Audit des systèmes d’information

Afin de répondre à vos dilemmes et problématiques, nous proposons des missions d’Audits du Système d’Information

L’audit d’un système d’information

L’audit d’un Système d’Information a pour but de nous permettre de réaliser un état des lieux complet de celui-ci, et de qualifier son niveau de fonctionnement en identifiant ses forces, ses faiblesses ainsi que ses risques de dégradation.

La réalisation de l’audit suppose d’identifier, de collecter, de traiter et d’analyser l’ensemble des données permettant de le caractériser et de le qualifier.

L’identification, la collecte, le traitement et l’analyse de l’information fondent donc la logique de déroulement de notre mission d’audit.

 

 

Etape 1

Identification de l'information
Collecte de l'information

Etape 2

Collecte de l'information
Traitement de l'information

Etape 3

Traitement de l'information
Analyse de l'information

Etape 4

Analyse de l'information

Le périmètre de nos audits est le suivant :

  • Les locaux techniques informatiques et télécoms (positionnement et état des locaux, conformités bâtimentaires, sécurisation, arrivées opérateurs, sécurité électrique, interconnexions des locaux, câblage de distribution etc.)
  • Les infrastructures et architectures informatiques et de sécurité (serveurs, systèmes, stockage, sauvegarde, équipements actifs, réseaux, pare-feu, etc.)
  • Les infrastructures et architectures téléphoniques (systèmes de téléphonie, accès télécoms etc.)
  • L’état du parc utilisateurs (postes de travails, postes de téléphonie, imprimantes, copieurs etc.)
  • L’environnement utilisateurs (systèmes de messagerie, annuaires, suites bureautiques, solutions collaboratives)
  • Les applications métiers
  • La Gouvernance du Système d’Information (maturité)
  • L’organisation mise en place (périmètre de responsabilités des acteurs du Système d’Information, aspects liés aux ressources humaines, à la formation, et aux processus de répartition des tâches)
  • Le management de la sécurité de l’Information (PSSI, charte informatique, gestion des risques, bonnes pratiques, RGPD, CNIL, ANSSI)
  • Les contrats de services et les aspects financiers associés (matériels, logiciels, maintenance et support, opérateurs, services IT)
  • Le recensement des besoins 

Une fois l’ensemble du Système d’Information évalué et qualifié, nous restituons l’audit sous la forme d’une matrice colorée :

 

Exemple d‘une matrice présentée en synthèse d’un rapport d'audit

Situation maîtrisée (en vert)
Des améliorations sont peut-être nécessaires, mais la politique conduite est suffisamment mature pour assurer sa part dans la stabilité du SI. 

Situation à risque (en orange)
Il existe une politique active, mais celle-ci est incomplète. Des actions sont indispensables.

Situation critique (en rouge)
La politique conduite est indigente, voire absente, et met en danger la stabilité du SI dans le domaine concerné. Il convient d’engager immédiatement un plan d’action. 

 

La matrice identifie très clairement les briques pour lesquelles une action prioritaire doit être entreprise.

Elle favorise ainsi, une première approche hiérarchisée et planifiée du plan d’action et des préconisations opérationnelles.