Si je suis aujourd'hui consultant spécialisé dans la transformation digitale avec Microsoft 365, j'ai cependant eu la chance de démarrer ma carrière comme auditeur informatique au sein du groupe Bouygues en 1996. Ce fut une expérience très formatrice et utile dans mon métier actuel d'accompagnement à la transformation digitale interne avec Microsoft 365.
Récemment j'ai eu l'opportunité et la chance d'échanger sur ce sujet avec trois auditeurs de différents horizons : deux auditeurs internes de deux grands groupes différents et un auditeur d'un cabinet d'audit externe.
Je me suis rendu compte que mes interlocuteurs n'avaient pas forcément une bonne connaissance des impacts d'une suite digitale comme Microsoft 365 sur les entreprises en général et sur leur métier en particulier. Et comme je connais justement bien ces deux sujets, j'ai pensé qu'un billet sur le sujet s'imposait, en donnant quelques exemples de contextes d'audit parmi l'infinité des missions qui peuvent être confiées à des auditeurs.
Aujourd'hui, un auditeur ne peut pas faire l'impasse sur Microsoft 365
Si vous êtes auditeur dans un cabinet, vous allez forcément croiser sur votre chemin des entreprises qui ont déployé Microsoft 365. C'est même une certitude si vous êtes auditeur interne dans un groupe qui a choisi de déployer Microsoft 365 dans l'ensemble de ses filiales.
Comme nous allons le voir dans la suite de cet article, et comme je l'explique dans mon dernier livre "le digital interne en entreprise", la Suite Microsoft 365 est de nature à changer beaucoup de choses dans les entreprises. Les usages de ces outils impactent les modes de travail, les organisations, les responsabilités, la culture d'entreprise, la sécurité, etc.
Surtout ces solutions offrent de nouvelles opportunités opérationnelles qui peuvent faire la différence face à des concurrents plus agiles et plus efficaces. Enfin, une entreprise ne déploie pas la Suite Microsoft 365 par hasard (même si ça arrive parfois) : il y a (on l'espère) une ambition derrière ce choix, généralement une démarche de transformation digitale dont l'auditeur doit forcément prendre en compte dans sa mission.
Et parce qu'aujourd'hui comme hier, le métier de l'audit ne se résume pas à du contrôle / sanction, en plus d'apporter un regard critique, l'auditeur doit apporter des recommandations pour aider l'entreprise à corriger ses défauts et à s'améliorer.
Parce que Microsoft 365 est intimement lié au cœur de l'entreprise et à sa dynamique, et pour avoir été moi-même auditeur, il me semblerait aujourd'hui impossible qu'un auditeur fasse l'impasse sur le sujet. Certes, il ne peut pas être expert en tout et pour cette raison il ne pourra pas être expert de Microsoft 365.
Mais à minima il doit connaître le sujet et être conscient de l'impact de la Suite dans le mode de fonctionnement des entreprises. Dans le cas contraire, le risque serait de passer à côté de choses importantes à la fois dans la phase d'audit, la phase d'analyse et (pire) dans la phase d'élaboration des recommandations.
Microsoft 365 et l'audit de conformité RGPD
Le RGPD c’est le Règlement Général de la Protection de la Donnée. Instauré en mai 2018, le RGPD est un puissant outil pour encourager (…) les entreprises à prendre le plus grand soin de la sécurité des données avec, dans le cas contraire, des sanctions très lourdes (financières, mais pas seulement).
Pour donner une note (bonne ou mauvaise) de conformité RGPD, l’auditeur en charge de l'évaluation va rassembler tous les éléments prouvant que l’entreprise a bien pris en compte le sujet et a lancé différentes actions. Ou au contraire il listera tous les manquements et absences d’initiatives prouvant que l’entreprise ne n’est pas du tout intéressée à la question.
Toutes les initiatives (ou manquements) comptent mais toutes n’ont évidemment pas le même poids. Certains manquements graves auront un impact très négatif sur la note globale de conformité et donc sur la sévérité des sanctions.
