akoka - wattiau
TRANSCRIPT
-
8/16/2019 AKOKA - WATTIAU
1/8
Résumé
Pour justifier et planifier leurs dépenses
informatiques, les directions des systèmes
d’information sont depuis longtemps conduites à
évaluer et auditer leur systèmes d’information et
plus particulièrement leurs applications
informatiques. Les sites web développés par les
entreprises sont devenus des applications cruciales,
voire stratégiques, à l’instar des sites de e
commerce. !ans cette communication, nous
proposons une mét"odologie d’audit spécifique pour
l’évaluation d’un site web, quelle que soit sa nature.
#ette mét"odologie est fondée sur un modèle
"iérarc"ique multicritère. L’audit du site web est
réalisé en procédant à l’évaluation de la qualité de ce
site en fonction d’un nombre limité de critères. $ous
analysons les difficultés particulières liées à ce type
d’audit, notamment dues au nombre de ses
utilisateurs et à leur localisation. $ous dégageons
une démarc"e spécifique inspirée de l’audit d’uneapplication classique. $ous illustrons notre approc"e
sur un cas réel. %nfin, les voies de rec"erc"e future
sont décrites.
Mots clefs :
&udit d’une application, site web, site de e
commerce, critère d’évaluation.
Abstract
'nformation systems investment cost "as been
recogni(ed by many as e)pensive. &s a
consequence, information system officers are
confronted wit" t"e problem of justifying and
evaluating t"is investment. *everal web sites and e
commerce applications "ave been developed
recently, are considered to be crucial, and play a
strateguc role in organi(ations today. +e present in
t"is paper a met"odology allowing management,
users, and information systems professionals to
evaluate a web site application. "e underlying
model of t"e met"odology is a "ierarc"ical treedefined as a finite set of nodes related to audit
domains evaluated using a limited number of audit
criteria."e audit process ta-es into account t"e
c"aracteristics of t"e web site suc" as t"e number of
users, t"eir geograp"ical dispersion, etc. ur
met"odology is built on t"e premise t"at auditing
web site application can be performed by adapting
an approac" applied to standard application auditing.
& reallife e)ample illustrates our met"odology.
Key-words:
&pplication audit, web site, ecommerce site,
evaluation criteria.
Audit d’un site web –
Une démarche
structurée
Jacky AKOKA Professeur
#%!/'#, #onservatoire $ational des &rts et0étiers 1#$&02 et 'nstitut $ational des
élécommunications343 /ue *aint 0artin, 56778 P&/'* #ede),9/&$#%(33) (1) 40.27.24.07
akoka@cnamfr
Isabelle COMYN-WATTIAU Professeur
#%!/'#, #onservatoire $ational des &rts et0étiers 1#$&02 et 'nstitut $ational desélécommunications et %**%#:
343 /ue *aint 0artin, 56778 P&/'* #ede),9rance:; avenue
-
8/16/2019 AKOKA - WATTIAU
2/8
Audit d’un site web – Une démarche structurée
@ac-y &AA& et 'sabelle #0?$+&'&B
1. !ntroduction#’est sans réelle planification que les entreprises ont été amenées
à concevoir et mettre en Cuvre des sites web, permettant aminima de diffuser l’information relative à leurs produits et
services et, le cas éc"éant, de servir de canal de vente et mDme de
distribution. #es sites sont des applications informatiques,souvent conEues sans mét"ode structurée. La maintenance de ces
applications est rendue plus difficile, notamment en raison de
deu) facteurs F
la nécessité de faire évoluer constamment le contenudes sites,
- la difficulté à remanier des applications conEues de faEonnon systématique.
Le site web devient l’épine dorsale du système d’information,
vital au bon fonctionnement de l’entreprise. #ette dernière doit à
tout moment s’assurer de l’adéquation de son systèmed’information à sa stratégie et de sa contribution à lui octroyer un
avantage compétitif. !ans ce but, l’audit d’un site web permetune évaluation des forces et faiblesses de ce dernier.
