Afin de réaliser ses propres audits IT, l’auditeur doit évidemment faire preuve d’un certain nombre de compétences. Il doit donc se placer en tant qu’expert, être légitime à réaliser ce projet. Les personnes doivent donc lui faire confiance, il doit être respectable et respecté.
Les aptitudes professionnelles
Tout d’abord, pour réaliser un audit, il est essentiel d’avoir une expérience technique ou une expertise métier qui soit éprouvée. Cela peut passer par des certifications techniques adéquates, des connaissances organisationnelles (gestion de projet, expérience de management, processus, …). Les savoirs faires et savoirs être sont essentiels aussi : observateur, méthodique, humble, factuel, …
80/20 : L’importance de parler 20% du temps et de faire parler 80% du reste du temps est essentiel pour comprendre au mieux les problématiques, les besoins et ainsi répondre à ces exigences au travers de l’audit.
Comment ne rien oublier dans son audit IT
Le Vital Business Function est une notion évoquée dans le Recueil des bonnes pratiques ITIL qui fait référence au service critique de l’entreprise. Vous devez donc identifier les services critiques de l’entreprise. En effet, si vous avez 3 000 PCs et 400 serveurs, vous ne pourrez analyser tout cela d’un coup. Il est donc essentiel d’identifier les services critiques puis de créer des sous-ensembles. Comment ?
Identifier les sous-ensembles en mettant en évidence les services critiques : pour un industriel laitier, les applications qui gèrent la partie usine autour du traitement du lait sont certainement les applications les plus critiques. On parlera alors de Business Impact Analysis :
- On identifie les processus critiques de l’entreprise
- Puis les services métiers de l’entreprise
- Et enfin ses composants critiques.
La partie haute disponibilité est importante aussi. Cela peut passer par l’identification des serveurs qui disposent d’une haute disponibilité. Pourquoi ? Parce que ce sont généralement ceux-là qui disposent d’une haute criticité. Ainsi, vous minimiserez l’impact de l’arrêt du composant.
Enfin, il faut analyser les composants sous-jacents : switchs, routeurs, sous-réseaux, serveurs physiques pour les VM – qui sont importants. Ils seront détectés. leur du Component Failure Impact Analysis.
Comment trouver ce qui est important à analyser lors de l’audit IT
Pour analyser correctement votre site, vous pouvez utiliser l’échantillonnage représentatif. Reprenons l’exemple des 3 000 PCs et 400 serveurs, vous ne pouvez pas les analyser l’ensemble. Vous pouvez donc choisir un mode d’échantillonnage.
En effet, les experts Corrium vous recommandent de choisir un échantillon « stratifié », à savoir, par catégorie de profil (d’équipements ou de technologies d’infrastructure). Pour les PCs, vous pouvez identifier un certain nombre de postes fixes / de portables / postes sur des sites distants / français / étrangers.
80/20 : je prends 20% de mon parc qui représente 80% de mon parc.
En ITIL, la valeur correspond à la combinaison de la garantie et de la valeur. Dans la garantie, il y a 3 principes qui sont vraiment importants, autour desquels vous pouvez trouver la criticité : la gestion de la disponibilité, la gestion de la continuité et la gestion de la capacité.
Un audit vs une évaluation
Prenons le cas d’ISO 20 000. Cette norme indique votre conformité, à savoir, par rapport au recueil des bonnes pratiques ITIL. Elle permet de certifier une organisation conforme à ITIL. Et pour la certifier, vous devez répondre à un certain nombre de critères : obligatoires ou optionnels. Pour valider cette norme via un audit, vous allez évaluer votre organisation.
Pour évaluer l’organisation, vous pouvez utiliser une échelle de notation basée sur 4 points :
- 0% à 15% : N (not) – Non réalisé
- 16% à 50% : P – Partiellement réalisé
- 51% à 85% : L – Largement réalisé
- 86% à 100% : F (full) – Complètement réalisé
Ainsi les éléments notés peuvent être des buts du processus, des résultats attendus du processus, des pratiques caractéristiques ou encore des documents caractéristiques.
La méthode complète pour réaliser des audits IT
A la fin de cette évaluation, vous saurez donc où se trouve votre organisation par rapport à la conformité voulue. Cela vous aide donc en pré-audit à savoir si vous êtes prêts à passer l’audit.