Sur ce sujet, il y a deux choses qu’aujourd'hui un auditeur ne peut pas se permettre d’ignorer. La première chose, c’est que Microsoft 365 occupe aujourd'hui et plus que jamais une place centrale au cœur de l’entreprise, tout simplement parce que la suite porte en elle une grande partie des données de l’entreprise (documents mais pas seulement) mais aussi tous les échanges entre les collaborateurs (mails, Yammer, Teams, ….). On se focalise souvent sur SharePoint, mais ce n'est qu'une partie seulement du sujet : les informations (en incluant les conversations) sont dans tous les outils de la Suite.
La seconde chose qu’un auditeur ne peut ignorer, c'est que la suite Microsoft 365 propose nativement aux entreprises des solutions pour aider à superviser les données sensibles et à améliorer la conformité globale avec le RGPD.
De sorte que si j’étais aujourd’hui auditeur RGPD, une des grandes questions dans ma check-list serait : « avez-vous déployé Microsoft 365 ? ». Et si la réponse est oui la seconde question serait : « montrez moi toutes les fonctionnalités de Microsoft 365 que vous utilisez pour améliorer votre conformité RGPD ». Si mon interlocuteur ne sait pas de quoi je parle, l’affaire est mal engagée.
L’affaire sera moins grave forcément s’il s’agit d’un audit interne d'évaluation. Mais dans ce cas l’auditeur a alors un devoir de conseil : sa liste de recommandations devra intégrer l’activation et la supervision des données fournies par Microsoft 365 pour améliorer la conformité RGPD. Encore faut-il que l’auditeur, sans être pour autant expert de la solution Microsoft 365, en connaisse les grandes lignes et les possibilités pour être en mesure d’en recommander la mise en oeuvre.
Microsoft 365 et l'audit d'efficacité opérationnelle
Améliorer l'efficacité individuelle et collective, c'est bien évidemment l'objectif de toutes les entreprises. Dans certains cas, c'est même une question de survie lorsque, face à une concurrence nouvelle et fortement agile, l'entreprise doit faire plus, plus vite et pour moins cher. Des missions d'audit sont souvent engagées sur ce sujet.
Les entreprises sous estiment trop souvent l'importance capitale de la qualité de la collaboration entre les personnes, l'importance de l'efficacité du partage des informations et de la simplicité d'accès aux bonnes ressources.
Je retourne parfois à mon premier métier en faisant régulièrement des "audits collaboratifs" au sein des entreprises, et les constats sont à chaque fois sans appel : la déperdition d'énergie, de temps et donc d'argent est important. Les causes semblent pourtant mineures : ce sont ce que j'appelle les "cailloux dans les chaussures" qui nuisent au quotidien à l'efficacité globale de l'entreprise : des difficultés de collaboration (trop de mails à gérer), des difficultés à partager les documents ou à les trouver, …
Ces petites choses génèrent de grands dysfonctionnements et des impacts graves en termes d'efficacité, de réactivité et d'agacement des collaborateurs. Mais ces causes sont tellement proches du terrain et de la vie quotidienne qu'elles échappent aux radars des audits conventionnels, qui recherchent sur des altitudes plus élevées (organisationnel, etc).
Pourtant, lorsqu'on prend le temps de s'intéresser au sujet, les gains en termes d'efficacité opérationnelle (individuelle et collective) des solutions de Microsoft 365 deviennent flagrants. Des outils comme Teams, SharePoint, planner, ToDo pour ne citer qu'eux, apportent des usages qui sont de nature à améliorer l'efficacité globale de manière très significative. Je ne les détaille pas : j'en parle en long, en large et en travers dans mon dernier livre (cliquer ici).
Quand on est auditeur, s'intéresser aux outils de Microsoft 365 et aux usages possibles permet de comprendre l'importance de l'analyse de cette qualité de collaboration et de partage dans le cadre d'un audit d'efficacité opérationnelle. Surtout, cela permet d'être en mesure d'émettre des recommandations concrètes pour améliorer cette efficacité en intégrant les solutions digitales internes comme axe de solution.
Microsoft 365 et l'audit organisationnel
L'audit organisationnel consiste à analyser l'organisation de l'entreprise, comprendre les modes de fonctionnement, les responsabilités, les organisations, la culture d'entreprise qui est l'âme qui anime l'ensemble. Il faut comprendre le contexte, savoir l'analyser, en faire ressortir les axes d'amélioration et faire des propositions pour atteindre les nouveaux objectifs que s'est fixé l'entreprise.