Le processus d’audit d’un site web ne se limite pas à quelquesdonnées statistiques sur le nombre de visiteurs, les éc"ecs de
conne)ions, le décompte des intrusions, etc. 'l inclut non
seulement les aspects tec"nologiques F temps de réponse,fiabilité, disponibilité, etc, mais aussi les aspects managériau),
notamment organisationnels, "umains et financiers. Pour prendreen compte l’ensemble de ces aspects, nous proposons une
mét"odologie fondée sur l’analyse "iérarc"ique multicritère
permettant l’évaluation du site web visàvis d’un ensemblee)"austif de critères, tels l’adéquation au) besoins, la sécurité, la
convivialité, la performance, l’évolutivité, la rentabilité, etc.
#"acun de ces critères peut Dtre luimDme décomposé en souscritères. &insi la sécurité peut Dtre décomposée en confidentialité
et intégrité. %valuer l’intégrité nécessite de tester l’ensemble des
vulnérabilités de l’application. & un niveau terminal, c"aquesouscritère correspond à un contrGle d’audit à mener. L’approc"e
"iérarc"ique multicritère permet, à l’aide de l’évaluation dec"aque critère final, d’obtenir une évaluation globale du site web
H&-o-a et al., ;44IJ.
La mét"odologie 'nfauditor a été définie de faEon générale pour
auditer l’ensemble du système d’information d’une entreprise.
%lle comprend, en particulier, une arborescence d’évaluationd’une application informatique. L’objectif principal de cette
communication est de montrer comment adapter cettearborescence au) applications particulières que sont les sites web.
'l ne s’agit pas seulement de présenter une étude descriptive. 'l
s’agit pour l’essentiel d’adapter une mét"odologie généraled’audit des systèmes d’information au cas particulier de
l’évaluation d’un site web. $otre démarc"e s’inscrit dans la problématique générale de l’audit. #e dernier ne consiste passeulement à e)aminer un produit 1dans notre cas un site web2 en
vue d’e)primer une opinion sur ses caractéristiques attendues,
mais aussi à procéder à un e)amen approfondi des dispositifs decontrGle interne mis en place pour s’assurer de la minimisation
des dysfonctionnements. $otre mét"odologie propose unensemble de contrGles internes mis à la disposition du
management et des auditeurs. %lle s’inscrit donc dans la
problématique du contrGle interne permettant l’évaluation desrisques afin de les maKtriser.
Le reste de ce papier est organisé comme suit. !ans la deu)ième
partie, nous présentons un état de l’art. La troisième partie estconsacrée au rappel des concepts de base de l’audit d’un système
d’information. !ans la quatrième partie, nous décrivons la
mét"odologie 'nfauditor d’audit d’une application informatique.!ans la cinquième partie, nous illustrons cette démarc"e à l’aide
d’un cas réel. *ur la base de ce cas, nous proposons un ensembled’adaptations de notre démarc"e générale au problème particulier
de l’audit d’un site web, quelle que soit sa nature. %nfin, la
dernière partie conclut et présente quelques pistes de rec"erc"efuture.
2. "tat de l’art'l e)iste quelques travau) relatifs à l’audit des systèmesd’information H#"amplain et al., ;44 M *avolainen, ;444J. #es
travau) sont caractérisés par une approc"e générique de l’audit
des *'. &insi, la démarc"e la plus répandue dans les entreprisesest #
-
8/16/2019 AKOKA - WATTIAU
3/8
Audit d’un site web – Une démarche structurée
@ac-y &AA& et 'sabelle #0?$+&'&B
la réalisation des objectifs de l’entreprise. Pour cela, il doit
vérifier que le système d’information renforce les objectifs decontrGle interne de l’organisation. & cette fin, il doit rec"erc"er et
obtenir les informations fiables et pertinentes lui permettant de
tirer des conclusions raisonnables sur l’état du systèmed’information. *on jugement doit de plus tenir compte des
facteurs tels que les caractéristiques de l’organisation, de sonsystème d’information et du risque d’audit in"érent à tout
jugement. #e risque peut Dtre impacté par des éléments tels que F
a) la nature et les caractéristiques du systèmed’information audité,
b) la comple)ité des tec"nologies utilisées pour laconception, le développement et la mise en Cuvre de cedernier,
c) le biais possible des acteurs impliqués dans le processus 1audité, auditeur, prescripteur, etc.2,
d) l’e)périence de l’auditeur.
