Audit informatique - Définition

Démarche d'audit informatique

Une mission d'audit informatique se prépare. Il est pour cela conseillé d'effectuer au préalable un pré-diagnostic afin de préciser les questions que cet audit va traiter. Cela se traduit par l'établissement d'une lettre de mission détaillant les principaux points à auditer.

Pour mener à bien l'audit informatique il est recommandé de suivre six étapes suivantes :

1. l'établissement de la lettre de mission. Ce document est rédigé et signé par le demandeur d'audit et permet de mandater l'auditeur. Il sert à identifier la liste des questions que se posent le demandeur d'audit. Très souvent l'auditeur participe à sa rédaction.
2. la planification de la mission permet de définir la démarche détaillée qui sera suivie. Elle va se traduire par un plan d'audit ou une proposition commerciale. Ce document est rédigé par l'auditeur et il est soumis à la validation du demandeur d'audit,
3. la collecte des faits, la réalisation de tests, ... Dans la plupart des audits c'est une partie importante du travail effectué par les auditeurs. Il est important d'arriver à dégager un certain nombre de faits indiscutables,
4. les entretiens avec les audités permettent de compléter les faits collectés grâce à la prise en compte des informations détenues par les opérationnels. Cependant, souvent ceux-ci font plutôt part de leurs opinions plus que d'apporter les faits recherchés,
5. la rédaction du rapport d'audit est un long travail qui permet de mettre en avant des constatations faites par l'auditeur et les recommandations qu'il propose,
6. la présentation et la discussion du rapport d'audit au demandeur d'audit, au management de l'entreprise ou au management de la fonction informatique.

Il peut arriver qu'à la suite de la mission d'audit il soit demandé à l'auditeur d'établir le plan d'action et éventuellement de mettre en place un suivi des recommandations.

Différents types d'audit informatique

La démarche d'audit informatique est générale et s'applique à différents domaines comme la fonction informatique, les études informatiques, les projets informatiques, l'exploitation, la planification de l'informatique, les réseaux ét les télécommunications, la sécurité informatique, les achats informatiques, l'informatique locale ou l'informatique décentralisée, la qualité de service, l'externalisation, la gestion de parc, les applications opérationnelles,... Ci-dessous une présentation succincte des audits informatiques les plus fréquents.

Audit de la fonction informatique

Le but de l'audit de la fonction informatique est de répondre aux préoccupations de la direction générale ou de la direction informatique concernant l'organisation de la fonction informatique, son pilotage, son positionnement dans la structure, ses relations avec les utilisateurs, ses méthodes de travail,...

Pour effectuer un audit de la fonction informatique on se base sur les bonnes pratiques connues en matière d'organisation de la fonction informatique. Elles sont nombreuses et bien connues, parmi celles-ci on peut citer :

• la clarté des structures et des responsabilités de l'équipe informatique,
• la définition des relations entre la direction générale, les directions fonctionnelles et opérationnelles et la fonction informatique,
• l'existence de dispositifs de mesures de l'activité et notamment d'un tableau de bord de la fonction informatique,
• le niveau des compétences et des qualifications du personnel de la fonction.

Il existe de nombreuses autres bonnes pratiques concernant la fonction informatique. Pour auditer la fonction on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle comme par exemple :

• le rôle des directions fonctionnelles et opérationnelles dans le pilotage informatique et notamment l'existence d'un comité de pilotage de l'informatique,
• la mise en oeuvre de politiques, de normes et de procédures spécifiques à la fonction,
• la définition des responsabilités respectives de la fonction informatique et des unités utilisatrices concernant les traitements, la maintenance, la sécurité, les investissements, les développements,....
• l'existence de mécanismes permettant de connaître et de suivre les coûts informatiques, soit à l'aide d'une comptabilité analytique, soit, à défaut, grâce à un mécanisme de refacturation,
• le respect des dispositifs de contrôle interne comme une évaluation périodique des risques, la mesure de l'impact de l'informatique sur les performances de l'entreprise,...

