Obtenez la connaissance essentielle de votre infrastructure
Pourquoi réaliser un audit technique ? Il permet d’inspecter votre informatique : des équipements et à leur configuration. Il permet de vérifier s’ils sont conformes aux bonnes pratiques de gestion et en accord avec les réglementations actuelles.
L’audit du système d’information ne concerne pas uniquement la sécurité. Il concerne l’ensemble de votre IT : équipements, configurations, ports ouverts, données, informations réseaux, …
Optez pour cette stratégie
Lorsque l’on veut réaliser un audit technique, il y a un certain nombre de choses à prendre en compte en amont :
- Connaître les attentes et les formaliser : améliorer la gestion, avoir des informations sur des machines ou un réseau, connaître le nombre de licences. Cela peut concerner tout élément appartenant à votre informatique. Il est important d’identifier jusqu’à la source de votre besoin : vous souhaitez connaître le nombre de licences pour identifier votre budget mais cela peut aussi être pour préparer une future migration. En effet, la finalité de votre audit peut être différent lorsque vous aurez identifié l’ensemble des besoins et déterminer les objectifs finaux.
- Identifier l’ensemble des parties prenantes. Il est important d’identifier tous les acteurs. Vous pourrez ainsi réfléchir aux éventuelles réticences au changement ou les points de blocage lors de l’audit ou de la mise en place du plan d’action. Cela vous permettra de contrôler au mieux le déroulement de votre projet.
- Réfléchir aux livrables de l’audit. En imaginant les résultats que vous souhaitez avoir, cela permettra de savoir ce qui est important pour vous. Vous pouvez aussi réfléchir à quels seront les chiffres clés qui vous feront vous dire que la prestation est réussite. Ainsi pour identifier les livrables, vous pouvez vous baser sur la méthodologie SMART. Spécifique, Mesurable, Atteignable, Réalisable et Temporel ; vous donnera des résultats délimités.
A défaut, l’audit est souvent utilisé de manière réactive : à la suite d’un incident, à l’approche d’un événement (contrôle ou demande de mise en conformité par exemple). Par ailleurs, il devrait être mis en place de manière préventive. En effet, l’audit met en avant un certain nombre d’informations qui peuvent être source de failles ou de blocages. Identifier en amont les risques vous permet d’être davantage prêt en cas de problème.
N’attendez pas la panne
Voici une liste non-exhaustive de cas dans lesquels un audit est souvent demandé :
- Suite à un incident de production. La plupart du temps, un audit a lieu après ce genre d’incident, afin d’identifier les sources de problèmes.
- Afin de rétablir l’informatique. Après l’infection d’un virus, l’informatique a entièrement planté. Il est donc important de réaliser un audit pour rétablir l’informatique et éviter le sur-accident.
- Pour identifier la cause suite à un incident.
- Afin de prévenir les risques : toute entreprise devrait agir de cette manière. Sa maturité donnera lieu à la planification de manière contingence. Une entreprise mature effectuera un audit en amont pour avoir le temps de planifier les actions, prévenir les accidents et prévoir les failles potentielles. Si on a 80% de chance qu’un incident arrive, si on a pu anticiper, l’incident sera mieux géré. C’est ce qu’on appelle la contingence.
A chacun son besoin, chacun son audit
En fonction de vos besoins, il existe différents types d’audits. Découvrez quel audit technique vous devez réaliser par rapport à vos besoins :
Les référentiels de sécurité
Ces référentiels définissent un ensemble de règles de sécurité à appliquer aux systèmes d’information des entreprises, ainsi qu’un certain nombre de bonnes pratiques qu’elles sont libres d’appliquer.
Le Règlement Général sur la Protection des Données – Pour les entreprises européennes utilisant des données à caractère personnel
Cette norme mise en place depuis 2018 cherche à responsabiliser les entreprises en leur demandant de maîtriser l’ensemble du traitement des données personnelles qu’elles utilisent sur le territoire de l’Union Européenne. Toute entreprise, privée ou publique, qui traite des données personnelles doit constituer un registre qui expose tous les traitements qui explique l’objectif poursuivi de cette utilisation, les types de données, qui y a accès et la durée de conservation de ces données. Ensuite, les entreprises doivent faire un tri de leurs données. Un Délégué à la Protection des Données doit aussi être désigné pour assurer que ces traitements sont bien utilisés. Pour répondre à cette norme, il est donc essentiel de maîtriser l’ensemble des données, du point de vue du traitement mais aussi de l’accessibilité. Un audit permettant de connaître l’emplacement de ces données ainsi que leur accessibilité est donc primordial à faire en amont.
SOX – Pour la partie comptabilité des entreprises
La loi Sarbanes-Oxley vise à protéger les actions et le grand public contre de potentielles erreurs comptables mais aussi contre des pratiques frauduleuses faites dans les entreprises. Elle vise aussi à améliorer l’exactitude des informations.
BALE III – Pour la partie financière des organisations
Ces réglementations bancaires sont des initiatives prises afin de renforcer le système financier et garantir un niveau minimum de capitaux propres.
SOLVENCY II – Pour les compagnies d’assurance
Suite à la réforme Bâle II pour les banques, la réforme Solvency II a été mise en application pour les compagnies d’assurances. Son objectif principal, la gestion des risques, consiste à mieux adapter leurs fonds propres.
La certification HDS – pour les Hébergeurs de Données de Santé
Cette certification repose sur l’évaluation de la conformité par rapport aux exigences du référentiel. Il inclue entre autres des équivalences aux certifications ISO 27001 et 20000. Cet audit en deux phases : la partie documentaire avec la revue du Système d’Information ainsi que la partie sur site. Deux certificats peuvent être émis : hébergeur d’infrastructure physique pour les locaux d’hébergement physique et hébergeur infogéreur pour les infrastructures virtuelles.
Configuration Management DataBase – pour les Systèmes d’Information des entreprises
Ce référentiel unifiant les composants d’un Système d’Information permet de comprendre l’organisation et modifier la configuration si besoin. L’implémentation de cet outil permet de récupérer automatiquement des informations de ces composants et ainsi suivre les changements.
Fixed Asset Register – pour toutes les entreprises
Ce registre répertorie l’ensembles des immobilisations de l’entreprise. Il fait partie des notions ITIL, Information Technology Infrastructure Library, qui est un référentiel se basant sur les bonnes pratiques IT.
Business Impact Analysis – la mesure de l’impact sur les métiers
Cet outil mesure l’impact d’une panne informatique sur les métiers de l’entreprise.
Component Failure Impact Analysis – l’impact sur la chaîne technique
Elle correspond à une analyse de l’impact de l’arrêt d’un composant (rupture de service) sur l’ensemble de la chaîne technique.
RETEX / POST MORTEM – le besoin d’amélioration
La notion de Retour d’Expérience correspond à l’enrichissement des connaissances et les enseignements que l’on peut conclure à la suite d’un événement subit par une organisation. Il fait le lien entre la théorie et la pratique : les conclusions de l’événement. Apporter un RETEX permet de développer la qualité de l’organisation et apporte une certaine prévention pour les futurs événements. On écrit un RETEX à la suite d’un incident grave. Synonyme de POST MORTEM, on prend le temps de rédiger un RETEX quand on a conscience qu’il y a un besoin d’amélioration de l’organisation ou de la technique.
En fonction de vos besoins correspond donc un audit bien spécifique. A vous d’identifier quels sont vos besoins pour choisir le bon audit.
Pour en savoir plus concernant les audits techniques pour votre infrastructure informatique, n’hésitez pas à visionner le replay du webinaire : Pourquoi réaliser un audit technique ?