L’audit du système d’information inclut l’étude des éléments
critiques de ce dernier, à savoir les mét"odes de développement,la maintenance des applications, la qualité des logiciels, lasécurité du système, sa documentation, etc. Pour organiser et
structurer le processus d’audit, nous avons défini deu) concepts
principau) F les domaines d’audit et les critères.
%& #es domaines d’audit
out système d’information comporte deu) dimensions
principales, la dimension tec"nologique et la dimensionorganisationnelle et managériale. La notion de domaine permet
d’affiner ces deu) dimensions. &insi, l’audit de la dimension
tec"nologique comprend l’évaluation de F
e) la sécurité informatique,
f) l’e)ploitation,g) des projets informatiques,
h) des applications,
i) et des réseau).
L’audit de la dimension organisationnelle et managériale contientles domaines suivants F
j) la stratégie des systèmes d’information,
k) les systèmes d’information fonctionnels 1mar-eting,ressources "umaines, logistique, etc.2,
l) les procédures organisationnelles,
m) la fonction système d’information.
#"aque domaine peut Dtre décomposé en sousdomaines, par e)emple, l’audit de la sécurité informatique comprend d’une partla sécurité p"ysique et d’autre part la sécurité logique. Bn
domaine élémentaire peut Dtre évalué au moyen d’un test d’audit
à définir.
%' #es crit$res d’audit
Pour satisfaire les objectifs de l’entreprise, les domaines
précédents doivent obéir à un certain nombre d’e)igencesqualifiées de critères. $ous proposons la "iérarc"ie de critères
suivante F
n) les e)igences de qualité qui incluent l’efficacité et la performance,
o) les e)igences en termes de sécurité comprenantnotamment la co"érence, la sécurité, la conformité et lafiabilité,
p) les e)igences de lisibilité, parmi lesquelles nousclassons la faisabilité, l’auditabilité et l’évolutivité
H&-o-a et al., 377;J.
&vant de démarrer une mission d’évaluation d’un systèmed’information, l’auditeur doit valider auprès de son
commanditaire le ou les domaines à auditer et le ou les critères
retenus pour évaluer le système.
L’étape suivante consiste à générer l’arborescence d’audit, c’estàdire l’ensemble des nCuds des domaines retenus. Pour
permettre une évaluation globale, c"aque nCud de cette
arborescence est affecté d’un poids. La note d’évaluation d’un
nCud, par e)emple la sécurité p"ysique d’un systèmed’information, résulte de la somme pondérée des notes calculées
lors de l’évaluation de c"acun des sousdomaines de la sécurité p"ysique. &u niveau élémentaire, c’est l’auditeur qui, au vu des
résultats du test d’audit, affecte une note et une appréciation au
nCud terminal correspondant. Bn e)emple partiel d’arborescenceest donné figure ;. & c"aque niveau, un seul nCud est déployé.
Les valeurs numériques figurant sur les arcs sont les poids dec"aque nCud dans l’évaluation de leur nCud parent.
9igure ;. &rborescence d’audit d’une application
L’avantage de lamét"odologie
'nfauditor est
qu’elle permetd’aborder
l’analyse de
faEon structurée.!e plus, elle
peut Dtre adaptéeaisément à des
domaines
particuliers ou àdes situations
spécifiques, soit en aménageant l’arborescence, soit en modifiantles poids. !ans la partie suivante, nous décrivons de faEon plus
précise l’audit d’une application avant de l’appliquer à l’audit
d’un site web.
