Un exemple d'audit informatique pour PME
Un exemple est toujours très parlant. Chaque Entreprise est différente mais les PME ont en commun d’être dans l’incapacité de faire appel à un cabinet d’audit, faute de budget.
Nous avons donc adapté notre audit informatique afin de pouvoir vous faire bénéficier de notre expertise en 3 jours seulement !
La méthodologie de votre audit informatique
En l’absence de Direction Informatique (DSI) ou tout simplement d’élément de pilotage, il est essentiel de bien avoir à l’esprit l’organisation « logique » de votre infrastructure.
Il ne vous viendrait pas à l’idée de bâtir le toit d’une maison avant ses fondations, et pourtant les logiciels sont le plus souvent achetés sans s’interroger sur les qualités de leurs hébergements. De même vous refuseriez de prendre des bureaux où les portes et les fenêtres ne ferment pas et pourtant la sécurité informatique est très souvent absente des critères d’achat.
Il convient donc de redéfinir les 4 grands domaines techniques de l’infrastructure, organisés comme autant de couches interdépendantes.
- Les réseaux et les équipements physiques qui constituent le socle de l'infrastructure
- Les serveurs "virtuels" qui fondent la topologie de l'infrastructure et sa résilience
- Les Systèmes d'Information qui regroupent l'ensemble des outils et des processus de l'Entreprise
- Le parc informatique et plus généralement les terminaux qui sont l'interface avec les utilisateurs
A l’image d’une chaîne, la solidité de l’ensemble tient sur le maillon le plus faible. Chaque domaine va donc être audité selon les bonnes pratiques de la profession et les techniques offertes par l’état de l’art.
20 points d'audit ou de contrôle
Avec 2 jours de présence dans votre Entreprise, nous réalisons des entretiens avec les utilisateurs clés. Nous passons en revue les contrats et la documentation disponibles. Enfin nous faisons le tour de vos éléments techniques afin de pouvoir livrer une grille d’évaluation sur 20 points.
Cette grille est l’élément central de notre compte rendu car elle permet d’établir une note quantitative sur 20 (Attention 20/20 ne signifie pas l’excellence mais la base des bonnes pratiques, autrement dit la note qu’il faut absolument obtenir – Un 10/20 n’est pas une note moyenne dont on peut se satisfaire mais l’illustration que 50% de l’effort reste à fournir).
Chaque point est évalué sur un plan qualitatif avec un code couleur :
- Le point audité est conforme aux bonnes pratiques
- Le point audité est partiellement conforme et une mise à niveau est nécessaire
- Le point audité présente un risque important pour l'Entreprise et doit être corrigé en priorité
Les recommandations, le planning et le budget
Chaque domaine fait l’objet de commentaires détaillés notamment sur les écarts constatés avec l’état de l’art ou les risques encourus
- Liste des non conformités constatées
- Mise en évidence des absences de redondance
- Analyse des plans de sauvegarde
- Adéquation des ressources et des besoins
Parallèlement à ces commentaires techniques, des recommandations sont apportées afin de ramener les points d’audit dans le vert. Certaines recommandations sont faciles à mettre en oeuvre, d’autres peuvent être onéreuses ou impactantes pour l’Entreprise.
Le tableau de synthèse
Un tableau de synthèse conclut notre audit et notre livrable. Il reprend la liste des recommandations et suit un classement par priorité.
En tête de liste, nous rappelons les recommandations les plus critiques pour l’Entreprise (comme une absence de sauvegarde par exemple) ou bien celles pour laquelle le bénéfice est important pour un faible investissement (un gain rapide ou « quick win » pour reprendre le terme Anglo-saxon).
Si possible nous incluons une estimation budgétaire permettant d’évaluer un macro-chiffrage. Bien entendu, compte tenu du temps/homme consacré à la rédaction du livrable (1 jour) ces informations seront à parfaire mais elles permettrons dans tous les cas de jeter les bases d’un plan d’action.
