Évaluation des systèmes d'information
Le système d’information est un élément essentiel de l’entreprise de nos jours. Les entreprises sont prêtes à investir de fortes sommes afin d’obtenir un système d’information performant et adapté à leur activité. C’est également un enjeu majeur pour la compétitivité de l’entreprise.
Cependant, comment savoir si le système d’information en place est adapté à l’entreprise ? Il se pose donc le problème de l’évaluation des systèmes d’information.
Pourquoi évaluer ?
Les objectifs de l’évaluation d’un système d’information sont nombreux pour une entreprise. Cela permet de vérifier la contribution du SI à la performance de l’entreprise, et favorise le progrès dans l’organisation, avec l’apprentissage organisationnel. On voit également un objectif de motivation et de guide des acteurs en les situant dans une perspective d’amélioration continue, ou encore évaluer la qualité des actes de gestion et l’usage des ressources.
Quand évaluer ?
La première évaluation est effectuée pendant la phase de conception du système d’information dans le but d’affecter des ressources matérielles, logicielles, ou même personnelles au projet de mise en place d’un nouveau système.
La première évaluation d’envergure après implémentation doit être réalisée six mois après la fin de la phase de mise en œuvre, et annuellement par la suite, pour assurer l’alignement optimal des processus avec le nouveau logiciel. De plus, la fonctionnalité et la capacité à produire des bénéfices doivent être analysées pour déterminer ce qui est utilisé ou non. Sur cette base, il est alors possible de découvrir des opportunités d’utiliser mieux le logiciel ou l’information. Il est important que les procédures de révision soient intégrées dans les cycles de planification de l’institution. Il est ainsi recommandé de réaliser une révision de routine un ou deux mois avant l’exercice annuel de planification stratégique et budgétaire.
Par qui évaluer ?
L’évaluation d’un système d’information est, le plus souvent, fait par des personnes extérieures à l’entreprise, appartenant à un cabinet d’audit. On distingue deux types d’audit pour un système d’information :
- Audit opérationnel : permettant de vérifier l’efficience et l'efficacité des SI. Cet audit va vérifier la gestion du SI en analysant de manière globale le système mis en place. On aura ainsi une vision de la performance du système d’information et de l’organisation de ce dernier.
- Audit financier : permettant de vérifier la validité des informations et donc la qualité de la sécurité dans les SI. Cet aspect de l’audit va vérifier que les informations transmises par le SI ne sont pas erronées, mais aussi la cohérence de ces informations. Par exemple, si une entreprise a un logiciel de comptabilité, vérifier que le compte de résultat indiqué par le logiciel soit en accord avec les informations rentrées par les utilisateurs.
Niveau d'intervention | Audit financier (validité des informations) | Audit Opérationnel (gestion du SI) |
---|---|---|
L'entreprise |
Organisation et procédures (normes de contrôle) | |
La fonction système d’information dans l'entreprise |
Audit de sécurité (accès, procédures...) |
Audit de sécurité |
L'application |
Respect obligations légales et réglementaires |
Respect des normes de développement |
Les données |
Contrôle direct de la fiabilité des résultats(exactitude, exhaustivité des informations |
Contrôle indirect de la fiabilité, exhaustivité, exactitude... |
Comment évaluer ?
L’évaluation d'un système d'information doit se faire sur une période plus ou moins longue. La détermination de la durée sur laquelle on fait porter l’évaluation est primordiale, et doit nécessairement être la même pour le calcul des coûts et des gains. Une durée de 3 à 5 ans est recommandée afin d’obtenir, d’une part, une bonne appropriation de l’outil par les utilisateurs, et de pouvoir démontrer, d’autre part, un délai de recouvrement[1] suffisamment rapide. Le choix de la durée reste néanmoins fonction de la nature du projet et de son niveau de complexité.
Coût
Dans les faits, le système d’informations représente une part importante des dépenses de l’entreprise, croissante dans de nombreuses industries. Il est perçu comme trop cher car la valeur qu’il produit est difficile à appréhender. Dans une grande entreprise d’un secteur de services tel que la banque, l’assurance ou les télécommunications, les logiciels accumulés représentent plusieurs centaines de millions d’euros. Ils sont mesurés en utilisant des « points de fonctions », qui sont l’équivalent abstrait, d’un point de vue fonctionnel, des composants élémentaires d’un système physique. Là où un avion moderne comporte plusieurs millions de composants (par opposition à une automobile pour laquelle on compte par milliers), les SI des grandes entreprises mentionnées comptent des millions de points de fonctions. L’essentiel des coûts du SI est directement lié à cette mesure, qu’il s’agisse de coûts d’acquisition du logiciel (de l’ordre de 200 euros par point de fonction) ou de coûts d’exploitation (représentant environ 15 % des coûts d’acquisition).”