4. Audit d’une a((lication'l est fréquent qu’un auditeur soit amené à évaluer uneapplication. &insi, dès qu’un problème d’insatisfaction des
utilisateurs, de temps de réponse trop long, de maintenance
coRteuse, de fiabilité, etc., se produit, l’application informatiqueest rapidement mise en cause par ses utilisateurs et peut conduire
la direction des systèmes d’information ou le directeur du service
utilisateur à effectuer ou commander un audit de cetteapplication. Les audits d’application sont aussi utilisés par les
cabinets de conseil pour évaluer le patrimoine informatique d’une
&udit
d’une
application
&déquation
au) besoins *écurité 9iabilité
!ocumen
tation #o"érence Performance
0aintena
bilité /entabilité
!egré de
satisfaction
&tteinte des
objectifs
Procédures
parallèles
&déquation
documentation
Performance
!u service #onvivialité
7.3 7 .3 7.3 7.; 7.; 7.;
7.3 7.3 7.3 7.76 7.76 7.; 7.; 7.;
!egré d’obso
lescence
7.;
&udit
d’une
application
&déquation
au) besoins *écurité 9iabilité
!ocumen
tation #o"érence Performance
0aintena
bilité /entabilité
!egré de
satisfaction
&tteinte des
objectifs
Procédures
parallèles
&déquation
documentation
Performance
!u service #onvivialité
7.3 7 .3 7.3 7.; 7.; 7.;
7.3 7.3 7.3 7.76 7.76 7.; 7.; 7.;
!egré d’obso
lescence
7.;
-
8/16/2019 AKOKA - WATTIAU
4/8
Audit d’un site web – Une démarche structurée
@ac-y &AA& et 'sabelle #0?$+&'&B
filiale à ac"eter par e)emple. La décision de recourir à un
progiciel de gestion intégrée peut résulter de l’audit d’uneapplication jugée arc"aSque.
-
8/16/2019 AKOKA - WATTIAU
5/8
Audit d’un site web – Une démarche structurée
@ac-y &AA& et 'sabelle #0?$+&'&B
L’auditeur est amené à conduire des tests sur l’application pour
vérifier que les temps de réponse sont satisfaisants et quel’application n’a pas d’impact négatif sur l’ensemble du système
d’information, ce qui peut Dtre le cas par e)emple si elle
consomme toutes les ressources matérielles disponibles.
g) 0aintenabilité
La facilité de maintenance d’une application est évaluée par interview des informaticiens responsables d’effectuer les
évolutions logicielles, tant en termes de maintenance corrective
que de maintenance évolutive.
h) /entabilité
Le développement de l’application a nécessité un investissement
dont il faut évaluer la rentabilité, c’estàdire le retour sur investissement. Les informations relatives à cet aspect financier
sont parfois disponibles dans l’étude préalable etNou l’étude de
faisabilité. !ans la plupart des cas, ils n’ont pas été mis à jour.L’audit complet de l’application doit aussi tenir compte de cet
aspect en évaluant les bénéfices réalisés au moyen de cette
application. #es bénéfices doivent Dtre dégrevés des coRts
d’e)ploitation et de maintenance de l’application.
L’ensemble des critères précédents sont regroupés sous forme
d’arborescence multicritère pondérée. #’est cette arborescence
que nous nous proposons d’adapter au cas particulier d’un siteweb. & priori, un site web peut Dtre assimilé à une application
informatique. %n conséquence, la démarc"e précédente peutsembler adéquate dans la réalisation d’un audit de site web.
$éanmoins, il e)iste un ensemble de différences entre une
application classique et un site web. !ans la suite, nous proposons d’analyser ces différences et d’adapter la démarc"e
'nfauditor à l’audit d’un site web.
5. Audit d’un site webLa mét"odologie d’audit décrite cidessus a été appliquée à
l’évaluation d’un site web ayant pour objet la mise en ligne deloteries. L’audit a été réalisé au moyen d’entretiens détaillés. Lesrésultats ont été comparés avec le ca"ier des c"arges de
l’application. La stratégie de cette entreprise est fondée sur l’utilisation des tec"nologies de l’information et de la
communication, ainsi que sur le renouvellement de ses jeu). Le
site 'nternet complète les autres outils d’information utilisés1télévision, radio, etc.2. !ans le futur, le site 'nternet sera utilisé
également dans les relations commerciales avec les détaillants.
