Audit Informatique

Audit informatique

L'audit informatique (appelé aussi audit des systèmes d'information) est l'évaluation du niveau de contrôle des risques associés aux activités informatiques. L'objectif apparent est d'améliorer la maîtrise des systèmes d'information d'une entité. L'objectif réel est d'assurer le niveau de service adéquat aux activités d'une organisation.


1. Les enjeux

L'audit TI permet de s'assurer que les SI

  • protègent adéquatement les actifs
  • maintiennent l'intégrité et la disponibilité des données
  • procurent de l'information pertinente et fiable
  • consomment les ressources efficacement
  • procurent une assurance raisonnable que les objectifs d'affaires seront rencontrés
  • permettent de prévenir, détecter et corriger des évènements indésirables

2. Rôle de l'auditeur TI

Le vérificateur TI doit contribuer à l'application des normes. Il doit demeurer objectif et agir avec diligence. Il doit servir l'intèrêt des dirigeants avec loyauté et honneteté. Il doit maintenir la confidentialité des informations, maintenir ses compétences. Il doit pour finir informer les parties appropriées de ses conclusions.

Dans le cas d'un système d'information comptable d'une entreprise par exemple , il sera nécessaire de vérifier que les Systèmes d'Information sont en mesure d'assurer l'intégrité des données comptables, la disponibilité optimale de l'application répondant à des besoins prédéfinis ou encore le correct interfaçage entre le système comptable et les autres systèmes de l'entreprise.

Le travail de l'auditeur sera de répondre à cette question en réalisant des investigations concernant le système tant du côté informatique que du côté des utilisateurs (le service comptabilité ou la direction financière).

3. Les domaines de verification des TI

  • la gouvernance des TI : connaître les liens entre la direction et le service TI
  • La gestion du cycle de vie : connaitre la structure et les pratiques courantes de l'organisation
  • Livraion, soutien des services TI
  • protection des actifs informationnels (contrôle d'accès et sécurité de l'information)
  • Plan de continuité des affaires et plan de reprise (en cas de coupure)

4. Les référentiels

Afin d'adapter ses investigations au sujet de son audit, l'auditeur peut se baser sur les référentiels suivant:

  • COBIT (décrivant le fonctionnement complet d'une direction des systèmes d'information)
  • ITIL (un recueil de bonnes pratiques traitant des niveaux de service informatisé)
  • norme ISO
  • ISACA[1] ou afai [2]



La partie suivante ne correspond pas à la définition de l'audit informatique retenue par la profession :



Il existe deux types d'audit informatique :

  • l'audit du besoin ;
  • l'audit de découverte des connaissances.

Audit du Besoin

L'audit du besoin comporte deux parties :

  • l'analyse de l'existant ;
  • la détermination de la cible.

L'analyse de l'existant consiste en un travail de terrain au terme duquel on formalise la circulation des documents "types" d'un acteur à l'autre et le traitement que chaque acteur applique à ces documents, à l'aide de logigrammes (traitements sur les documents) et de représentation de graphes relationnels (circulation des documents).

La détermination de la cible consiste à repérer :

  • les passages "papier - numérique" et "numérique - papier" ;
  • les redondances dans le graphe ("formulaires en plusieurs exemplaires") ;
  • les goulots d'étranglement (dispersion des infrastructures, points de contrôle et validation nécessaires ?) ;
  • le découpage en zones, en sous-graphes : les domaines "métier". Ainsi chaque zone peut être dotée d'un outil spécifique, plutôt qu'un seul système global "usine à gaz".

Ainsi le résultat de l'audit, généralement élaboré et approuvé collectivement, peut donner lieu non pas à un projet, mais plusieurs projets ordonnancés dans une feuille de route.

Audit de Découverte des Connaissances

L'audit de découverte des connaissances consiste à valoriser les données et connaissances existantes dans l'entreprise. La modélisation mathématique des bases de données oblige toujours à "perdre" une partie de l'information, il s'agit de la redécouvrir en "brassant" les données.

Un audit de découverte des connaissances aboutit généralement au montage d'un système décisionnel, mais également être le prélude à un système de gestion des connaissances.

