Audit SI et diagnostic IT opérationnel sans complaisance

Audit & Diagnostic SI

Un audit IT, ça doit vous dire la vérité. Pas ce que vous avez envie d’entendre. Pas ce qui va plaire aux oreilles sensibles. La vérité opérationnelle.

En quatre à six semaines, je vous dis où vous en êtes vraiment : infrastructure fragile ou solide. Applications legacy à remplacer ou à maintenir. Équipe capable de piloter la transformation ou surmenée et bloquée. Sécurité IT à la hauteur de vos risques réels, ou en retard. Budget IT dépensé efficacement ou gaspillé en gadgets.

Pas un exercice PowerPoint. Un diagnostic mené par quelqu’un qui a vraiment dirigé des équipes IT. Qui sait ce que c’est, les vraies tensions entre stabilité et innovation. Qui reconnaît la différence entre un problème cosmétique et un vrai point faible structurel.

À la fin : un rapport sans détour, et un plan d’action pour les trois prochains trimestres. Vous savez sur quoi pousser en priorité. Vous avez budgétisé la vraie charge. Et vous ne dépenserez pas un euro en fausse bonne idée.

Pourquoi un audit, vraiment

Les entreprises commandent un audit IT pour plusieurs raisons. Parce qu’un nouveau DSI arrive et veut connaître l’héritage. Parce qu’il y a eu une crise de sécurité. Parce qu’on prépare une fusion ou un carve-out. Parce que le COMEX dit « notre IT nous coûte trop cher, optimisez ». Parce qu’on veut lancer une transformation et on veut savoir d’où on part.

Je préfère l’audit de diagnostic : celui où on regarde l’existant sans idée préconçue. Pas « il faut moderniser tout », pas « tout va bien, c’est juste les gens qui se plaignent ». Juste : comment ça fonctionne, vraiment ? Où est la force, où est la faiblesse ?

Ce que je regarde

L’infrastructure informatique. Serveurs, réseaux, bases de données, cloud. État global. Âge du matériel. Redondance et continuité (si le data center brûle, vous perdez combien ?). Capacité à supporter la croissance. Où est le vrai goulot d’étranglement qui vous ralentit. Quels investissements sont vraiment urgents versus ceux qui peuvent attendre.

Les applications et les données. Quels systèmes core tournent où. Lesquels sortent bientôt de support éditeur. Lesquels consomment des ressources sans donner grand-chose. Comment les données circulent entre systèmes. Où les silos créent de la friction métier. Quel legacy est remplaçable et quel legacy va rester 10 ans.

La sécurité informatique. Niveau de maturité réel, pas ce qui est affiché. Processus incident : vous vous en sortez comment ? Posture de sécurité, vraie posture. Où êtes-vous vulnérables. Quel risque de ransomware, de fuite de données. Budget sécurité : il est judicieux ou sous-dimensionné. Plans de continuité testés et opérationnels ou cosmétiques.

L’équipe IT. Taille, compétences, point chaud. Où y a-t-il de la turnover. Pourquoi les meilleurs partent. Capacité à absorber une transformation majeure. Où manque-t-il des compétences critiques. Est-ce une équipe saine ou en burn-out.

L’organisation IT et la gouvernance. Comment les décisions sont prises. Qui pilote quoi. CODIR IT fonctionnel ou pantomime. Lien avec le COMEX : IT assis à la table ou appel à la rescousse. Comment les demandes métier sont priorisées. Portfolio de projets : équilibré ou surmenage permanent.

Le budget IT. Décomposition réelle : combien en run, combien en projet, combien en investissement. Transparence, ou chiffres emmêlés. ROI des gros projets : mesuré, ou juste des promesses qui ne se sont jamais concrétisées. Gaspillages majeurs. Où on pourrait vraiment économiser sans casser l’infrastructure.

La méthodologie

Semaine 1 : immersion et entretiens. Je passe du temps dans les locaux IT (data center, bureaux). Je rencontre le DSI et son CODIR. J’échange avec le COMEX pour comprendre leurs frustrations vis-à-vis d’IT. Je parle aux responsables métier clés : où est-ce que l’IT vous ralentit ? Vous n’avez pas les fonctionnalités que vous demandez ?

Je demande les documents de base : l’inventaire du parc, les schémas d’infra, les budgets, les contrats majeurs, les plans de sécurité/continuité. Pas pour les croire sur parole — pour les confronter à ce que je vois sur le terrain.

Semaines 2-3 : deep dives techniques. Je descends dans les détails avec les équipes IT. Infrastructure : vous avez quelle capacité de scalabilité réelle ? Quel est l’état des sauvegardes ? Comment on gère les incidents de sécurité ? Applications : où est le code legacy critique qui craint personne de toucher ? Quel est le vrai plan pour les systèmes en fin de vie éditeur ?

Je regarde les métriques : uptime réel vs affiché. Temps de résolution des incidents. Ratio de personnel IT vs nombre d’utilisateurs (c’est un marqueur d’efficacité). Cost per user de l’IT (vs les benchmarks que je connais).

Semaine 4 : consolidation des findings. J’identifie les trois à cinq enjeux majeurs : ce qui doit absolument changer, ce qui devrait changer, ce qui peut attendre. Pour chacun, je cadre le coût et le bénéfice attendu.