Il se trouve que les entreprises sont aujourd'hui à un tournant de leur histoire. L'entreprise structurée à l'ancienne, avec une culture d'entreprise du XX ième siècle aura les plus grandes difficultés à affronter des sociétés plus jeunes ou organisées de façon plus moderne ou tout simplement à s'adapter à des changements rapides de contexte économique. Si régulièrement les entreprises lancent des "réorgs", c'est rarement avec une telle profondeur.
Dans toutes les transformations d'entreprise apparaît le mot "digital". Mais dans les faits, la transformation digitale de l'entreprise concerne uniquement le parcours du client. Souvent, le collaborateur est à l'écart de cette transformation et ne vit aucune différence entre avant ou après la transformation digitale. Au mieux, des licences d'une solution Microsoft 365 sont achetées, mais sans grande conviction ni grande plus value.
Une Suite collaborative comme Microsoft 365 a pourtant un impact majeur sur l'entreprise, sur plusieurs niveaux, comme je l'explique dans mon livre. Si la solution est déployée avec sérieux et ambition, elle peut permettre de changer une culture d'entreprise, aider les managers à changer de postures, permettre aux collaborateurs de devenir des acteurs engagés, etc.
Un auditeur engagé dans une telle mission doit forcément, à mon sens, avoir conscience de cette réalité. A défaut d'en être un expert, il doit au minimum s'intéresser à la question. Il doit comprendre comment une Suite comme Microsoft 365 s'inscrit dans la transformation digitale de l'entreprise, ou même seulement dans l'organisation générale d'une entreprise, pour pouvoir à minima intégrer cet axe dans ses recommandations en fonction des objectifs que se fixe l'entreprise.
Si dans la lettre de mission de l'audit, l'entreprise affiche de grandes ambitions comme décloisonner l'entreprise, promouvoir l'innovation, accroître la réactivité, simplifier les parcours de décisions, augmenter l'efficacité, promouvoir les initiatives personnelles, etc, ne pas intégrer Microsoft 365 dans l'équation serait une grande erreur.
Microsoft 365 et l'audit des métiers de l'informatique
Il arrive parfois qu'un audit soit alors lancé pour étudier l'efficacité de la DSI et son alignement avec les nouvelles opportunités offertes par les nouvelles technologies, notamment Microsoft 365. Dans ce domaine, la Suite Microsoft 365 entre dans les DSI comme un éléphant dans un magasin de porcelaine fine.
Microsoft 365 bouscule beaucoup de choses. C'est l'entrée en force du Cloud dans la vie de l'entreprise qui oblige à repenser la sécurité et les postures. C'est l'arrivée d'une kirielle d'outils qui évoluent presque chaque semaine (alors que l'équipe DSI était habituée à ne changer de version que tous les 3 ou 4 ans). C'est un changement de positionnement des collaborateurs DSI : d'un profil très technique, ils doivent devenir plus fonctionnel pour expliquer l'usage des outils. C'est un changement majeur dans la manière d'aborder la gouvernance (passer d'une gouvernance "de l'interdit" à une gouvernance "des possibles"). Là aussi j'en parle en détail dans mon dernier livre.
C'est un changement de posture, en plaçant l'utilisateur au centre du jeu. La suite Microsoft 365 offre en effet aux DSI la possibilité de devenir pro active, en proposant aux utilisateurs des solutions agiles efficaces plutôt que d'être dans une logique de guichet en attente d'un utopique cahier des charges que les équipes savent rarement rédiger.
Mon approche personnelle que j'ai appelée "digital working" (cliquer ici) en est typiquement un parfait exemple : elle consiste à apporter des réponses agiles aux équipes sans aucun cahier des charges en amont.
Microsoft 365 ce sont surtout de nouvelles opportunités qui s'offrent aux DSI, à condition qu'elles en saisissent l'intérêt et qu'elles s'y adaptent. La Power Platform de Microsoft 365 (avec PowerApps, Flow, Power BI) constitue une révolution dans la façon d'apporter des réponses rapides et économiques à des besoins métier. Il devient alors possible de créer des solutions métier puissantes, sur PC, tablette ou téléphone, plus rapidement et plus économiquement qu'avec des technologies habituelles. Dans ce cadre, l'expérience de la SNCF est très intéressante : cliquer ici.
