| |
Technologies |
 |
|
|
| Vous êtes ici : Focus > Comment bien mener un audit informatique ? |
| Comment bien mener un audit informatique ? |
Tout d’abord, afin de démystifier la chose, l’audit informatique n’est pas réservé aux grands comptes ! C’est aussi une nécessité pour les PME... Bien mené, par un expert indépendant, ce diagnostic permet d’établir un état des lieux, de définir les axes de développement et d’obtenir des parades face aux faiblesses décelées
Face à l’audit informatique peu importe que l’on soit un grand compte ou une PME. Cette égalité s’explique simplement par la nécessité de l’exercice. Et, bien que sa portée soit moindre dans une PME que dans un grand groupe, la dépendance vis-à-vis de son système d’information que rencontre toute entreprise, quelle que soit sa taille, justifie l’attention que l’on doit porter à cet exercice... |
| C’est quoi un audit informatique ? |
 |
|
 |
|
|
|
L’audit informatique a pour objectif de contrôler, dans l’environnement de l’utilisateur, que le service est bel et bien rendu par le système d’information (S.I.). En cela, il répond à plusieurs besoins :
• la détection des incidents potentiels
• l’évaluation de la qualité des temps de réponses
• la connaissance du “ressenti“ de l’utilisateur
Ainsi défini, on imagine aisément combien l’audit informatique peut influencer les investissements, en valorisant les gains réalisés et donc en justifiant les investissements déjà consentis, tout comme en proposant des axes d’améliorations. |
| Quand faire intervenir l’expert ? |
|
|
|
|
|
|
De fait, l’audit informatique doit s’effectuer avant l’implantation (par exemple d’un nouvel ERP). Malheureusement, l’audit informatique demandé par les PME fait trop souvent suite à un problème constaté, suite à une implantation. Et si les recommandations de l’expert s’avèrent utiles pour résoudre le problème, les coûts qu’impliquent ces solutions de rétablissement peuvent se révéler importants.
Attention, l’audit doit être mené par un expert indépendant ! Ici, il convient de ne pas confondre audit et prestation d’avant-vente qui sont souvent proposés par les éditeurs. Car si les intégrateurs proposent un “audit” préalable à l’issue duquel ils formuleront leurs recommandations, on peut imaginer aisément dans quels sens ces dernières iront... Donc l’important, ici, est de ne pas mélanger les genres. L’auditeur doit, de fait, satisfaire à 3 critères incontournables :
• l’indépendance, garante de son intégrité intellectuelle
• l’expertise, il doit être un vrai professionnel du diagnostic
• une excellente capacité à remettre des recommandations |
Mais avant de faire appel à un auditeur, il convient d’établir avec précision ce que l’entreprise attend de la démarche. Cette première phase vise à “planter le décor” et à collecter des informations qui seront utiles à l’auditeur. Suite à quoi, une lettre de mission doit être rédigée. Cette dernière doit définir le contenu de l’audit, constituer le contrat qui lie l’entreprise à l’auditeur, permettre d’informer les personnes concernées (le responsable système et réseaux, le management informatique – DSI -, la direction générale, la direction financière ou les directions opérationnelles impliquées) au sein de l’entreprise et, enfin, légitimer la démarche. Ensuite, il est nécessaire de recueillir l’ensemble des informations nécessaires à la préparation de la mission. Au-delà des aspects techniques, il s’agit ici d’éléments relatifs à la culture d’entreprise, à son contexte global, le tout en corrélation avec le système d’information. Après l’organisation des rendez-vous entre les personnes concernées et l’auditeur, une phase de consolidation de l’ensemble des informations, soit par croisement des entretiens, soit par des contrôles sur le système via des logiciels spécifiques, est réalisée. Enfin, une réunion de synthèse doit être organisée entre l’auditeur et les personnels concernés. Cette réunion a pour but de s’assurer que l’ensemble des questions de l’auditeur ont été bien comprises et que les réponses ont été bien interprétées. En effet, une erreur de compréhension à ce niveau peut remettre en cause l’audit et les recommandations qui en découlent...
Un rapport détaillé est ensuite rédigé par l’auditeur. Il reprend l’ensemble des attentes de départ, le contexte, les limites, les faiblesses constatées, leurs importances relatives (principe de hiérarchisation et de gestion des priorités) et les solutions envisageables. |
| Ce rapport n’est en aucun cas composé d’éléments techniques. Il doit servir de base à des évolutions futures qu’elles soient correctives ou évolutives. Mais il ne se substitue pas à l’expertise avant implantation. Cette mission d’audit est donc bien là pour détecter les potentiels d’amélioration et non pour valider les aspects techniques. |
Bien évidemment cette prestation à un coût. Il se calcule en jour / homme. A ce niveau, plusieurs données entrent dans le calcul : le nombre de sites concernés, la complexité des problèmes rencontrés dans le système d’information, etc. A minima, un audit informatique dure 5 jours. Mais il ne s’agit ici que d’une durée indicative, les systèmes complexes, imbriqués, réclament plus de temps. Valoriser le coût d’un audit ne veut en soi rien dire, car il n’existe pas un audit mais des réalités d’entreprises qui différent toutes les unes des autres et influencent directement la durée de l’audit. Pour éviter les mauvaises surprises, un devis précis, établis sur la base des attentes de l’entreprise et la lettre de mission, doit être demandé à l’expert.
Quoi qu’il en soit le coût ne doit pas être un frein à la démarche. Car, in fine, l’audit permet de réaliser des économies sur des investissements initialement envisagés et qui à la lumière de l’audit se révèlent inutiles. Sans oublier la réduction des risques potentiels qui, une fois évités, ne sont plus un poste de dépenses... |
|