Les coûts d’un projet informatique sont donc, a priori, fonction de deux facteurs :
- le poids fonctionnel du projet, que l’on mesure précisément avec des points de fonction
- les exigences « non fonctionnelles[2] ».
Ces exigences sont déterminantes dans le coût des projets, ce qui a été établi scientifiquement par la méthode Cocomo. C’est la première cause d’incompréhension des coûts de la DSI. Nous avons tous déjà entendu un avis du type : « Je ne comprends pas, la DSI réclame 100 000 euros pour faire un projet qu’un stagiaire pourrait faire en six mois et qu’une start up ferait pour 20 000 euros ». Il y a de nombreuses raisons pour une telle différence de prix (et toutes ne sont pas acceptables), mais les raisons principales sont liées aux exigences non fonctionnelles dont la disponibilité, la performance et l’interopérabilité sont les trois plus importantes.
Comment évaluer le retour sur investissement des systèmes d’informations?
L’approche de retour sur investissement est focalisée sur la mise en évidence du rapport entre les coûts d’un système d’information et les bénéfices qu’il apporte à l’organisation qui l’accueille, dans une logique d’optimisation générale.Le retour sur investissement – ROI : Return On Investment - désigne le rapport entre les montants cumulés des gains et de coûts générés par un projet. Il permet d’évaluer le niveau de rentabilité de l’investissement et s’exprime le plus souvent en taux (pourcentage de l’investissement).
ROI = (Gains-Coûts)/Coûts
Par exemple : pour un investissement de 1000€, rapportant 1200€, le ROI est de :
(1200€-1000€)/1000€=20%
Quelle que soit la nature des gains propres au projet, les conséquences potentielles se mesurent toujours par différence à la situation ou trajectoire actuelle, en termes :
- D’augmentation des gains (financiers, qualité de service, etc.)
- D’accélération des gains (diminution des coûts de fonctionnement, raccourcissement des délais de recette, etc.)
- De réduction des coûts de l’activité ou du processus concerné par le projet.
De manière générale, les gains sont par nature très dépendants du type d’activité ou secteur.
Délai
Le respect des délais est un critère primordial de l’évaluation d’un système d’information. Néanmoins, comment ces délais sont-ils estimés, et pourquoi paraissent-ils parfois excessifs? Différentes méthodes sont utilisées pour estimer les délais de conception d’un système d’information par la DSI, comme le modèle Cocomo de Boehm par exemple.
Ils prennent en compte plusieurs étapes nécessaires à la réalisation d’un système d’informations telles que l’étude préalable (observations et collecte des informations, conception et organisation, appréciation), la conception détaillée, l’étude technique, la réalisation et la mise en œuvre. Il est à savoir que les phases d’étude et de conception occupent la majeure partie du temps. En effet, plus les études seront menées sérieusement, plus la phase de mise en œuvre du système d’information sera rapide. De plus, il est évident que le temps octroyé à l’étude dépend de la surface à étudier: plus le périmètre à prendre en compte est important, plus l’étude sera longue.
De manière générale, le temps est découpé de la façon suivante:
- Analyse : 20 %
- Conception: 30 %
- Codage : 40 %
- Débogage, test et correction : 10 %
Les phases d’analyse et de conception sont donc les plus importantes pour avoir le moins possible de corrections à apporter au code, et ainsi limiter le coût dû à ces corrections d’erreurs.
Enfin, le délai est parfois allongé pour des questions de risques. Il est en effet conseillé au chef de projet de recenser, en début de conception, tous les risques auxquels le projet pourrait être soumis (absence d’employés, panne de matériel, problèmes logistiques), d’évaluer leur probabilité d’apparition, et de prendre les précautions nécessaires en fonction de ces dernières. Ces précautions seront évidemment partiellement temporelles, et ajouteront un délai supplémentaire à celui estimé dans le cadre d’un risque zéro.
Qualité
La qualité d’un produit ou d’un service est son aptitude à satisfaire les besoins des utilisateurs, en termes de fonctionnalités, délais, coûts. En 1992, DeLone et McLean[3] proposent un modèle de succès des SI intégrant différentes mesures, dont la qualité :
- Qualité du système technique
- Qualité de l’information produite
- Degré d’utilisation (temps réel d’utilisation, nombre de logiciels ou de fonctionnalités utilisés, etc.)