Un auditeur chargé d'une mission d'audit du métier de l'informatique dans une grande entreprise qui a déployé Microsoft 365 ne peut se permettre d'ignorer ces nouvelles opportunités. Il ne peut pas également se permettre d'ignorer les impacts que la Suite Microsoft 365 va avoir sur l'organisation d'une DSI.
Microsoft 365 et les audits de cyber sécurité
La cyber sécurité est un sujet stratégique aujourd'hui pour toutes les organisations : entreprises de toutes tailles, départements, hôpitaux, etc. Il est donc courant et même recommandé de faire des audits de sécurité pour vérifier l'état de vulnérabilité et identifier les actions à mettre en place pour améliorer le niveau de protection.
Microsoft 365 apporte des solutions en matière de protection, plus ou moins évoluées selon les licences dont vous disposez. Mais pour cette raison, réaliser l'audit d'une entreprise ayant adopté Microsoft 365 requiert une approche différente pour exploiter toutes ces possibilités. Si l'auditeur ne connait rien de ce que Microsoft 365 propose dans ce domaine, comment fera-t-il ?
Sur ce sujet, je vous invite à lire l'interview (cliquer) de l'expert Cyber sécurité Abalon, Xuan Ahehehinnou, qui nous parle de ce sujet.
Comment Microsoft 365 pour aider les auditeurs à mener leurs missions
J'ai commencé ma carrière en tant qu’auditeur informatique en 1996. Le système d’exploitation de mon poste de travail était Windows 3.11 for Worksgroup, on s'échangeait des disquettes 3.5 pouces et l'intranet n'existait pas encore. A cette époque, la messagerie électronique et les serveurs de fichiers constituaient la grande révolution digitale des entreprises du moment.
Autant dire qu’il me sera facile de vous décrire mes outils du quotidien de cette époque : messagerie, serveur de fichiers et premières versions des logiciels star, Word, Excel, PowerPoint. Mais peut-être est-ce encore votre quotidien aujourd'hui ?
Lorsque je vois les outils de Microsoft 365 dont je dispose aujourd'hui pour travailler, il m'arrive d'imaginer comment ces outils de Microsoft 365 auraient pu nous aider à l'époque.
D'emblée, chaque mission d'audit aurait été traitée dans une équipe Teams, avec plusieurs canaux pour chaque étape de la mission (préparation, planification, recueil, recommandations, etc). Grâce à Teams, nous aurions pu collaborer ensemble même pendant les déplacements, et sans nous envoyer de mails avec des dizaines de fichiers en pièces jointes
Nous aurions pu utiliser Planner pour établir un plan d'actions avec toutes les tâches à réaliser pour suivre très précisément l'évolution
Nous aurions pu utiliser les fonctionnalités de co-construction des documents Word, PowerPoint et Excel pour pouvoir ensemble construire les différents documents sans dupliquer les versions et s'y perdre complètement
Nous aurions pu utiliser PowerBI pour manipuler dans tous les sens les données que nous récoltions, pour tirer des constats, identifier des problèmes, tracer des tendances
Nous aurions aussi pu utiliser Forms quand nous lancions parfois des enquêtes ciblées sur certaines populations
Nous aurions aussi surtout utilisé OneNote pour préparer nos missions, prendre les notes de nos entretiens et automatiquement les partager avec les collègues
Et nous aurions pu utiliser OneDrive ou SharePoint pour partager des dossiers avec nos interlocuteurs, récupérer des documents ou leur en transférer.
Mais au-delà des simples bénéfices de l'utilisation de ces solutions au sein d'une équipe d'auditeurs, il y en a un bien supérieur encore : utiliser les solutions de Microsoft 365 au quotidien c'est être en mesure de savoir en parler en toute connaissance de cause et d'en saisir l'intérêt. Car lorsqu'on est prescripteur de solutions, il est essentiel de savoir se les appliquer à soi-même.