Audit informatique – audit des systèmes d’information
Evaluer les risques informatiques, risques des systèmes d'information
Introduction
à l'audit informatique
L'audit informatique, l'audit
des systèmes d'information évalue les risques d'un environnement
informatique ou d'une application, par exemple, les salaires ou la
facturation.
Ces missions se font en choisissant avec le client les processus
à évaluer, de même que les processus
CobiT à évaluer parmi les 34 proposés.
L'audit d'un environnement informatique peut concerner l'évaluation des risques informatiques de la sécurité physique, de la sécurité logique, de la gestion des changements, du plan de secours, etc. Ou bien un ensemble de processus informatiques - ce qui est généralement le cas - pour répondre à une demande précise du client. Par exemple, apprécier la disponibilité des informations et des systèmes. Le CobiT permet justement de rechercher quels processus informatiques répondent le plus efficacement à une telle demande. Dans le cas de la disponibilité : par exemple la gestion des performances et des capacités et le plan de continuité.
Services offerts:
- Approche générale
- Audit de l'infrastructure informatique
- Audit d'un système - d'une application inforrmatique en cours de réalisation
- Audit d'une application informatique
- Audit de la partie informatique du SCI
Approche générale
Un audit informatique, audit
des systèmes d'information, se fait selon un schéma en 4
phases :
- Définition précise du plan de travail, récolte d'information, recherche et schématisation des processus métiers et/ou informatiques à apprécier, définition des rôles et responsabilités, analyse des forces - faiblesses.
- Analyse des processus importants, définition des risques, évaluation préliminaire des risques, de l'efficacité des contrôles.
- Tests des contrôles.
- Tests de matérialité.
Un audit
informatique, audit
des systèmes d'information ne concerne pas nécessairement
la sécurité. En effet, il peut servir à évaluer des aspects
stratégiques ou de qualité des systèmes d'information.
Par exemple, répondre à la question suivante : Est-ce que
les systèmes d'information de l'entreprise répondent efficacement
aux besoins des services métiers ? La démarche est très
similaire, en choisissant et évaluant les processus informatiques
proposés par le CobiT qui répondent le mieux à la
demande et aux objectifs du client.
Audit de l'infrastructure informatique
Mission
Evaluer les
risques des systèmes d'information nécessaires au fonctionnement
des applications. Par exemple : Sécurité physique, sécurité
logique, sécurité des réseaux, plan de secours.
Livrable
Rapport contenant
les faiblesses relevées, leur niveau de risque et les mesures
correctives proposées.
Audit d'un système - d'une application informatique en cours de réalisation
Mission
Assister l'audit interne à apprécier le projet en cours de réalisation dans les phases suivantes:
- Initialisation - Analyse,
- Conception - Réalisation,
- Tests - Installation,
- ainsi que le processus de Gestion de projet.
Les interventions de l'audit interne durant le projet peuvent concerner:
- Méthodes et standards,
- Gestion de projet,
- Suivi des budgets et des délais,
- Livrables,
- Initialisation - Analyse,
- Conception - Réalisation,
- Tests - Installation,
- Migration des données,
- Revue post-installation.
Approche
Appréciation des processus et/ou enquêtes à l'aide de questionnaires.
Livrables
Mesures proposées
de réduction et de contrôle des risques importants relevés; tableaux de bord et autres documents de contrôle pour la DIrection.
Audit d'une application informatique
Mission
Apprécier une application informatique en production, par exemple une application de gestion des salaires, une application financière, etc. Très souvent plusieurs domaines font partie d'un audit d'une application, en particulier:
- les données opérationnelles,
- les données de base,
- les paramètres,
- les interfaces entre l'application et d'autres applications,
- la gestion des droits d'accès à l'application.
Bien entendu, tout audit d'une application doit également apprécier la sécurité de l'infrastructure informatique nécessaire au fonctionnement de l'application (cf. ci-dessus).
Livrable