#"aque mois, environ V777 conne)ions sont enregistrées dansce site. #ertaines fonctionnalités prévues dans le ca"ier des
c"arges, telles que les "istoriques des rapports et des tirages, la
rec"erc"e des points de vente et les jeu) gratuits sont encore àréaliser. L’audit avait pour but de vérifier si ces fonctionnalités
représentent un vrai besoin sur ce marc"é, si le site correspond
au) attentes e)primées dans le ca"ier des c"arges et s’il e)isted’autres besoins non e)plorés.
a) #es résultats
La mét"odologie 'nfauditor a été appliquée à ce cas réel. Pour
évaluer c"acun des nCuds de l’arborescence, c"aque point a été
rapproc"é des objectifs du ca"ier des c"arges. outefois, nous ne pouvons donner ici tous les détails. $ous nous contentons donc
de synt"étiser les résultats de l’audit dans un tableau. Pour rendre
le propos plus précis, nous ne faisons pas figurer les notes mais plutGt les appréciations liées à c"aque nCud.
-
8/16/2019 AKOKA - WATTIAU
6/8
Audit d’un site web – Une démarche structurée
@ac-y &AA& et 'sabelle #0?$+&'&B
)R!*"R"+ ,!.*+ /R*+ ,!.*+ /A!0#"+
Adé1uation au2 besoins
Degré de satisfaction 7 à 6W des utilisateurs se déclarent
satisfaits
La rec"erc"e par motclé est efficace
La navigation est jugée conviviale
Le moteur de rec"erc"e nXest pas complet
Les utilisateurs regrettent lXabsence de contact par
email, de jeu) gratuits et le manque dXinformation
didactique sur les jeu) eu)mDmes.
Objectifs atteints n peut déclarer que les objectifs globau)sont atteints
'l manque de ressources "umaines et de temps pour perfectionner le site
Procédures parallèles &ucune procédure nXest utilisée
Documentation LXutilisation du site est rendue aisée par la navigation
Performance du service %lle est jugée très bonne. 'l nXy a pas de file dXattente. Bn site miroir permet un Ybac- upY continu.
Le serveur est actuellement suffisamment puissant, la bande passante aussi.
onvivialité %lle est évaluée positivement par tous les intervenants
Degré d!obsolescence Bne commission ad "oc se réunitrégulièrement pour vérifier la mise en Cuvre
des procédures de mise à jour
Les réunions de la commission ne sont pas asse(formalisées
+écurité
ontr"les # la saisie Plusieurs contrGles automatisés e)istent !ivers moyens de communication obligent à une
double saisie 1fa), email2
'l semble e)ister un manque de coordination entre
les entités internes de lXentreprise
n déplore une absence de suivi de la relationclient en cas dXerreur
ontr"le des traitements 'l e)iste plusieurs niveau) de contrGle et des
procédures sous forme de c"ec-list
Le contrGle nXest effectué que sur les nouvelles
pages
ontr"le des résultats 'l nXe)iste pas de contrGle global.
/iabilité
$uivi des incidents Peu dXincidents sont à déplorer
'l e)iste une procédure de suivi de ces incidents, ainsi quXune documentation écrite listant les
incidents possibles
%esure des incidents Le délai de 3 à 8 "eures pour remonter le serveur en présence du web master est jugé court.
3ocumentation Bne seule personne est responsable du systèmedans son ensemble
!e ce fait, la documentation est limitée.
)ohérence Le site de développement est séparé du site en
e)ploitation
'l e)iste des documents internes résumant lesnormes en vigueur
Le site a été lancé à partir dXun prototype, sans la
définition dXune mét"ode de suivi
,erformance &cceptable
Maintenabilité *atisfaisante
-
8/16/2019 AKOKA - WATTIAU
7/8
Audit d’un site web – Une démarche structurée
@ac-y &AA& et 'sabelle #0?$+&'&B
Rentabilité Le coRt est inférieur au support papier
Le coRt des ressources "umaines est limité
Les coRts ne sont pas analysés séparément des frais
générau)
b) 3iscussion
La mét"odologie 'nfauditor s’avère applicable à un site web. %lle permet une approc"e structurée et une évaluation systématique
des différents aspects importants relatifs au site web. outefois,
cette e)périmentation et la revue de la littérature nous conduisentà proposer certains aménagements de la mét"odologie 'nfauditor
pour ce type très spécifique d’application. Par e)emple, la notion
de procédure parallèle est très difficile à mettre en application.!ans un site de commerce électronique, peuton considérer que
l’ac"eteur qui utilisera un autre canal de vente que le site webutilise une procédure parallèle T ui, dans la mesure oZ cela peut
refléter un manque de confiance dans la transaction électronique.
