Audit du système d’information
Audit informatique
Tandis que le système d’information tend de plus en plus à gérer l’ensemble des processus, administratifs, de gestion, commerciaux, marketing ou encore métiers, la performance de ce système d’information influe largement sur la capacité de l’entreprise à atteindre ses objectifs.
L’Audit de système d’information effectuera une évaluation
Cependant, le système d’information n’est pas toujours parfaitement maîtrisé par l’entreprise. Qu’il s’agisse d’une mauvaise connaissance des ressources informatiques utilisées, de budgets insuffisants, de technologies obsolètes ou inadaptées, ou encore, de non-respects législatifs (licences, protections des données…) la liste des manquements pourrait être longue.
Il importe donc de mettre en place une rationalisation de ce système d’information, à travers différentes normes et procédures, ou encore, avec la réalisation d’un audit de système d’information.
Enjeux et mise en œuvre
Tandis que les budgets des services informatiques sont toujours plus serrés, la question de réaliser des audits réguliers de son système d’information n’est pas évidente.
Quand faut-il réaliser un audit informatique ?
Faut-il le faire alors que tout va bien ou doit-on le réaliser lorsqu’un problème vient de survenir ?
Nombre des audits informatiques sont lancés alors qu’un incident vient de se produire : une faille de sécurité, une panne systèmes critique et voilà et qu’il faut être en mesure de réaliser des rapports précis et des analyses de son système d’information. Il semble nécessaire de ne pas effectuer un audit qu’à la suite d’un incident, mais bien de le prévoir afin d’obtenir une réponse à un objectif précis de contrôle du système d’information.
L’audit informatique va également permettre de mieux connaître l’ensemble des parties prenantes à ce système, qu’il s’agisse du matériel, des ressources humaines ou des ressources financière. Ainsi, tandis que les systèmes d’information des entreprises sont toujours plus en ébullition et que les DSI se doivent d’être en mesure d’analyser à tout instant le fonctionnement de leur système d’information, la mise en place d’audits réguliers permet de maîtriser les risques et d’assurer à l’entreprise un système d’informations fiable et performant sur le long terme.
Le système d’information : définition
Le système d’information, c’est l’ensemble des logiciels et des matériels, informatiques, électroniques ou de télécommunication, qu’il s’agisse de ressources physiques (fibres optiques, surface d’hébergement, alimentation électrique, climatisation) ou de plates-formes logicielles ou matérielles (serveurs, systèmes d’exploitation, bases de données…) qui participent au stockage, à la gestion, au traitement, au transport et à la diffusion de l’information au sein d’une entreprise.
On inclut parfois également dans le système d’information les personnels qui conçoivent, déploient, maintiennent et rendent opérationnel ces ressources, ou encore les procédures liées à ces ressources.
A propos de l’audit de système d’information
Un système d’information ne constitue pas une fin en soi. Ainsi, effectuer un audit de système d’information, c’est évaluer dans quelle mesure le système d’information répond aux facteurs clés de performance et aux objectifs stratégiques de l’organisation concernée.
Se fixer des objectifs
Il est important de réaliser un audit alors même que le système d’information de l’entreprise est fonctionnel et ne rencontre pas de problème particulier. Cette prise de position n’est pas évidente, parce que l’informatique est vue comme un ensemble technique et complexe, et que lorsque tout va bien, nul n’a envie d’engager des frais pour mettre à jour ce qui se cache derrière cet outil qui supporte la quasi-totalité des processus de l’entreprise.
Et pourtant, l’audit informatique est un formidable élément de réponse. Pour que l’audit informatique soit utile à l’entreprise, il sera donc avant toute chose nécessaire de lui fixer des objectifs. Il pourra ainsi s’agir de vérifier la sécurité du système d’information, de vérifier la fiabilité des applications, ou encore d’évaluer les risques opérationnels ou financiers liés aux activités informatiques.
Dans tous les cas, sans la définition d’un objectif, il sera impossible de mesurer la pertinence de l’audit et ses résultats.
Les objectifs de l’audit de système d’information peuvent être multiples :
- évaluer l’efficacité, la performance, la pérennité et la sécurité de l’information, en comparaison avec les objectifs stratégique de l’entreprise
- effectuer des recommandations sur les projets informatiques en cours
- effectuer des recommandations sur l’évolution du système d’information
Ainsi, un audit d’information se concentre généralement sur un ou plusieurs des points suivants :
- réduction des coûts non justifiés lié au système d’information
- conformité du système d’information avec les obligations légales
- optimisation du traitement des processus métiers de l’entreprise par le système d’information
- optimisation de l’interopérabilité et de l’accessibilité du système d’information
- optimisation de la sécurité du système d’information
- efficience et pérennité du système d’information
Que doit-on auditer ?
Les moyens et les ressources liés au système d’information de l’entreprise comprennent à la fois les moyens techniques (matériel, locaux, réseau, logiciels) mais aussi les moyens financiers ou encore les ressources humaines.