- Satisfaction de l’utilisateur (traduisant l’attitude de l’usager à l’égard du produit ou de l’outil, etc.)
- Impact sur la performance individuelle (effet sur le temps et la qualité de la décision, effet sur le niveau d’efforts, gains en productivité, amélioration de la qualité de vie au travail, etc.)
- Impact sur la performance de l’organisation (efficience générale, performance financière, avantage compétitif, flexibilité, création de valeur, etc.)
La qualité du système technique représente à la fois un accès facile, un usage convivial, un temps de réponse court, un outil de travail pratique pour l’utilisateur, qui lui permet de travailler de manière plus efficace, sans pour autant altérer à ses fonctions. La qualité de l’information produite inclut quant à elle la précision de l’information, son accessibilité, son exhaustivité, sa fiabilité, etc. L’utilisateur doit se sentir en confiance pour ne pas être gêné dans son travail. En 2003, dans une révision de leur modèle DeLone et McLean ajoutent comme précurseur la qualité du service, telle que mesurée par l'échelle Servqual[4].
De manière générale, un système d’information de bonne qualité devra répondre aux besoins de l’utilisateur en lui permettant d’être plus productif dans son travail, sans pour autant le déstabiliser dans sa manière de faire les choses. L’utilisateur doit sentir que le système d’informations lui est adapté, et non que c’est à lui de s’y adapter.
Ce modèle montre très clairement que la “qualité du système” et la “qualité de l’information” sont des attributs spécifiques du SI qui vont déterminer le jugement d’un utilisateur (en termes de satisfaction et d’utilisation) relatif à ce SI. La partie droite du modèle se réfère à la notion d’impact, donc de conséquences de l’utilisation d’un SI, au niveau de l’utilisateur puis à celui de l’organisation. Si l’on considère la partie gauche de ce modèle, on y trouve les éléments d’une mesure de la performance spécifique.
Ce modèle de la mesure de la performance d’un SI a fait l’objet d’une actualisation (2003) tenant compte des recherches effectuées et de l’expérience. La mesure de la qualité possède trois dimensions majeures:
- la qualité du système
- la qualité de l’information
- la qualité du service.
Cette dernière dimension intègre le fait que les applications soient à jour, sécurisées, les employés du service SI réactifs et compétents et qu’ils manifestent de l’empathie à l’égard des utilisateurs.
Disponibilité
Le système doit fonctionner sans faille durant les plages d'utilisation prévues, et garantir l'accès aux services et ressources installées avec le temps de réponse attendu. La disponibilité est en fait définie par son complément : le temps maximal d’indisponibilité, qu’il s’agisse d’arrêt programmé (le soir, les week-ends) ou des incidents. La nature stratégique de l’activité du SI conduit à des exigences de plus en plus strictes (7 jous/7, 24 heures/24, disponibilité à 99,9 %, voire 99,99 %). Ces exigences ont un impact direct sur les coûts, qu’il s’agisse de matériel (la disponibilité s’obtient par leur redondance) ou de logiciel. Boehm Cocomo cite des surcoûts de 30 à 50 % sur le simple aspect du développement.
Intégrité
L'intégrité est la garantie que le système et l'information traitée ne sont modifiés que par une action volontaire et légitime. L’intégrité des données est donc la confirmation que les données qui ont été envoyées, reçues ou stockées sont complètes et n'ont pas été modifiées de façon fortuite. Elles doivent être ce que l’on s’attend à ce qu’elles soient...
Confidentialité
Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché. Afin d’assurer cette confidentialité de l’information, il peut être mis à disposition de l’utilisateur un système d’authentification.
Maintenabilité
Au-delà de la conception, la maintenance d'un système d'information est également un critère d’évaluation à prendre en compte. En effet, il existe un risque que le SI ne soit pas assez nettoyé (voire pas nettoyé du tout) de ses fonctionnalités inutilisées. Pourtant une application sous-utilisée ou mal utilisée coûte presque aussi cher qu’une application « populaire ». Certes, l’accumulation de générations de logiciels est un véritable casse-tête, mais le nettoyage est également une discipline exigeante et difficile à ne pas négliger.
Évolutivité
Les SI doivent pouvoir évoluer. 80 % des informaticiens s’occupent de la maintenance (évolutive et corrective), 20 % de nouveaux projets.
Critères relatifs au passé
Les systèmes d’informations doivent souvent prendre en compte un suivi de l’activité afin de respecter des normes de traçabilité de l’information. Cela peut être un enjeu majeur dans certaines entreprises comme dans le domaine de l’alimentaire par exemple. On peut donc distinguer deux critères principaux permettant de tracer l’information.
