Tandis que les budgets des services informatiques sont toujours plus serrés, la question de réaliser des audits réguliers de son système d’information n’est pas évidente. Quand faut-il réaliser un audit informatique ? Faut-il le faire alors que tout va bien ou doit-on le réaliser lorsqu’un problème vient de survenir ?

Nombre des audits informatiques sont lancés alors qu’un incident vient de se produire : une faille de sécurité, une panne systèmes critique et voilà et qu’il faut être en mesure de réaliser des rapports précis et des analyses de son système d’information.

En réalité, ce n’est pas la façon la plus productive de mettre en œuvre un audit informatique. En effet, la DSI devrait à tout moment être capable de comprendre le fonctionnement de ses infrastructures, et les actions qui ont pu être effectuées par tel ou tel processus, tel ou tel logiciel ou encore tel ou tel utilisateur.

C’est pourquoi la planification d’un audit ne doit pas répondre à la résolution d’un problème, mais davantage à la prévention de ces problèmes.

Nous allons dans cet article tâcher de comprendre dans quelle mesure des audits informatiques réguliers peuvent être profitable à l’entreprise. Pour cela, nous allons nous attacher à la mise en œuvre d’un audit du système d’information et répondre à un certain nombre de questions : Comment réaliser cet audit de systèmes d’information ? Que doit-on auditer ? Existe-t-il des formalités juridiques ? Telles sont les questions que nous allons tâcher d’éclaircir.

Se fixer des objectifs

Nous venons de voir en introduction qu’il est important de réaliser un audit alors même que le système d’information de l’entreprise et fonctionnelle et ne rencontre pas de problème particulier. Cette prise de position n’est pas évidente, parce que l’informatique est vue comme un ensemble technique et complexe, et que lorsque tout va bien, nul n’a envie d’engager des frais pour mettre à jour ce qui se cache derrière cet outil qui supporte la quasi-totalité des processus de l’entreprise.

Et pourtant, l’audit informatique est un formidable élément de réponse. Pour que l’audit informatique soit utile à l’entreprise, il sera donc avant toute chose nécessaire de lui fixer des objectifs. Il pourra ainsi s’agir de vérifier la sécurité du système d’information, de vérifier la fiabilité des applications, ou encore d’évaluer les risques opérationnels ou financiers liés aux activités informatiques. Dans tous les cas, sans la définition d’un objectif, il sera impossible de mesurer la pertinence de l’audit et ses résultats.

Que doit-on auditer ?

Les moyens et les ressources

Les moyens et les ressources liés au système d’information de l’entreprise comprennent à la fois les moyens techniques (matériel, locaux, réseau, logiciels) mais aussi les moyens financiers ou encore les ressources humaines.

Ressources matérielles

Le matériel, qui représente une part financière importante du système d’information comprend notamment les ordinateurs personnels fixes et portables. On étudiera ainsi, entre autres :

  • la fiabilité du matériel,
  • l’impact éventuel des pannes matérielles,
  • les performances du matériel,
  • la sécurité du matériel

Ressources humaines

Du côté des ressources humaines, on étudiera :

  • les compétences et les diplômes des collaborateurs
  • leur motivation
  • leurs responsabilités
  • le respect du droit du travail
  • les relations entre les membres du personnel
  • l’organisation du travail au sein du service informatique
  • la gestion des connaissances faite par l’entreprise

On s’attachera également au respect des règles de sécurité, telles que l’utilisation de mots de passe complexes, et à la disponibilité de la documentation, qui permet un transfert des connaissances entre les collaborateurs et évite qu’un membre du personnel soit indispensable, et donc que son départ remette en cause le fonctionnement du système d’information.

Ressources financières

Enfin, du côté des moyens financiers, on recensera les coûts d’investissement, de développement et de fonctionnement du système d’information en essayant de n’oublier aucun poste, qu’il s’agisse des dépenses ou des gains. Cette opération est particulièrement difficile, notamment lorsque l’on considère les gains éventuellement indirects que peut avoir le système d’information sur des services tels que la gestion administrative, la production, la commercialisation, le transport, ou encore la gestion des stocks.

Mettre en place l’audit : le contrat d’audit

Dans le cadre de la réalisation d’une mission d’audit de systèmes d’information, il est possible de définir un contrat d’entreprise appelée contrat d’audit. Ce contrat va préciser les objectifs et le champ d’application de la mission.

D’un côté, ce contrat permet de mettre en évidence les responsabilités de l’auditeur, qui doit rester neutre et qui a un devoir de conseil vis-à-vis de son client. D’un autre côté, le rôle que doit jouer le client doit être également défini dans le contrat.

En effet, il est nécessaire que le client collabore en fournissant à l’auditeur tous les moyens nécessaires pour mettre en œuvre l’audit du système d’information, il s’agisse de fournir les réponses claires, de donner accès à la documentation, de donner accès au matériel et aux locaux, ou encore de permettre à l’auditeur d’interroger les personnes ressources.

 

Ainsi, nous venons de nous interroger sur les modalités de la mise en œuvre d’un audit de systèmes d’information.

Il semble nécessaire de ne pas effectuer un audit à la suite d’un incident, mais bien de le prévoir afin d’obtenir une réponse à un objectif précis de contrôle du système d’information. L’audit informatique va également permettre de mieux connaître l’ensemble des parties prenantes à ce système, qu’il s’agisse du matériel, des ressources humaines ou des ressources financières. La mise en place d’un contrat d’audit permettra de clarifier les rôles de l’auditeur mais aussi la participation nécessaire du client.

Ainsi, tandis que les systèmes d’information des entreprises sont toujours plus en ébullition et que les DSI se doivent d’être en mesure d’analyser à tout instant le fonctionnement de leur système d’information, la mise en place d’audits réguliers permet de maîtriser les risques et d’assurer à l’entreprise un système d’informations fiable et performant sur le long terme.