Ces différents objectifs de contrôle correspondent au processus PO 4 de CobiT : "Définir les processus, l'organisation et les relations de travail".

Audit des études informatiques

L'audit des études informatiques est un sous-ensemble de l'audit de la fonction informatique. Le but de cet audit est de s'assurer que son organisation et sa structure sont efficaces, que son pilotage est adapté, que ses différentes activités sont maîtrisées, que ses relations avec les utilisateurs se déroulent normalement,...

Pour effectuer un audit des études informatiques on se base sur la connaissance des bonnes pratiques recensées dans ce domaine. Elles sont nombreuses et connues part tous les professionnels. Parmi celles-ci on peut citer :

• l'organisation de la fonction études en équipes, le choix des personnes et leur formation, leurs responsabilités, ...
• la mise en place d'outils et de méthodes adaptés notamment une claire identification des tâches, des plannings, des budgets, des dispositifs de suivi des études, un tableaux de bord,...
• le contrôle des différentes activités qui ne peuvent pas être planifiées comme les petits projets, les projets urgents,...
• la mise sous contrôle de la maintenance des applications opérationnelles,
• le suivi des activités d'études à partir de feuilles de temps.

Il existe de nombreuses autres bonnes pratiques concernant les études informatiques. Pour l'auditer on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle comme par exemple :

• l'évaluation de l'organisation de la fonction d'études informatiques et notamment la manière dont sont planifié les différentes activités d'études,
• le respect de normes en matière de documentation des applications et notamment la définition des documents à fournir avec les différents livrables prévues,
• le contrôle de la sous-traitance notamment la qualité des contrats, le respect des coûts et des délais, la qualité des livrables, ...
• l'évaluation de la qualité des livrables fournis par les différentes activités d'études qui doivent être testables et vérifiables

Il existe de nombreux autres objectifs de contrôle concernant les études informatiques et ils sont choisis en fonctions des préoccupations du demandeur d'audit.

Audit de l'exploitation

L'audit de l'exploitation a pour but de s'assurer que le ou les différents centres de production informatiques fonctionnent de manière efficace et qu'ils sont correctement gérés. Il est pour cela nécessaire de mettre en oeuvre des outils de suivi de la production comme Openview d'HP, de Tivoli d'IBM,... Il existe aussi un système Open Source de gestion de la production comme comme Nagios. Ce sont de véritables systèmes d'information dédiés à l'exploitation.

Pour effectuer un audit de l'exploitation on se base sur la connaissance des bonnes pratiques concernant ce domaine comme par exemple :

• la clarté de l'organisation de la fonction notamment le découpage en équipes, la définition des responsabilités,...
• l'existence d'un système d'information dédié à l'exploitation notamment pour suivre la gestion des incidents, la gestion des ressources, la planification des travaux, les procédures d'exploitation, ,...
• la mesure de l'efficacité et de la qualité des services fournies par l'exploitation informatique.

Il existe de nombreuses autres bonnes pratiques concernant l'exploitation informatique. Pour effectuer cet audit on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle comme :

• la qualité de la planification de la production,
• la gestion des ressources grâce à des outils de mesure de la charge, des simulations, le suivi des performances,...
• l'existence de procédures permettant de faire fonctionner l'exploitation en mode dégradé de façon à faire face à une indisponibilité totale ou partielle du site central ou du réseau,
• la gestion des incidents de façon à les repérer et le cas échéant d'empêcher qu'ils se renouvellent,
• les procédures de sécurité et de continuité de service qui doivent se traduire par un plan de secours,
• la maîtrise des coûts de production grâce à une comptabilité analytique permettant de calculer les coûts complets des produits ou des services fournis.

Ces différents objectifs de contrôle correspondent au processus DS 1, DS 3, DS 6, DS 12 et DS 13 de CobiT : DS 1 "Définir et gérer les niveaux de services", DS 3 "Gérer la performance et la capacité", DS 6 "Identifier et imputer les coûts", DS 12 "Gérer l'environnement physique", DS 13 "Gérer l'exploitation".

Audit des projets informatiques

L'audit des projets informatiques est un audit dont le but est de s'assurer qu'il se déroule normalement et que l'enchaînement des opérations se fait de manière logique et efficace de façon qu'on ai de forte chance d'arriver à la fin de la phase de développement à une application qui sera performante et opérationnelle. Comme on le voit un audit d'un projet informatique ne se confond pas avec un audit des études informatiques.

Pour effectuer un audit d'un projet informatique on se base sur la connaissance des bonnes pratiques connues en ce domaine. Elles sont nombreuses et connues par tous les chefs de projets et de manière plus générale par tous professionnels concernés. Parmi celles-ci on peut citer :

• l'existence d'une méthodologie de conduite des projets,
• la conduite des projets par étapes quel que soit le modèle de gestion de projets : cascade, V, W ou en spirale (processus itératif),
• le respect des étapes et des phases du projet,
• le pilotage du développement et notamment les rôles respectifs du chef de projet et du comité de pilotage,
• la conformité du projet aux objectifs généraux de l'entreprise,
• la mise en place d'une note de cadrage, d'un plan de management de projet ou d'un plan d'assurance qualité (PAQ),
• la qualité et la complétude des études amont : étude de faisabilité et analyse fonctionnelle,
• l'importance accordée aux tests, notamment aux tests faits par les utilisateurs.

Il existe de nombreuses autres bonnes pratiques concernant la gestion de projet. Pour effectuer un audit d'un projet informatique on va se baser sur un certain nombre d'objectifs de contrôle comme par exemple :

• la clarté et l'efficacité du processus de développement,
• l'existence de procédures, de méthodes et de standards donnant des instructions claires aux développeurs et aux utilisateurs,
• la vérification de l'application effective de la méthodologie,
• la validation du périmètre fonctionnel doit être faite suffisamment tôt dans le processus de développement,
• la gestion des risques du projet. Une évolution des risques doit être faite aux étapes clés du projet.

Il existe de nombreux autres objectifs de contrôle possibles concernant l'audit de projet informatique qui sont choisis en fonctions des préoccupations et des attentes du demandeur d'audit.

Ces différents objectifs de contrôle correspondent aux processus PO 10, AI 1 et AI 2 de CobiT : PO 10 "Gérer le projet" mais aussi AI 1 "Trouver des solutions informatiques" et AI 2 "Acquérir des applications et en assurer la maintenance".

Audit des applications opérationnelles

Les audits précédents sont des audits informatiques, alors que l'audit d'applications opérationnelles couvre un domaine plus large et s'intéresse au système d'information de l'entreprise. Ce sont des audits du système d'information. Ce peut être l'audit de l'application comptable, de la paie, de la facturation,.... Mais, de plus en plus souvent, on s'intéresse à l'audit d'un processus global de l'entreprise comme les ventes, la production, les achats, la logistique,...

Il est conseillé d'auditer une application de gestion tous les deux ou trois ans de façon à s'assurer qu'elle fonctionne correctement et, le cas échéant pouvoir apporter les améliorations souhaitable à cette application ou à ce processus. L'auditeur va notamment s'assurer du respect et de l'application des règles de contrôle interne. Il va en particulier vérifier que :

• les contrôles en place sont opérationnels et sont suffisants,
• les données saisies, stockées ou produites par les traitements sont de bonnes qualités,
• les traitements sont efficaces et donnent les résultats attendus,
• l'application est correctement documentée,
• les procédures mises en oeuvre dans le cadre de l'application sont à jour et adaptées,
• l'exploitation informatique de l'application se fait dans de bonnes conditions,
• la fonction ou le processus couvert par l'application sont efficaces et productifs,
• ...

Le but de l'audit d'une application opérationnelle est de donner au management une assurance raisonnable sur son fonctionnement. Ces contrôles sont, par exemple, réalisés par le Commissaire aux Comptes dans le cadre de sa mission légale d'évaluation des comptes d'une entreprise : est-ce que le logiciel utilisé est sûr, efficace et adapté ?