Non-répudiabilité
La répudiation est le fait de nier avoir participé à des échanges, totalement ou en partie. Dans la non répudiation, l'objectif est de donner des preuves indiscutables de l'exécution d'opérations, les parties impliquées ne pouvant plus nier les faits. De ce fait, le système d’information doit permettre de garder une trace des personnes, des acteurs, impliqués dans les échanges. Par exemple, connaître les fournisseurs de matières premières.
Traçabilité
Le SI doit permettre une traçabilité de l’information, à des fins législatives ou décisionnaires. La traçabilité est un moyen complémentaire aux méthodes habituelles contribuant à la protection de l’intégrité des données du système d’information. Cela permettra en cas de problèmes de cohérence des données, ou encore d’enquêtes judiciaire, de retrouver la cause de l’incident.
Critères relatifs à la législation
L’intégration d’un système d’information au sein d’une entreprise ne doit en rien entraver la protection des personnes ni des biens de l’entreprise.
Protection des personnes
En France, la loi informatique et libertés impose que les organismes mettant en œuvre des fichiers garantissent la sécurité des données qui y sont traitées. Cette exigence se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en œuvre, essentiellement par l’intermédiaire de leur direction des systèmes d’information ou de leur responsable informatique.
Dix conseils pour la sécurité du système d’information selon la CNIL:
- Adopter une politique de mot de passe rigoureuse
- Concevoir une procédure de création et de suppression de comptes utilisateurs
- Sécuriser les postes de travail
- Identifier précisément qui peut avoir accès aux fichiers
- Veiller à la confidentialité des données vis-à-vis des prestataires
- Sécuriser le réseau local
- Sécuriser l’accès physique aux locaux
- Anticiper le risque de perte ou de divulgation des données
- Anticiper et formaliser une politique de sécurité du système d’information
- Sensibiliser les utilisateurs aux « risques informatiques » et à la loi informatique et libertés
Protection des biens
Le système doit être protégé face aux tentatives de piratage, d’intrusion, de virus, cela est détaillé dans l'article sur la Sécurité des systèmes d'information
Plan qualité
Le système d'information mis en place doit respecter la Série des normes ISO 9000.
Plan qualité logiciel
Un plan qualité logiciel est un document décrivant les dispositions spécifiques prises par une entreprise pour obtenir la qualité du produit ou du service considéré.
Articles connexes
- Système d'information
- Gouvernance des systèmes d'information
- Gouvernance des technologies de l'information
- Sécurité du système d'information
- Directeur des systèmes d'information
- Modèle d'acceptation de la technologie
- Modèle de succès des systèmes d'information
- Modèles de coûts informatiques
- Servqual
Notes et références
- Le délai de recouvrement désigne le temps nécessaire à la récupération du montant initial d’un investissement pour un taux d’actualisation donné
- un terme du jargon informatique qui signifie que l’on ne s’intéresse pas à ce que le logiciel fait, mais à la façon dont il le fait
- DeLone et McLean 1992.
- DeLone et McLean 2003.
Bibliographie
- Marie-Hélène Delmond, Yves Petit et Jean-Michel Gautier, Management des systèmes d’information, Paris, Dunod,
- William H. DeLone et Ephraim R. McLean, « Information Systems Success: The Quest for the Dependent Variable », Information Systems Research, vol. 3, no 1, , p. 60–95 (ISSN 1047-7047 et 1526-5536, DOI 10.1287/isre.3.1.60, lire en ligne)
- William H. DeLone et Ephraim R. McLean, « The DeLone and McLean Model of Information Systems Success: A Ten-Year Update », Journal of Management Information Systems, vol. 19, no 4, , p. 9–30 (ISSN 0742-1222 et 1557-928X, DOI 10.1080/07421222.2003.11045748, lire en ligne)
- (en) Kenneth C. Laudon et Jane P. Laudon, Management information systems, Pearson,
- Kenneth C. Laudon, Jane P. Laudon et Serge Costa, Management des systèmes d'information, Pearson,
- (en) Raymond McLeod et George P. Schell, Management Information Systems, Upper Saddle River, NJ, Prentice-Hall,
- Pierre Pezziardi, Une politique pour le système d'information : Descartes, Wittgenstein, XML, OCTO Technology, (ISBN 2-9525895-0-X et 978-2-9525895-0-5, OCLC 469562676)
- Robert Reix, Bernard Fallery, Michel Kalika et Frantz Rowe, Systèmes d'information et management des organisations, Paris, Vuibert, , 471 p. (ISBN 978-2-7117-4381-0)