Audit Informatique

L'audit informatique ou du système nerveux de votre entreprise

L'audit informatique (en anglais Information Technology Audit ou IT Audit) a pour objectif d’identifier et d’évaluer les risques (opérationnels, financiers, de réputation notamment) associés aux activités informatiques d'une entreprise ou d'une administration. À cette fin, l’audit va se baser sur le cadre réglementaire du secteur d’activité du pays concerné (exemple le CRBF 97-02 pour une banque française), sur les référentiels de bonnes pratiques existants (exemple le référentiel CobiT), sur les benchmarks à disposition et sur l’expérience professionnelle des auditeurs impliqués.

Il existe deux grandes catégories d’audit. La première comporte les audits globaux d'entité durant lesquels toutes les activités ayant trait aux systèmes d’informations sont évaluées. La seconde catégorie correspond aux audits thématiques, ayant pour objectif la revue d’un thème informatique au sein d’une entité (la gestion de projet, la sécurité logique par exemple).

L’audit n’est pas à confondre avec l’activité de conseil qui vise, de manière générale, à améliorer le fonctionnement et la performance d'une organisation avec une éventuelle implication dans la mise en œuvre de cette amélioration. Ces deux activités, audit et conseil, ne peuvent être exercés pour une entité donnée par les mêmes acteurs afin de ne pas créer une situation favorable aux conflits d’intérêts.

BLConseils a mis en place des audits spécifiques pour les TPE-TPI car leurs besoins sont moindres et la couverture n'a pas besoin d'être aussi étendue que dans une multi-nationnale. Bien évidemment, ces modules sont réalisables individuellement mais les prérequis vont de gauche à droite.

Audit fonctionnel

Le but de cet audit est de prendre un instantané fonctionnel de votre système informatique pour en déterminer ses forces et faiblesses.

L'approche est globale, que cela soit le matériel, les logiciels, le réseau mais aussi le fonctionnement de l'ensemble avec les utilisateurs et les interractions avec l'extérieur. Les domaines d'études sont techniques, organisationnels, juridiques et financiers.

Par exemple, l'absence d'une charte informatique est un élément critique du point de vu juridique, organisationnel et technique.

Audit sécurité

Ce bloc d'audit permet d'analyser la sécurité d'accès, de fonctionnement et de réaction du système aux attaques interne et externe.

L'approche prend en compte l'entreprise avec tous ses acteurs qu'ils soient internes ou externes. Ils sont confrontés à l'aspect juridique comme le RGPD ou fonctionnel comme l'identification individuel des personnes et matériels.

Par exemple: Partager le login/mot de passe entre plusieurs personnes est une pratique courante mais dangereuse tant au niveau des fuites de données mais aussi critique pour le dirigeant dont la responsabilité peut-être engagée.

Audit protection

Dans ce cadre sont analysés toutes les procédures, moyens ou techniques mises en oeuvre pour maintenir l'activité en cas d'incident.

L'approche est moins technique mais plus sur le comportement des systèmes et des acteurs face à un incident, attaque ou destruction. En vérifiant cela, nous vérifions si l'entreprise continuera de vivre si une attaque se produit.

Par exemple, le fait de mettre en place une sauvegarde réelle ou de former les utilisateurs à la sécurité de bon sens permet d'augmenter la résistance aux attaques des hackers ou autres malwares, incendies, etc.