Ressources matérielles
Le matériel, qui représente une part financière importante du système d’information comprend notamment les ordinateurs personnels fixes et portables. On étudiera ainsi, entre autres :
- la fiabilité du matériel,
- l’impact éventuel des pannes matérielles,
- les performances du matériel,
- la sécurité du matériel.
Ressources humaines
Du côté des ressources humaines, on étudiera :
- les compétences et les diplômes des collaborateurs
- leur motivation
- leurs responsabilités
- le respect du droit du travail
- les relations entre les membres du personnel
- l’organisation du travail au sein du service informatique
- la gestion des connaissances faite par l’entreprise
On s’attachera également au respect des règles de sécurité, telles que l’utilisation de mots de passe complexes, et à la disponibilité de la documentation.
Ressources financières
Enfin, du côté des moyens financiers, on recensera les coûts d’investissement, de développement et de fonctionnement du système d’information en essayant de n’oublier aucun poste, qu’il s’agisse des dépenses ou des gains.
Cette opération est particulièrement difficile, notamment lorsque l’on considère les gains éventuellement indirects que peut avoir le système d’information sur des services tels que la gestion administrative, la production, la commercialisation, le transport, ou encore la gestion des stocks.
Mettre en place l’audit
La réussite d’un audit de système d’information repose sur la mise en place de certaines recommandations :
- préciser les objectifs et le champ d’application de la mission.
- mettre en évidence les responsabilités de l’auditeur, qui doit rester neutre et qui a un devoir de conseil vis-à-vis de son client.
En effet, il est nécessaire que le client collabore en fournissant à l’auditeur tous les moyens nécessaires pour mettre en œuvre l’audit du système d’information, il s’agit de fournir les réponses claires, de donner accès à la documentation, de donner accès au matériel et aux locaux, ou encore de permettre à l’auditeur d’interroger les personnes ressources.
Déterminer les enjeux stratégiques de l’entreprise
Cette étape est absolument indispensable pour un audit du système d’information qui ne se contente pas d’un catalogue de bonnes pratiques, mais qui évalue véritablement l’adaptation du système d’information et sa performance au regard de l’utilisation qui en est faite et des besoins de l’entreprise.
ET LES PROCESSUS CLÉS QUI LEURS SONT ASSOCIÉS
Les recommandations obtenues via le système d’information doivent être utiles, nécessaires, et œuvrer à la performance globale de l’entreprise. Ainsi, il sera nécessaire de réaliser une véritable cartographie des processus de l’organisation et des données associées.
Faire effectuer l’audit par un prestataire indépendant de la DSI
Le recours à un prestataire externe pour la réalisation de l’audit permet une prise de position neutre et un regard extérieur bénéfique à la démarche.
S’approprier le système d’information de l’entreprise en profondeur
Pour un audit de système d’information qui n’oublie aucun détail, un certain nombre d’aspects seront à maîtriser par le prestataire auditeur, qui devra réaliser une cartographie des données, des informations et des ressources informatiques de l’organisation, mais aussi, prendre connaissance des différentes politiques et procédures liées au système d’information, telle que la politique de sécurité du système d’information ou encore, les chartes utilisateurs éventuellement en place.
Les bénéfices liés à l’audit
La réalisation d’un audit vous permettra d’avoir un gain de temps considérable. En effet, vous pourrez anticiper les différents problèmes suite à des erreurs techniques ou autres. Grâce à l’audit, votre infrastructure possédera un état des lieux récent et pourra plus facilement se mesurer face à la concurrence actuelle de votre secteur d’activité. C’est aussi un atout pour effectuer les mises à jour d’applicatifs nécessaires, qui généralement corrigent des failles de sécurité.
L’audit informatique permet de vous assurer que votre entreprise est en conformité par rapport à la législation en vigueur. Dans le cas d’une vente, cession, fusion avec une autre société ou autre transition informatique, l’audit facilitera ces démarches pour mieux adapter les manipulations à effectuer.
Dans l’audit informatique, il y a aussi un audit de sécurité. Celui-ci permet de vérifier l’état du réseau, s’il est bien protégé, et d’assurer que toutes les opérations informatiques restent en interne et ne se divulguent pas sur Internet pour compromettre l’entreprise.
Avis Pérenne’IT
La réussite d’un audit de système d’information repose sur la mise en place de certaines recommandations :
- préciser les objectifs et le champ d’application de la mission.
- mettre en évidence les responsabilités de l’auditeur, qui doit rester neutre et qui a un devoir de conseil vis-à-vis de son client.
Il est nécessaire que le client collabore en fournissant à l’auditeur tous les moyens nécessaires pour mettre en œuvre l’audit du système d’information.
Pérenne’IT propose différents types d’audit, qui prennent tous en compte la sécurité du SI, notamment l’audit informatique SSI ou encore l’audit flash de sécurité du SI.
Vous souhaitez nous confier un projet ?