CE QU'IL FAUT SAVOIR POUR AUDITER VOTRE SYSTÈME D'INFORMATION
Première étape : comprendre votre SI
Un système d’information est un ensemble de ressources qui sont à la fois humaines, matérielles et immatérielles :
- Ressources humaines : ce sont les agents et techniciens qui s’occupent de la gestion de votre SI. Ils peuvent gérer la maintenance de vos serveurs, répondre aux questions de vos équipes, commander, acheter et paramétrer le matériel, gérer les contrats avec des prestataires, etc.
- Ressources matérielles : ce sont tous les ordinateurs, tablettes et téléphones que l’entreprise met à la disposition de ses équipes et l’ensemble des équipements informatiques, pouvant intégrer les serveurs locaux sur site, les accessoires, disques durs, vidéoprojecteurs, modem, routeur wifi, etc.
- Ressources immatérielles : ce sont les logiciels, données, outils et processus qui régissent le fonctionnement de votre organisation. Le périmètre est large, car il comprend aussi bien les systèmes d’exploitation fixe et mobile, que les logiciels de paie, de marketing, le CRM, l’ERP, la gestion de la production, etc.
Comprendre de quoi se compose votre SI, comment il fonctionne et quelles sont les conséquences d’un dysfonctionnement sur le reste des ressources est indispensable pour réaliser un audit complet. Ainsi, en cas d’incidents (attaques, erreurs, problèmes techniques…), il sera plus facile d’isoler les zones touchées des zones saines.
Deuxième étape : définir les objectifs business
Tous les SI ne sont pas identiques. Ils doivent être dimensionnés pour répondre aux besoins business de l’entreprise. Cela peut être une question de nombre d’utilisateurs, de sites ou de campus, de produits ou d’offres différentes, etc. Ainsi le SI d’une PME industrielle sera très différent de celui d’une enseigne de prêt-à-porter par exemple. Définir les objectifs business peuvent être, par exemple, une gestion en temps réel des stocks de produits pour une stratégie omnicanale, ou encore une priorité accordée à l’expérience client avec la convergence des interactions prospects et clients sur tous les outils pré et post vente. Le SI doit également s’adapter au business plan de l’entreprise et à ses objectifs stratégiques en termes de croissance ou de ralentissement sur un marché en particulier par exemple. Il doit être pensé comme un « business partner » qui a la capacité de diminuer les coûts, les optimiser et anticiper les besoins à venir.
Troisième étape : choisir le bon prestataire
Auditer un système d’information est un travail qui nécessite souvent un regard extérieur. Pour choisir le bon prestataire, il est important que celui-ci comprenne votre activité, vous pose les bonnes questions et dispose d’une méthodologie claire qui doit reposer sur plusieurs points clés :
- Des entretiens pour comprendre le client (différents directeurs), son besoin et ses risques.
- Un cadrage technique pour définir le périmètre de l’audit, le planning de réalisation, et définir les responsabilités (RACI).
- La réalisation avec des experts qui interviennent, posent les outils et accomplissent les tâches conformément au planning.
- Les livrables avec un rapport d’audit qui contient la liste des vulnérabilités, les impacts et les recommandations, ainsi qu’une soutenance devant le management.
L’audit d’un système d’information est une étape importante qui permet d’accompagner votre entreprise en fonction de vos objectifs et de votre structure.