$on, s’il ne dispose pas de ce moyen de commercer avecl’entreprise. #et aspect n’est pas majeur dans l’audit d’une
application. Pourtant, c’est un moyen de mesurer la satisfaction
des utilisateurs.,lus 4énéralement5 (lusieurs éléments différencient un site
web d’une a((lication informati1ue classi1ue :
- le nombre d’utilisateurs est généralement très élevé, leur profil peut Dtre e)trDmement varié, leur comportement et
leurs besoins sont très différents. #es particularités vont
rendre plus comple)e l’évaluation de l’adéquation au) besoins. La satisfaction des utilisateurs devra Dtre mesurée à
l’aide de moyens spécifiques, non plus sur la base d’un
éc"antillon d’utilisateurs connus, mais par le biais d’unquestionnaire online, enric"i d’une analyse statistique sur le
journal de suivi des accès au site.
- Les utilisateurs sont pour la plupart e)ternes àl’organisation. Le site web est une application ouverte, plusvulnérable. La sécurité de cette application sera donc à
considérer avec d’autant plus de vigilance.
- n ne peut généralement pas limiter le site web à uneapplication. L’accès par un utilisateur à un site va impacter
plusieurs applications, l’application de gestion des accès,
l’application de gestion du contenu, les modules de sécurité
du *', etc. L’audit du site web doit concerner toutes lesapplications reliées à travers ce site.
La plupart des sites proposent deu) modes d’accès F un
mode public sans contrGle d’identité, fournissant une
information limitée et un mode privé Q nécessitantune aut"entification et, le cas éc"éant, un paiement
électronique. #ette particularité augmente la
vulnérabilité du site face au) intrusions et impactel’audit de la sécurité de cette application.
- La mesure de la fiabilité du site requiert l’e)ploitation des journau) 1fic"iers log Q2. #’est une t[c"e bien plus
conséquente que le suivi d’incidents d’applicationsclassiques.
- La performance du site web est, elle aussi, comple)e àévaluer. !’une part, il faut la mesurer à différents moments,
par e)emple à l’aide de routines spécifiques. !’autre part, il
faut prendre en compte la performance des différentes
applications appelées et la performance des réseau) 1'ntranet
et 'nternet2 sur lesquels transitent les interactions. La qualité de la documentation diffère en ce qui concerne la
documentation utilisateur. %n effet, celleci est
complètement en ligne, intégrée à l’interface utilisateur. Laconvivialité de la documentation est étroitement liée à celle
de l’application et inversement.
La maintenabilité du site web est un aspect important. $otons que l’application correspondante est plus sujette àmaintenance qu’une application classique F son contenu
évolue parfois d’"eure en "eure. outefois, des outils de
gestion de contenu peuvent Dtre utilisés pour faciliter cettemise à jour. n considèrera donc qu’un site qui utilise
astucieusement de tels outils a une maintenabilité largement
supérieure.
La rentabilité d’un site web mesure le rapport entrel’investissement consenti pour son développement et sa
maintenance avec les bénéfices liés à son e)ploitation. !ans
ces bénéfices, il convient d’évaluer pour les sites marc"andsla part de marc"é atteinte via ce créneau de
commercialisation. n mesure de plus l’efficacité du service
au client rendu par le moyen des conseils en ligne, desmoteurs de rec"erc"e intégrés au site, etc.
%nfin, le référencement du site est un critère important
d’évaluation de son adéquation au) besoins, mais aussi
de sa rentabilité. 'l convient de mesurer ceréférencement et de pallier les lacunes éventuelles, par
e)emple par le moyen d’accords commerciau).
- Le risque d’audit est élevé dans la mesure oZ il n’est pas possible d’interroger un grand nombre d’utilisateurs, nimDme \ dans de nombreu) cas \ de connaKtre ces
utilisateurs.