L'audit de découverte des connaissances se pratique de la manière suivante :

  • Pas d'objectifs : on ne sait pas ce que l'on va découvrir ;
  • Un domaine : on sait sur quels métiers on travaille, donc sur quelles bases de données ;
  • une équipe intégrée : travaille in situ, trois acteurs dont un expert "métier", un expert "administration informatique" et un fouilleur de données (voir data mining)
  • Le travail se fait par boucle courte de prototypage
  • Pour faciliter le brassage des données, on modifie leur format et leur disposition relative. C'est le "preprocessing" qui prend le plus de temps
  • À l'aide d'algorithmes à apprentissage d'une part, et de visualisations de données d'autre part, le fouillleur met en évidence des liens empiriques entre les données
  • Les corrélations et liens retenus doivent répondre à trois critères : inconnu de l'utilisateur, explicable a posteriori et utile. La démonstration théorique du phénomène est totalement superflue.
  • Les connaissances détectées sont formalisées (arbres, graphes, tableaux, règles, etc.) puis prototypées logiciellement
  • La validité des connaissances prototypées est vérifiée grâce à un test statistique (khi deux, kappa, etc.) sur un jeu de données dit "test set", différent du jeu ayant servi à l'analyse ("training set")
  • Le test set peut être soit externe au training set, soit recalculé à partir de lui (rééchantillonnage)
  • Si le test est passé, le modèle est mis en production
  • On recommence le cycle.

Concrètement, l'empilement des modèles, eux-mêmes parfois complexes (arbres et récursivité) peuvent aboutir à de vrais problèmes d'architecture informatique :

  • Parallélisation des calculs
  • Volumétrie des données
  • Charge du réseau, en partie due aux mécanismes de réplication

D'un autre côté, le résultat de calcul issu d'un empilement de modèles peut aboutir à des résultats particulièrement pertinents et surprenants.

Liens

Audit de sécurité

  • Portail de l’informatique Portail de l’informatique
Ce document provient de « Audit informatique ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Audit Informatique de Wikipédia en français (auteurs)

Regardez d'autres dictionnaires:

  • Audit informatique — L audit informatique (en anglais Information technology audit ou IT audit) a pour objectif de s assurer que les activités informatiques d une entreprise ou d une administration se déroulent conformément aux règles et aux usages professionnels,… …   Wikipédia en Français

  • AUDIT — Au XIXe siècle, on entendait par «audition de compte» l’action d’examiner un compte, et l’auditeur (auditor ), étymologiquement, est celui qui est «aux écoutes», c’est à dire celui qui observe, examine très attentivement. L’audit est un travail… …   Encyclopédie Universelle

  • Audit — L audit est une activité de contrôle et de conseil qui consiste en une expertise par un agent compétent et impartial et un jugement sur l organisation, la procédure, ou une opération quelconque de l entité. L audit est surtout un outil d… …   Wikipédia en Français

  • Audit de code — En programmation informatique, l audit de code est une pratique consistant à parcourir le code source d un logiciel afin de s assurer du respect de règles précises. L audit peut avoir un but légal (s assurer que les licences des différentes… …   Wikipédia en Français

  • Audit de sécurité — L audit de sécurité d un système d information (SI) est une vue à un instant T de tout ou partie du SI, permettant de comparer l état du SI à un référentiel. L audit répertorie les points forts, et surtout les points faibles (vulnérabilités) de… …   Wikipédia en Français

  • Informatique durable — L informatique a été pendant longtemps considérée comme une industrie « propre », s étant retranchée avec les technologies de l information et de la communication (TIC) derrière des slogans tels que « produits immatériels,… …   Wikipédia en Français

  • Audit ergonomique — L audit ergonomique se distingue des tests utilisateurs par l absence de participation des utilisateurs. L audit se base généralement sur une des méthodes d inspection des interfaces. Sommaire 1 Les méthodes d’inspections. 1.1 L’évaluation… …   Wikipédia en Français

  • Audit de données — Définition L’audit de données est une méthode permettant de faire une analyse complète des informations maintenues dans une ou plusieurs bases de données. L’objectif d’une telle analyse est d’obtenir une vision claire de la qualité des données… …   Wikipédia en Français

  • Information Systems Audit and Control Association — L ISACA est une association professionnelle internationale dont l objectif est d améliorer la gouvernance des systèmes d information, notamment par l amélioration des méthodes d audit informatique. Elle est aussi l organisme promoteur des… …   Wikipédia en Français

  • Association française de l’audit et du conseil informatiques — L Association française de l’audit et du conseil informatiques (ou AFAI) est l association regroupant les professionnels de l audit et du conseil en des systèmes d information en France. Elle a été créée en 1982. Elle se consacre à l audit… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”