À quoi sert un audit informatique ?
Un audit informatique est un outil de contrôle dont l’objectif est d’évaluer la situation et le niveau de conformité de l’entreprise dans le cadre d’un projet informatique, et ce, afin de valider les dispositifs et l’organisation associés. Il ne fournit pas de solutions.
Il est très souvent réalisé dans la contrainte (demande d’un client, obligation réglementaire…), rarement sur la base d’une initiative interne. Mais concrètement, un audit informatique c’est quoi ? Comment ça s’organise ? Quels sont ses avantages ?
Afin de comprendre les opportunités liées à la réalisation d’un audit, il faut comprendre ses objectifs, son articulation et la manière de l’utiliser.
#1 - Qu’est-ce qu’un audit informatique ?
Un audit est une démarche d’évaluation qui se base sur une liste de contrôle à réaliser sur un sujet donné. Cette liste permet de réaliser un état des lieux de la conformité d’une entreprise.
Il est rarement obligatoire, sauf dans le cadre de certaines réglementations, notamment dans le cadre d’audit de sécurité informatique.
La liste de contrôles se veut objective et exhaustive. Elle n’a pas pour objectif de fournir un jugement sur l’activité d’une entreprise. Elle doit uniquement contrôler si un point est respecté et/ou réalisé.
On peut en dégager au mieux une feuille de route mais sans s’y engager. La recherche de solutions est à la charge de l’entreprise auditée.
Il existe autant d’audit qu’il existe d’activités informatiques au sein d’une entreprise : sécurité, gestion des info gérants, continuité d’activité, développement de codes…
On peut catégoriser l’ensemble de ces audits en deux familles :
- Audit global dont l’objectif est d’évaluer une activité de l’entreprise avec l’informatique qui lui est associée
- Audit spécifique dont l’objectif est d’évaluer une activité informatique particulière au sein d’une entité de l’entreprise
En informatique, il existe principalement 4 types d’audit :
- Organisationnel : Contrôler le pilotage de l’activité informatique comprenant les rôles et responsabilités, les processus et procédures, les dispositifs de contrôles internes, les tableaux de bords…
- Sécurité : Contrôler l’application de la sécurité au système d’information comprenant le management, les procédures, les projets, le code et les vulnérabilités...
- Application / Logiciel : Contrôler les méthodes de développement de logiciels et d’applications comprenant la maintenance, le Security by Design, le pilotage projet, le patching…
- Exploitation : Contrôler le fonctionnement opérationnel des services informatiques, comprenant les outils de surveillance du système d’information en temps réel, les serveurs, les applications, les sites internet, le support…
Un audit a ainsi toujours un objectif précis, auquel on associe un type d’audit. Pour choisir le type d’audit à réaliser, il faut également comprendre comment il s’organise.
#2 - Comment s’articule un audit ?
Un audit se déroule sous plusieurs contextes :
- À la demande d’un client
- À la demande d’une entité légale
- Pour valider un prestataire ou un fournisseur
Avant de le réaliser, plusieurs actions préparatoires sont nécessaires :
- Identifier le sujet à contrôler
- Communiquer la volonté de contrôler ce sujet auprès des équipes concernées
- Sélectionner un auditeur externe ou une entité interne
Pour maintenir l’objectivité de l’exercice, il est nécessaire de se faire accompagner par une entreprise tierce lorsque le sujet à contrôler est nouveau.
Ensuite, l’audit s’articule de la manière suivante :
- Phase de cadrage
- Valider le périmètre à contrôler
- Valider les équipes cibles et leurs disponibilités pour répondre à l’audit
- Valider les questions et thèmes de l’audit à aborder
- Planifier les différentes étapes de l’audit
- Phase de réalisation
- Bloquer du temps auprès des équipes auditées
- Mener l’audit
- Communiquer autour de l’avancement de l’audit
- Phase de restitution
- Synthétiser et présenter les résultats de l’audit
- Proposer des recommandations et des axes d’amélioration (si demandés)
Un audit est donc un ensemble de phases à réaliser de manière systématique et répétitive. C’est cette répétitivité qui permet de donner un cadre, un moyen de contrôle et de comparaison entre deux audits sans donner de jugement, afin de déterminer les opportunités d’amélioration.
#3 - Quels sont les avantages d’un audit ?
Un audit permet à une entreprise de réaliser des contrôles de son activité informatique, à un instant T. Il permet également de contrôler un tiers et de s’assurer que ce dernier est conforme aux exigences de l’entreprise.
Un audit identifie objectivement le niveau de conformité d’une entreprise, pour l’aider à identifier ses manques et à définir une feuille de route. Il n’a pas vocation à fournir les solutions.
Même si un audit requiert la mobilisation d’une partie des équipes de l’entreprise, son aboutissement offre une vue simple et efficace des actions à mettre en place pour remettre l’entreprise en conformité avec les normes informatiques.
Dans l’idéal, il est pertinent de réaliser un audit quand :
- L’activité de l’entreprise est dépendante d’un seul outil ;
- L’entreprise devient publiquement connue ;
- L’entreprise rentre dans un programme de fusion-acquisition ;
- L’entreprise est phase de croissance ;
- L’entreprise souhaite être certifiée.