Préparation de l'arrivée d'un auditeur
Dans certains cas, le système d’information peut faire l’objet d’un audit, notamment pour évaluer les risques associés ou pour vérifier sa conformité. En amont, il est possible de s’y préparer.
- Évaluer les risques associés au système d’information
- Évaluer la conformité du système d’information
- Évaluer la qualité de certains processus IT
- Connaître les principaux éléments susceptibles d’être audités
- Vérifier la conformité du système d’information en amont
Plusieurs types d’audits peuvent concerner le système d’information. La plupart se concentrent sur un domaine, un processus ou une thématique précise, mais il peut arriver qu’ils portent sur le système d’information dans son ensemble. L’auditeur est un intervenant externe, généralement mandaté par l’entreprise.
Les audits peuvent avoir plusieurs finalités :
- Les audits de sécurité visent à évaluer les risques et la stratégie mise en place pour les prévenir ;
- Les audits de conformité vérifient le respect des réglementations en vigueur et l’absence de fraudes ;
- Les audits portant sur le fonctionnement du service IT s’intéressent à la contribution du système d’information à la stratégie de l’entreprise ;
- Les audits de qualité ont pour but d’obtenir un label ou une certification.
En fonction de la finalité de l’audit, les points qui vont être examinés par les auditeurs diffèrent.
L’audit de sécurité va par exemple s’intéresser au plan de continuité d’activité, aux chartes d’utilisation du système d’information ou encore à l’estimation des menaces. L’auditeur peut vérifier les sauvegardes, tester la présence de vulnérabilités ou l’application des bonnes pratiques par les salariés.
L’audit de conformité s’intéressera notamment aux accès et aux modifications effectuées sur les données, afin de détecter d’éventuelles fraudes. Les processus liés aux factures, aux stocks seront plus particulièrement ciblés.
Les audits sur le fonctionnement du système d’information peuvent notamment passer en revue les coûts et mesurer l’efficacité des processus.
Enfin, les audits de qualité vont vérifier point par point si l’entreprise applique bien les recommandations de la norme ou du référentiel sur lequel elle souhaite être certifiée.
Tous les audits suivent en général ces quelques étapes :
Préparation de la lettre de mission pour l’auditeur,
Planification de l’audit,
Collecte d’information,
Entretiens complémentaires,
Rédaction du rapport,
Présentation des résultats.
En amont, vous pouvez préparer un certain nombre d’éléments. Tout d’abord, dans la lettre de mission vous pouvez préciser le périmètre qui doit être audité. Ensuite, prévoyez de planifier l’audit sur une période pas trop chargée pour vos collaborateurs, afin de faciliter l’organisation des entretiens.
Dans le cas d’audits de conformité, il est important de bien connaître les lois et réglementations applicables à votre entreprise. Si besoin, faites le point avec le responsable du contrôle interne ou avec un juriste spécialisé.
Enfin, dans le cadre d’audits de certifications, un gros travail préalable est en général nécessaire pour bien se familiariser avec les concepts et les exigences de la norme que vous souhaitez appliquer.
En aval, veillez à mettre en application les recommandations issues de l’audit. Cela vous permettra d’améliorer vos résultats lors d’un nouvel audit ultérieur.