Processus administratifs, RH, marketing ou métiers, le système d’information de plus en plus à gérer l’ensemble des éléments de fonctionnement d’une entreprise. En conséquence, la performance de ce système d’information influe de plus en plus sur la capacité de l’entreprise à atteindre ses objectifs.
Mais toutes les structures ne réalisent pas forcément l’impact de leur système d’information sur leur capacité de succès, et bien souvent, le SI est un parent pauvre en matière de budget ou de ressources humaines. Technologies obsolètes ou inadaptées, non-respects législatifs (RGPD), absence de renouvellement de licences, ou absence de protection et de sauvegardes des données font ainsi le quotidien de bon nombre de structures.
L’audit de système d’information est la première brique d’une démarche de rationalisation de la gestion de son SI. Car pour mieux gérer ses équipements et prendre les bonnes décisions, il importe avant tout de connaître l’ensemble des éléments qui composent le SI, leurs interactions, les besoins et les pratiques des utilisateurs, ou encore les enjeux et les risques du SI pour l’entreprise.
Dans cet article, nous allons présenter d’une part les caractéristiques et les objectifs d’un audit de système d’information et d’autre part, 4 bonnes pratiques de pilotage de cet audit.
Le système d’information : définition
Pour bien comprendre les tenants et les aboutissants d’un audit de système d’information, il faut avoir une idée précise de ce qui compose ce système d’information.
Un système d’information, c’est l’ensemble des logiciels et des matériels, informatiques, électroniques ou de télécommunication, qu’il s’agisse de ressources physiques (fibres optiques, surface d’hébergement, alimentation électrique, climatisation) ou de plates-formes logicielles ou matérielles (serveurs, systèmes d’exploitation, bases de données…) qui participent au stockage, à la gestion, au traitement, au transport et à la diffusion de l’information au sein d’une entreprise.
On inclut parfois également dans le système d’information les personnels qui conçoivent, déploient, maintiennent et rendent opérationnel ces ressources, ou encore les procédures liées à ces ressources.
À propos de l’audit de système d’information
Effectuer un audit de système d’information, ce n’est pas juste faire un inventaire du système d’information. C’est aussi évaluer dans quelle mesure le système d’information répond aux facteurs de performance et aux objectifs stratégiques de l’organisation concernée.
Les objectifs de l’audit de système d’information peuvent être multiples :
- évaluer l’efficacité et la performance du système au regard des objectifs stratégique de l’entreprise,
- évaluer la sécurité du système, sécurité des équipements, stockage et intégrité des données, en comparaison avec les risques pour l’entreprise en cas de sinistre ou de perte d’intégrité de ces données
- effectuer des recommandations pour l’adaptation du système d’information, en fonction des besoins de l’entreprise, à la hausse ou à la baisse
- se mettre en conformité avec une législation, une norme ou une évolution technologique
Ainsi, un audit d’information se concentre généralement sur un ou plusieurs des points suivants :
- réduction des coûts non justifiés lié au système d’information
- conformité du système d’information avec les obligations légales
- optimisation du traitement des processus métiers de l’entreprise par le système d’information
- optimisation de l’interopérabilité et de l’accessibilité du système d’information
- optimisation de la sécurité du système d’information
- efficience et pérennité du système d’information
Comment bien piloter l’audit de système d’information ?
La réussite d’un audit de système d’information repose sur la mise en place de certaines recommandations :
Déterminer les enjeux stratégiques de l’entreprise et les processus clés qui leur sont associés.
Cette étape est absolument indispensable pour un audit du système d’information qui ne se contente pas d’un catalogue de bonnes pratiques, mais qui évalue véritablement l’adaptation du système d’information et sa performance au regard de l’utilisation qui en est faite et des besoins de l’entreprise.
Les recommandations obtenues via le système d’information doivent être utiles, nécessaires et oeuvrer à la performance globale de l’entreprise. Ainsi, il sera nécessaire de réaliser une véritable cartographie des processus de l’organisation et des données associées.
Faire effectuer l’audit par un prestataire indépendant de la DSI
- Le recours à un prestataire externe pour la réalisation de l’audit permet une prise de position neutre et un regard extérieur bénéfique à la démarche.
- Les compétences de l’équipe en charge de la réalisation de l’audit devront être suffisamment multidisciplinaires, qu’il s’agisse de connaissances en gestion ou de connaissances techniques.
- Il pourra également être nécessaire de faire appel à des spécialistes dans le cadre de problématiques précises, par exemple concernant la conformité à la législation d’un domaine en particulier, ou encore dans l’optique d’évaluer la sécurité du système d’information.
Cahier des charges et référentiel
Des éléments supplémentaires peuvent être utiles à la fiabilisation de l’audit : l’utilisation d’un cahier des charges ou le recours à des référentiels.
Le cahier des charges représente le point de départ de l’audit. Il permet d’exprimer les besoins fonctionnels de l’entreprise pour lequel l’audit est effectué, et également de définir les responsabilités des deux parties concernées (entreprise et prestataire), ainsi que certaines conditions d’engagement.
Les référentiels d’audit sont des recueils de règles, de procédures et de bonnes pratiques établis par des organismes reconnus. Les utiliser dans le cadre de l’audit de système d’information permet donc d’apporter de la crédibilité à l’audit. À titre d’exemple, dans le domaine informatique, il est possible de citer les référentiels COBIT et ITIL, ou encore l’ISO/CEI 27000 pour la sécurité de l’information.
Utiliser un référentiel d’audit et élaborer un cahier des charges d’audit permet de renforcer la fiabilité et la pertinence des recommandations effectuées par l’équipe auditrice.
S’approprier le système d’information de l’entreprise en profondeur
Pour un audit de système d’information qui n’oublie aucun détail, un certain nombre d’aspects seront à maîtriser par le prestataire auditeur, qui devra réaliser une cartographie des données, des informations et des ressources informatiques de l’organisation, mais aussi, prendre connaissance des différentes politiques et procédures liées au système d’information de l’entreprise, telle que la politique de sécurité du système d’information ou encore, les chartes utilisateurs éventuellement en place.
Bénéficiez de conseils et d’une méthodologie experte pour la réalisation de votre audit de système d’information.
- Élaboration de la cartographie de vos processus
- Rédaction du cahier des charges
- Gestion du processus d’audit de bout en bout,
- Recommandations personnalisées adaptées aux problématiques de votre entreprise
- Mise en place de ces recommandations…
Déessi vous accompagne dans la mise en place de votre audit de système d’information, pour vous permettre de parvenir à vos objectifs de performance et de développement. Contactez-nous pour nous soumettre votre problématique !