Semaines 5-6 : rédaction et restitution. Le rapport est court (20-30 pages max) : résumé exécutif, findings par domaine (infra, applis, sécu, orga, gouvernance, budget), classement des enjeux par criticité, plan d’action pour les douze prochains mois. Pas d’hypothétiques « et si on faisait une belle architecture cloud ». Juste : « Là où vous poussez, voilà ce que vous gagnez, voilà ce que ça coûte vraiment. »

Je présente au COMEX et au DSI. Le COMEX comprend les vrais enjeux. Et vous avez un mandat clair pour les trois prochains trimestres.

Ce que je cherche à éviter

L’audit cosmétique. Celui qui documente ce que tout le monde sait déjà. Pas utile.

L’audit qui cherche à vous « vendre » une solution prédéfinie. « Il faut absolument faire du cloud », « il faut remplacer votre ERP », « il faut refondre l’infra réseau ». C’est du bruit. Je regarde d’où vous venez, où vous en êtes, et je propose la route optimale. Pas une route qui me ferait gagner une mission de trois ans.

L’audit qui refuse les mauvaises nouvelles. Parfois, vous avez une bombe cachée : une donnée critique qui n’est sauvegardée nulle part, une vulnérabilité majeure en sécurité, une équipe complètement paralysée, un budget IT qu’on ne contrôle pas. Je dois le dire, même si ça met mal à l’aise.

L’audit sans plan d’action réaliste. Beaucoup d’audits posent des diagnositcs justes et proposent ensuite des changements irréalistes : « il faudrait recruter 20 ingénieurs » (ok, mais comment ?), « il faudrait réécrire votre infrastructure en 6 mois » (impossible). Je propose du réaliste. Lent mais faisable. Avec les ressources que vous pouvez vraiment mobiliser.

Les enjeux typiques qu’on déniche

L’infrastructure sous-dimensionnée mais « ça va ». Vous avez une main sur le volant depuis deux ans, mais vous avez oublié qu’une vraie charge d’utilisateurs, ce n’est pas testé. Vous prenez du risque sans le savoir. Plan : réalité-check de la capacité, investissement inévitable dans six mois.

L’équipe IT écrasée par le run. Vous avez 70% du budget et 90% du temps d’équipe en maintenance. Aucune capacité pour la transformation que le COMEX demande. Plan : soit réduire la charge de run (automatiser, externaliser), soit recruter. Pas de troisième option.

La sécurité qui joue à la roulette russe. Vous avez un firewall des années 2000, pas de MFA vraiment obligatoire, une dizaine de fuite de données qui ont eu lieu mais qu’on cache. Plan : sécurité IT devient un vrai pilier budgétaire. Peu importe la crise, c’est prioritaire.

Les applications legacy qui vous enchaînent. Vous ne pouvez pas migrer vers du cloud porque l’ERP core ne tourne que sur bare metal. Vous ne pouvez pas vraiment changer le réseau parce qu’une appli spécifique a besoin d’une config réseau des années 1990. Plan : détecter ces « dépendances absurdes » et les casser une à une.

Le budget IT qu’on ne contrôle plus. Chaque contrat nouveau ajoute une ligne. Vous avez 150 contrats logiciels et personne ne sait plus ce qu’ils coûtent vraiment. Plan : audit des contrats, négociation, consolidation du portefeuille.

Le COMEX qui n’a aucune visibilité sur l’IT. Vous dépensez 20M€/an en IT, mais personne ne sait si c’est efficace. Plan : mettre en place une gouvernance IT qui parle business. Des KPIs qui ont du sens. Un steering régulier de la roadmap IT.

Comment ça s’imbrique

L’audit diagnostic est souvent le point de départ. Après l’audit, on décide généralement : est-ce qu’on lance une vraie transformation digitale ? Est-ce qu’on crée un schéma directeur SI ? Est-ce qu’on réorganise complètement la fonction IT ?

Parfois, l’audit déniche des problèmes si graves qu’on lance une mission de retournement IT pour les trois prochains mois. Crise de sécurité majeure, infrastructure au bord de l’effondrement, équipe démotivée.

Et si vous êtes en carve-out ou en intégration post-acquisition, l’audit des deux systèmes IT en parallèle vous dit comment arbitrer : garde-t-on l’infra A, l’infra B, ou on fusionne ? Quel effort ça prend ?

L’optimisation des coûts IT s’appuie beaucoup sur l’audit : on y voit précisément où on gaspille et où on peut économiser sans toucher à la qualité.

Cas réels

Chez Buffalo Grill : l’audit a montré qu’une vingtaine de boutiques n’avaient pas d’accès aux données de commande en temps réel faute de connectivité. Charge de travail pour les équipes du siège, mauvaise qualité de service dans les restaurants. Plan : réseau de secours et connectivité redondante. Coût : 200k€. Bénéfice : réduction de 30% de la charge d’administration, meilleures prévisions de stock.

Chez Transdev : on a découvert qu’une base de données critique était en fin de vie éditeur et qu’elle tenait sur trois jambes chez un prestataire en Inde. Risque énorme. Plan : migrer sur infrastructure interne redondante sur les deux ans qui suivent. Investissement : 1,2M€. Bénéfice : reprendre le contrôle de l’asset critique.

Chez KFC France : l’audit a montré que la moitié des serveurs de restaurant n’étaient pas mis à jour depuis 2019. Sécurité en péril. Plan : remote management centralisé de tous les serveurs. Déploiement : 4 mois. Coût : 150k€ + temps IT. Bénéfice : sécurité fixée, temps support drastiquement réduit.

Vous avez l’impression qu’il y a quelque chose qui ne tourne pas rond dans votre IT, mais vous ne savez pas quoi ? C’est le moment de l’audit. Quatre à six semaines, et vous avez la vérité en main.