optimiser ?
Niveau 1 : Pas de politique particulière, télétravail ou déplacements gérés de manière opportuniste.
Niveau 2 : Promotion limitée de la visioconférence, quelques incitations au télétravail, mais sans suivi d’impact.
Niveau 3 : Politique de mobilité numérique formalisée, indicateurs de réduction de CO2 liés aux déplacements évités.
Niveau 4 : Stratégie globale : télétravail, outils collaboratifs, optimisation de la bande passante, reportings environnementaux intégrés (empreinte carbone des déplacements et du réseau).
11. Évaluation de l’empreinte carbone du SI
Question : Dans quelle mesure l’entreprise réalise-t-elle une évaluation carbone spécifique à ses activités IT (scope 2 et scope 3 notamment) ?
Niveau 1 : Aucune évaluation de l’empreinte carbone du SI.
Niveau 2 : Inclusion partielle ou approximative des émissions du SI dans le bilan carbone global.
Niveau 3 : Évaluation carbone détaillée, distinguant l’infrastructure, les achats de matériel et les usages numériques.
Niveau 4 : Évaluation carbone granulaire, réévaluée régulièrement, pilotage par objectifs de réduction, démarche reconnue par des labels ou certifications.
12. Approche écoresponsable dans la gestion de projets SI
Question : Dans quelle mesure la dimension environnementale est-elle intégrée dans la méthodologie de gestion de projet (revue des specs, suivi, validation) ?
Niveau 1 : Aucun critère écologique dans les décisions de projet.
Niveau 2 : Quelques considérations de sobriété ajoutées lors des réunions de cadrage, sans formalisme.
Niveau 3 : Éco-critères inclus dans la charte projet (choix techniques, performance, consommation), revus en comité.
Niveau 4 : Cadre méthodologique complet (checklists d’écoconception, scoring CO2), chaque jalon de projet inclut une validation
environnementale, système de reporting dédié.
13. Recyclage et valorisation des déchets électroniques
Question : Comment l’entreprise organise-t-elle la collecte, le recyclage et la valorisation des DEEE (Déchets d’Équipements Électriques et Électroniques) ?
Niveau 1 : Les équipements obsolètes sont stockés ou jetés sans processus identifié.
Niveau 2 : Recyclage confié à un prestataire, sans traçabilité ni bilan de valorisation.
Niveau 3 : Processus de collecte et de recyclage documenté, certification du prestataire, suivi du nombre d’équipements valorisés. Niveau 4 : Boucle d’économie circulaire : reconditionnement interne ou don à des associations, traçabilité complète, publication
d’indicateurs de réduction des déchets.
14. Performance environnementale et compétitivité
Question : Quel est l’impact de la performance environnementale du SI sur l’image de marque et la proposition de valeur de l’entreprise (clients, investisseurs, etc.) ?
Niveau 1 : Aucun impact reconnu, l’entreprise ne communique pas sur l’environnement.
Niveau 2 : Mention anecdotique dans les supports marketing ou RSE, sans mesures concrètes ni objectifs.
Niveau 3 : Contribution environnementale visible : labels ou certifications, intégration dans les éléments de différenciation compétitive.
Niveau 4 : Positionnement stratégique : l’écoresponsabilité du SI est un argument fort, mis en avant dans les appels d’offres, rapports aux actionnaires et branding global.
15. Gouvernance environnementale et suivi
Question : Dans quelle mesure la gouvernance du SI inclut-elle des instances ou des rôles dédiés à l’environnement (Green IT officer, comité RSE, etc.) ?
Niveau 1 : Pas de rôle ou d’instance spécifique, la direction SI ne traite pas le sujet environnemental.
Niveau 2 : Le sujet est abordé de temps en temps en comité de direction ou RSE, sans pilotage opérationnel.
Niveau 3 : Des rôles (référent Green IT, sponsor RSE) sont identifiés, un reporting régulier existe, des plans d’action sont suivis.
Niveau 4 : Pilotage formel à haut niveau : comité RSE / Green IT transverse, indicateurs spécifiques, redevabilité explicite (sponsoring de la direction générale, intégration au plan stratégique).