- Les aspects juridiques deviennent cruciau) dans cessystèmes d’information ouverts. #’est un critère
supplémentaire à considérer dans l’audit. %n particulier, lenom du site ne doit pas Dtre sujet à réclamation par des tiers.
Les te)tes, images, sons intégrés dans le site doivent Dtreconformes au droit de la propriété intellectuelle. Le site ne
doit pas contenir de lien vers des sites dont le contenu est
illégal. Pour se protéger de réclamations liées au contenuinformationnel, le site doit contenir une clause e)onératoire
de responsabilité. $ous ne mentionnons ici que quelques
éléments parmi l’ensemble des règles de droit au)quellestout site 'nternet est soumis H
-
8/16/2019 AKOKA - WATTIAU
8/8
Audit d’un site web – Une démarche structurée
@ac-y &AA& et 'sabelle #0?$+&'&B
3] la modification des poids de l’arborescence F
La sécurité et la maintenabilité doivent Dtre pondérées de faEon
plus importante que dans les applications classiques.
8] l’aménagement de l’arborescence F
& titre d’illustration, nous proposons l’ajout d’un nCud
&éférencement du site pour évaluer l’adéquation au) besoins dece dernier. !e la mDme faEon, nous proposons l’ajout d’un nCud
onformité au' lois situé au premier niveau de l’arborescence
d’audit d’application.
Les limites de notre approc"e de l’audit d’un site web sont cellesde la mét"odologie d ^analyse "iérarc"ique multicritère, et donc
d’'nfauditor. %lle impose une connaissance préalable de
l’ensemble des critères pouvant intervenir dans l’évaluation d’unsite web. !e plus elle nécessite le regroupement de ces critères à
des niveau) d’agrégation appropriés. %nfin, elle requiert une pondération de ces critères adaptés au site web considéré et au)
objectifs poursuivis par les responsables de ce site. Pour faire
face à ces limites, nous faisons appel à notre e)périenced’auditeurs ainsi qu’au) best practices Q des entreprises.
6. )onclusions et recherche future!ans cet article, nous avons présenté une démarc"e structuréed’audit d’un site web. !ans un premier temps, nous avons défini
les concepts relatifs à l’audit d’un système d’information. Puis
nous avons proposé une mét"odologie d’audit d’une application.#ette dernière, appelée 'nfauditor, est fondée sur un modèle
"iérarc"ique multicritère formant une arborescence pondérée
d’audit. $ous avons appliqué cette démarc"e à l’audit d’un siteweb réel, puis nous avons montré les différences importantes
e)istant entre une application classique et un site web. 9ondées
sur cette e)périence, nous avons proposé des adaptations de notredémarc"e d’audit d’application afin de tenir compte des
spécificités d’un site web. Le résultat constitue une démarc"e
autonome et structurée d’audit d’un site web, qu’il s’agisse d’unevitrine, d’un portail ou d’un site de ecommerce.
Plusieurs voies de rec"erc"e future sont possibles F
l’adaptation de cette démarc"e générique à des types particuliers de sites web,
l’e)périmentation large de notre démarc"e sur plusieurs sitesdifférents et comple)es,
la comparaison avec l’approc"e #inige &. 137732, +eb *ite
&uditing \ 9irst *tep owards /eengineering Q, Proceedingsof $*4*’/5, pp 58;585.
Lewin @. , +eb *ite &udit and %valuation Q,"ttpFNNwww.lewingroup.com.
lsina L, Lafuente > et /ossi > 1377;2, *pecifying Uuality
#"aracteristics and &ttributes for +ebsites Q, in ,eb
*ngineering – %anaging Diversit+ and omple'it+ of ,eb Application Development , 0urugesan * and !es"pande ?,
L$#* =ot opics 37;I, *pringer, pp 3II35.
*avolainen O. 1;4442, &nalysis of t"e !ynamic $ature of
'nformation *ystems Performance %valuation Q, in Perspectives of .nformation $+stems, *pringerOerlag $ew
?or-, 'nc.
*iegel !. 1;4452, *ecrets of *uccessful +eb *ites Q, 2ew
&iders, 'ndianapolis.
Oerbiest ., !. #assiers, L’audit juridique d’un site web Q,"ttpFNNwww.droittec"nologie.org.
#