CHOISIR UN AXE D’AUDIT POUR SON SYSTEME D’INFORMATION
Résoudre les problèmes avant qu’ils ne se produisent lorsqu’il est possible, à moindre coût, de s’affranchir des causes de leur apparition : toutes les formes d’audit du Système d’Information posent cet objectif pratique comme dénominateur commun. S’il est important d’allouer les ressources nécessaires à un examen serein et libéré des contraintes ordinaires de production, les sujets d’étude sont si variés que l’audit du SI n’est véritablement efficace que lorsque thématiquement piloté. Quelques exemples :
L’audit de conformité évalue l’écart aux normes et détermine les moyens de les réduire. Il permet de bénéficier d’orientations efficaces et synthétiques produites par des organismes experts de leur sujet, voire d’obtenir des certifications reconnues et génératrices de ROI (autorisations d’exploitation, conditions d’assurance plus favorables, avantage concurrentiel d’un label qualité…). L’audit de conformité constitue donc une méthode pragmatique, parce qu’intrinsèquement contraignante, d’améliorer rapidement le fonctionnement du Système d’Information. Pour cette raison, il est souvent embarqué comme sous-ensemble d’un audit opérationnel portant sur l’organisation (ITIL), l’architecture ou la sécurité (ISO/IEC 27001).
L’audit de sécurité apprécie la résistance du Système d’Information et de ses acteurs humains aux actes de malveillance ou de négligence d’origine interne autant qu’externe, en regard des risques opérationnels, juridiques et physiques. Son livrable consiste ordinairement en une liste détaillée de préconisations qualifiées selon la criticité du risque adressé. Scans de vulnérabilité, tests d’intrusion informatique et physiques, social engineering, examen des modalités d’accès sont autant de moyens déployés pour réaliser cette étude. Souvent considéré à tort comme un centre de coût, son ROI est généralement dégagé dès la première tentative infructueuse de malveillance.
L’audit de capacité projette le SI dans l’avenir en posant la question de l’adéquation entre l’évolution de son dimensionnement (liaisons de données, stockage, vitesse de sauvegarde, licences…) et celle des besoins opérationnels des utilisateurs finaux. Il doit tenir compte des technologies SaaS/Cloud Computing, que celles-ci soient déjà utilisées ou en tant qu’alternative potentielle. L’audit de capacité s’avère déterminant en matière de maîtrise budgétaire lorsque le Système d’Information expérimente une refonte de type fusion-acquisition ou issue d’une forte croissance organique.
L’audit organisationnel s’intéresse à la façon dont les acteurs garants du bon fonctionnement du SI, tant pour son Maintien en Conditions Opérationnelles et pour les évolutions menées en mode projet, s’y prennent pour assurer la fourniture de services pertinents aux utilisateurs finaux. Il examine l’efficacité de la gestion des incidents et des demandes de service, le degré de qualité apporté à la conduite du changement, ainsi que les processus de gestion de crise, de traçabilité des actions et de reporting. Eventuellement, des solutions informatisées peuvent être proposées à l’intégration dans l’objectif de fédérer les acteurs du SI autour de procédés uniformisés reflétant les spécificités Métier.
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !