Audit informatique - Définition

Introduction

L'audit informatique (en anglais Information technology audit ou IT audit) a pour objectif de s'assurer que les activités informatiques d'une entreprise ou d'une administration se déroulent conformément aux règles et aux usages professionnels, appelés de manière traditionnelle les bonnes pratiques. On va pour cela s'intéresser aux différents processus informatiques comme la fonction informatique, les études informatiques, les projets informatiques, l'exploitation, la sécurité informatique,... L'audit informatique consiste à évaluer le niveau de maturité de l'informatique de l'entreprise.

On peut vouloir aller plus loin et s'intéresser à l'évaluation des systèmes d'information et non plus seulement à l'informatique. C'est le domaine de l'audit des applications. Ainsi dans le cas d'une application comptable on va s'attacher à vérifier l'intégrité des données comptables, la disponibilité de l'application, s'assurer qu'elle répond aux besoins des comptables et que le système comptable s'interface efficacement avec les autres systèmes de gestion de l'entreprise.

Le travail de l'auditeur consiste à observer le domaine audité, à analyser les faits observés, à écouter les explications des audités et, sur la base de ces constats, de porter un jugement sur le domaine fonctionnel audité en se basant sur des référentiels largement reconnus comme :

• CobiT : Control Objectives for Information and related Technology. C'est le principal référentiel des auditeurs informatiques,
• Val IT permet d'évaluer la création de valeur par projet ou par portefeuille de projets,
• Risk IT a pour but d'améliorer la maîtrise des risques liés à l'informatique,
• CobiT and Applications Controls.

Voir les sites de l'ISACA [1] et de l'AFAI [2]

Mais on peut aussi utiliser d'autres référentiels comme :

• ISO 27002 qui est un code des bonnes pratiques en matière de management de la sécurité des systèmes d'information,
• CMMi : Capability Maturity Model integration qui est une démarche d'évaluation de la qualité de la gestion de projet informatique,
• ITIL qui est un recueil des bonnes pratiques concernant les niveaux et de support des services informatiques.

Les concepts de base de l'audit informatique

La notion de contrôle est au coeur de la démarche d'audit informatique. L'objectif est de mettre en place des dispositifs de contrôle efficaces et performants permettant de maîtriser efficacement l'activité informatique. Le contrôle interne un processus mis en oeuvre à l'initiative des dirigeants de l'entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :

1. la conformité aux lois et aux règlements,
2. la fiabilité des informations financières,
3. la réalisation et l'optimisation des opérations.

Il est évident que l'audit informatique s'intéresse surtout au troisième objectif.

La démarche d'audit informatique se définit à partir des préoccupations du demandeur d'audit qui peut être le directeur général, le directeur informatique, le directeur financier,... Il va pour cela mandater l'auditeur pour répondre à une liste de questions précises qui font, plus ou moins implicitement, référence à l'état des bonnes pratiques connues dans ce domaine. Cela se traduit par un document important : la lettre de mission qui précise le mandat à exécuter et qui donne les pouvoirs nécessaires à l'auditeur.

Celui-ci va ensuite s'attacher à relever des faits puis il va mener des entretiens avec les intéressés concernés. Il va ensuite s'efforcer d'évaluer ses observations par rapport à des référentiels largement reconnus. Sur cette base il va proposer des recommandations.

L'auditeur informatique va se servir de référentiels d'audit informatique lui donnant l'état des bonnes pratiques dans ce domaine. Le référentiel de base est CobiT : Control Objectives for Information and related Technology. Mais il va aussi utiliser d'autres référentiels comme : Val IT, Risk IT, CobiT and Applications Controls, ISO 27002, CMMi, ITIL, ...