CONSEIL

29/03/2011

10 conseils pour piloter son audit des systmes d'information

Le concept d'audit des systmes d'information, apparu au cours des annes 1970, a pour but d'valuer la mise en conformit des processus et mthodes de l'entreprise avec un ensemble de rgles en vigueur (fiscales, juridiques, technologiques...). Cependant, l'apparition de la loi de scurit financire ds le dbut des annes 1990, ainsi que les nouvelles exigences rglementaires de type Sarbanes-Oxley (lire l'article du 22/02/2005), ont eu pour effet de gnraliser et de systmatiser la pratique de ces audits.

Lorsque l'entreprise dcide - ou est contrainte - de raliser un audit, elle est alors amene se poser des questions sur la faon de le mener bien et d'apprhender avec le plus d'objectivit possible les rsultats des investigations opres. Les conseils suivants - non exhaustifs - permettent de s'y prparer. 1) Bien dlimiter le champs d'investigation et les enjeux de l'audit L'audit des systmes d'information (SI) couvre des domaines aussi diffrents que ceux lis aux processus, la scurit du systme d'information, la gestion des droits d'accs ou aux applicatifs mtiers (audit de codes...). L'une des principales problmatiques auxquelles les entreprises sont confrontes lors de la mise en place d'une procdure d'audit est "de savoir si les enjeux stratgiques de la direction gnrale sont correctement dclins l'chelle du SI, conformment la gouvernance d'entreprise", note Dominique Moisand, PDG du Cabinet ASK Conseil et vice-prsident de lAFAI (Association Franaise de l'Audit et du conseil Informatique). "La typologie d'audits est vaste et se rpartit entre deux catgories que sont la fonction informatique d'une part et les applications avec les processus mtier auxquelles elles participent d'autre part", fait savoir de son ct Serge Yablonsky, prsident d'honneur de l'AFAI, et directeur du cabinet d'audit Moore Stephens SYC. Et le prsident d'honneur de poursuivre : "l'audit de la fonction informatique bas en gnral sur le rfrentiel CobiT peut couvrir l'audit de la stratgie, de la tactique, de l'oprationnel et de management de la fonction, tandis que l'audit des applications avec les processus mtier couvrira, par exemple dans le cas de la gestion commerciale, la validation des donnes, la fiabilit et la ractivit des traitements ou encore la conformit rglementaire" Mener un audit global sur autant de domaines varis et diffrents les uns des autres ne devrait sans doute pas tre privilgi, et il conviendra de cibler un processus ou un domaine applicatif prcis pour tendre vers un maximum de pertinence et d'efficacit.

2) Se prparer la procdure d'audit La dmarche d'audit sera motive par la volont de l'entreprise ou de la direction des Systmes d'information (DSI) veiller la bonne mise en conformit de ses processus d'une part, mais aussi mieux identifier ses points de vulnrabilit d'autre part. Un pralable l'audit de scurit serait par exemple de dclencher rgulirement des simulations d'attaques logiques et d'analyser les temps de raction de la dcouverte la clture de l'incident, de suivi des procdures dj en place... Il peut tre ncessaire que l'entreprise soit d'abord consciente de ses propres lacunes et de savoir pourquoi elle est susceptible de repenser et de remettre plat tout ou partie des procdures existantes. La procdure d'audit permet la fois de valider une hypothse de vulnrabilit ou bien de dcouvrir une menace ventuelle laquelle l'entreprise ne s'tait pas prpare. Par ailleurs, deux catgories d'audit peuvent tre identifies : les audits planifis et ceux qui sont

raliss dans l'urgence ou " chaud". "Les audits commandits dans l'urgence seront raliss lorsqu'un projet ne se droule pas comme prvu, ou lorsque l'entreprise se retrouve en situation de pr-contentieux avec un fournisseur", indique Dominique Moisand. 3) Sparer le commanditaire de l'entit en charge de l'audit L'audit doit thoriquement tre men par des intervenants indpendants de la DSI, mandats cependant par la direction gnrale, afin de bnficier d'un recul suffisant par rapport l'entit de l'organisation qui est l'objet de l'audit. Cependant, des audits seront commandits spcifiquement par la DSI lorsque les enjeux seront typiquement lis ses processus internes (suivi de la production, suivi de la qualit de service...). Les audits mis en uvre dans le cadre des contrles des accs, la conformit avec les rglementations Sarbanes-Oxley (SOX) ou Loi de Scurit Financire (LSF), dpassent toutefois les proccupations de la DSI, et requirent ncessairement l'implication de la direction gnrale.

