En disposant des caractéristiques propres à l’auditeur, vous êtes donc apte à réaliser vous-même votre audit IT. Retrouvez ci-dessous une démarche afin de réaliser un audit correctement, qui aura un réel impact au sein de votre organisation.
La réalisation d’un audit IT
Cette démarche d’audit est similaire à celle des commissaires aux comptes. En comptabilité, les entreprises appartenant à une certaine taille doivent faire valider leur comptabilité. C’est le même procédé pour l’infrastructure. Lorsqu’elles atteignent une certaine taille, il faut vérifier la conformité à une norme, aux bonnes pratiques, …
Voici la démarche à suivre :
- Tout d’abord, planifier & préparer l’audit
en définissant le périmètre de la mission : les objectifs, les équipements, le sous-ensemble représentatif, …
identifier les risques potentiels : les lister pour vous
- Puis, analyser les risques identifiés
Pour chaque risque, déterminer quels contrôles devront être effectués pour obtenir des résultats probants, savoir si cela est faisable ou non
- Et enfin, exécuter l’obtention des preuves
Apporter des faits
Établir le rapport avec des éléments factuels et objectifs
Itération : le risque d’audit
A la fin de votre audit, il y aura des choses que vous n’aurez peut-être pas vu. Voici les 3 types de risques encourus :
- Les risques d’anomalies significatifs: les risques inhérents correspondant aux risques de plantage dus à l’environnement externe (des applications mal faites, une installation qui n’a pas suivi les instructions, …), les risques liés au contrôle à savoir liés à l’existence d’erreurs significatives dans les configurations d’une infrastructure, au niveau interne
- Les risques de non-détection: erreurs liées à l’incapacité de l’auditeur à les détecter (en supposant que les environnements interne et externe aient fonctionné comme il le faut).
Comme aller à l’encontre de ces risques :
- Prendre connaissance de l’infrastructure à auditer dans son ensemble
- Estimer le risque d’audit
- S’il est fort, l’infrastructure est composée de beaucoup d’erreurs
- Vérifier les travaux d’analyse : si les risques sont forts, le travail est plus conséquent
- Planifier les travaux de vérification (temps, équipe, périmètre, …)
- Réviser son estimation au fur et à mesure que les travaux de vérification avancent
- Arrêter les travaux de vérification que lorsque l’on est sûr qu’il n’y a pas d’erreur supplémentaire, que le risque d’audit est proche de zéro.
Argumenter votre demande d'audit IT
Afin de réaliser votre audit, vous aurez besoin de ressources supplémentaires : humaines, matérielles, financières, … Pour cela, vous devrez donc argumenter cette demande.
Vous pouvez avoir différentes motivations à réaliser un audit qui auront une incidence différente :
- Pertinent : « j’en ai besoin » – un RETEX, un audit RGPD
- Opérationnel : « ça fonctionne » – PENTEST, un audit de sécurité
- Souhaitable : « à chaque fois » – dette technique, obsolescence des licences
- Magique : « ma vie a changé » – Analyse d’impact, CAB, conformité prod / pré prod
Que vous souhaitez auditer votre infrastructure pour obtenir une certification, fiabiliser votre infrastructure, gérer plus avec moins, baisser les risques, optimiser votre budget ou encore gagner des clients – retrouvez tous les conseils sur comment argumenter votre demande d’audits IT.
Restituer correctement votre audit IT
Enfin, afin de réaliser une bonne restitution, vous devez repasser en revue toutes les parties prenantes : le(s) décideur(s). Vous devez aussi identifier les objectifs, à quel audit cela correspond, les raisons implicites et explicites. Lors de la restitution, vous devez être convaincu(e) de son utilité, être factuel, ancrer dans l’action et avoir un langage adapté à vos interlocuteurs.
Vous devez aussi mettre en avant les risques encourus :
- Gouvernance : relatifs à une perte de compétences
- Finance : mauvaise maîtrise des coûts, dette technique, frais/amendes à cause de licences
- Opérationnel : perte d’exploitation, obsolescence
- Réglementation : non-respect, non-conformité
- Domaines économiques, géographiques, politiques, sociaux : implantation géographique (piratage, vol de données)
- Fraude, vols : intrusion
- Environnemental : consommation énergétique excessive
Réaliser ses propres audits
Découvrez la méthode complète en vidéo pour connaître comment réalsier ses propres audits : définir le périmètre, déterminer les contrôles, établir le rapport avec des éléments factuels.