Pour effectuer l'audit d'une application opérationnelle on va recourir aux objectifs de contrôle les plus courants :

• le contrôle de la conformité de l'application opérationnelle par rapport à la documentation utilisateur, par rapport au cahier des charges d'origine, par rapport aux besoins actuels des utilisateurs,
• la vérification des dispositifs de contrôle en place. Il doit exister des contrôles suffisants sur les données entrées, les données stockées, les sorties, les traitements,... L'auditeur doit s'assurer qu'ils sont en place et donnent les résultats attendus,
• l'évaluation de la fiabilité des traitements se fait grâce à l'analyse des erreurs ou des anomalies qui surviennent dans le cadre des opérations courantes. Pour aller plus loin l'auditeur peut aussi être amené à constituer des jeux d'essais pour s'assurer de la qualité des traitements. Il est aussi possible d'effectuer des analyses sur le contenu des principales bases de données afin de détecter d'éventuelles anomalies,
• la mesure des performances de l'application pour s'assurer que les temps de réponse sont satisfaisants même en période de forte charge. L'auditeur va aussi s'intéresser au nombre d'opérations effectuées par le personnel dans des conditions normales d'utilisation.

Très souvent on demande à l'auditeur d'évoluer la régularité, la conformité, la productivité, la pérennité de l'application opérationnelle. Ce sont des questions délicates posées par le management à l'auditeur.

Audit de la sécurité informatique

L'audit de la sécurité informatique a pour but de donner au management une assurance raisonnable du niveau de risque de l'entreprise lié à des défauts de sécurité informatique. En effet, l'observation montre que l'informatique représente souvent un niveau élevé pour risque élevé de l'entreprise. On constate actuellement une augmentation de ces risques liée au développement d'Internet. Ils sont liés à la conjonction de quatre notions fondamentales :

1. en permanence il existe des menaces significative concernant la sécurité informatique de l'entreprise et notamment ses biens immatériels,
2. le facteur de risque est une cause de vulnérabilité due à une faiblesse de l'organisation, des méthodes, des techniques ou du système de contrôle,
3. la manifestation du risque. Tôt ou tard le risque se manifeste. Il peut être physique (incendie, inondation) mais la plupart du temps il est invisible et se traduit notamment par la destruction des données, détournement de trafic,..
4. la maîtrise du risque. Il s'agit de mettre en place des mesures permettant de diminuer le niveau des risques notamment en renforçant les contrôle d'accès, l'authentification des utilisateurs,...

Pour effectuer un audit de sécurité informatique il est nécessaire de se baser sur quelques objectifs de contrôle. Les plus courants sont :

• repérer les actifs informationnels de l'entreprise. Ce sont des matériels informatiques, des logiciels et des bases de données. Il est pour cela nécessaire d'avoir des procédures de gestion efficaces et adaptées,
• identifier les risques. Il doit exister des dispositifs de gestion adaptés permettant de surveiller les domaines à risque. Cette surveillance doit être assurée par un RSSI, un responsable de la sécurité informatique,
• évaluer les menaces. Le RSSI a la responsabilité de repérer les principaux risques liés aux différents domaines du système d'information. Un document doit recenser les principales menaces,
• mesures les impacts. Le RRSI doit établir une cartographie des risques associés au système d'information. Il est alors envisageable de construire des scénarios d'agression et d'évaluer les points de vulnérabilité,
• définir les parades. Pour diminuer le niveau des risques il est nécessaire de prévoir les dispositifs comme des contrôles d'accès, le cryptage des données, le plan de secours,...

Il existe de nombreux autres objectifs de contrôle concernant l'audit de la sécurité informatique qui sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.

Ces différents objectifs de contrôle correspondent aux processus de CobiT DS 5 : "Assurer la sécurité des systèmes" et PO 9 "Evaluer et gérer les risques". Il existe un référentiel spécifique à la sécurité informatique : ISO 27002. C'est un code des bonnes pratiques concernant le management de la sécurité des systèmes d'information. Il est complété par la norme ISO 27001 concernant la mise en place d'un Système de Management de la sécurité de l'Information.

Voir audit de sécurité