Une fois la dcision prise de raliser l'audit, il convient de s'appuyer sur un rfrentiel reconnu
4) Se doter d'une direction de l'audit interne, oui, mais... A priori, seules les grandes organisations sont potentiellement en mesure de ddier et mobiliser des ressources internes adquates visant mettre en place - et de faon la plus transparente possible une cellule ddie l'audit. Mme si cela ne va pas sans poser certaines interrogations. "L'tablissement d'une structure d'audit interne ne peut pas tre viable conomiquement en tant seulement rattache la DSI. Elle doit ncessairement tre rattache un haut niveau dcisionnel et ne pas uniquement concerner la DSI, mais d'autres fonctions de l'entreprise", prvient Dominique Moisand. 5) Recourir des rfrentiels solides Une fois la dcision prise de raliser ou de confier l'excution de l'audit un cabinet externe spcialis, il conviendra de s'appuyer sur un rfrentiel reconnu et bnficiant de surcrot d'une forte lgitimit. Ainsi, parmi la multitude de rfrentiels servant de base la ralisation des audits : ISO, CobiT (Control Objectives for Business and related Technology) dans le cadre de processus transverses, CMMI (Capability Maturity Model Integration), dans celui du pilotage de projet, ITIL (Information Technology Infrastructure Library), pour les services... "L'audit permet de mesurer un cart entre un rfrentiel donn et la ralit observe et prendra galement en considration les bonnes pratiques mtier en vigueur dans l'entreprise", prcise Dominique Moisand. 6) S'entendre sur le rfrentiel choisi L'ensemble des parties prenantes concernes par les enjeux de l'audit doivent avoir une vision sur le rfrentiel qui aura t choisi. Cette premire tape de mise en conformit assurera la clart de la dmarche d'audit qui sera ainsi apprhende dans le temps. Partager un rfrentiel commun consiste galement transmettre et communiquer aux parties prenantes les avances de la dmarche d'audit au fur et mesure de son volution. 7) Prparer les pices indispensables l'audit et en faciliter l'accs Pice matresse de l'audit des systmes d'information : le cahier des charges, qui a pour vocation contractualiser les besoins d'une entit envers un tiers, prestataire de service ou agissant comme tel au sein de l'organisation. Parmi les autres documents ncessaires la ralisation de l'audit, on trouve le plan qualit, les tableaux de bord et indicateurs de performance, la gestion des problmes rcurrents... Une fois ces pices collectes, la structure en charge de l'audit pourra demander accder d'autres types de documents qui concerneront par exemple le suivi des incidents et les procdures de rsolutions de problmes (dans le cadre de l'audit de scurit et des tests intrusifs) ou bien aux lments de construction de l'difice comptable (audit financier).

8) Confier son audit une quipe pluridisciplinaire et indpendante Le dispositif d'audit repose avant tout sur les ressources humaines mobilises dont le nombre variera par essence en fonction de la taille de l'entit, des processus ou applications audits. Plusieurs comptences seront ncessairement reprsentes au sein d'une cellule d'audit qui s'articuleront autour d'un chef de mission.

Le dispositif d'audit repose avant tout sur les ressources humaines mobilises
Disposant de fortes capacits relationnelles, le poste pourra tre tenu par un ex-directeur des systmes d'information disposant par ailleurs de connaissances techniques mais surtout de gestion et de management. Il sera paul d'auditeurs oprationnels, dots : "de capacits d'analyse, d'une propension mener des investigations, dcortiquer des documents aussi bien comptables, techniques que procdurales", fait savoir Dominique Moisand (ASK Conseil). Enfin, des experts dans un domaine spcifique (code, scurisation des rseaux...) pourront ventuellement intervenir ponctuellement, avec pour invitable effet de faire grimper la facture de la prestation d'audit qui pourra atteindre les 2 600 euros par jour. 9) Choisir la frquence et le temps de droulement de l'audit Les audits pourront tre raliss des intervalles ne devant, a priori, pas excder les deux ans, alors que le temps de ralisation de l'audit en lui-mme ne devrait pas excder un mois, selon Dominique Moisand. Ce laps de temps -de la mise en place du premier comit de pilotage au rendu des conclusions d'audit-, semble tre un maximum afin de limiter les effets anxiognes de la mise en uvre d'un audit sur les collaborateurs. Et sans compter sur l'amputation du capital temps des acteurs amens collaborer cette dmarche. Quelques tapes cls peuvent par ailleurs tre identifies : "les principales tapes d'un audit seront notamment de fixer les objectifs, comprendre et cartographier le SI, d'en identifier les forces et les faiblesses, et d'mettre les recommandations pour en rdire les faiblesses et optimiser les forces", indique Serge Yablonsky. Et le prsident de prciser : "une revue de contrle des accs peut ncessiter deux jours pour les procdures, cinq dix jours pour vrifier leur application effectuer et contrler les profils, voire un collaborateur temps plein dans le cas de la mise en uvre de tests d'intrusion". 10) Ne pas sous-estimer les limites d'un audit En tant que prestation forte valeur ajoute, directions informatiques et gnrales attendent beaucoup de la publication des rsultats d'un audit. Malgr tout, les risques de ne pas identifier l'ensemble des faiblesses et menaces d'un processus ou d'un applicatif ne sont pas nuls. Parmi les contraintes et les limites potentielles : un temps imparti l'audit restreint ou une apprciation biaise du contexte fonctionnel et mtier de l'organisation tudie. Enfin, un lger rajustement technique ou organisationnel exerc a posteriori sur le SI peut remettre en cause tout ou partie des rsultats d'un audit.