Audit des systèmes d’information : référentiels, contrôles et étapes pour réduire les risques SI

L’audit des systèmes d’information permet de vérifier si le SI soutient correctement l’activité, protège les données, respecte les exigences applicables et reste maîtrisable dans la durée. Il croise les applications, les infrastructures, les droits d’accès, les processus métiers et la gouvernance pour donner une vision utile des risques et des priorités.

Pour une direction générale, une DSI, un responsable conformité ou un consultant, l’enjeu est double : comprendre ce qui fonctionne réellement, puis décider quoi corriger sans disperser les efforts. Un bon audit SI ne se contente donc pas de relever des anomalies ; il hiérarchise les constats, explique leurs impacts et propose une trajectoire d’amélioration crédible.

Ce que couvre réellement un audit des systèmes d’information

Une évaluation du contrôle interne informatique

L’audit des systèmes d’information analyse la manière dont l’entreprise conçoit, exploite et sécurise son environnement numérique. Il s’intéresse notamment aux contrôles généraux informatiques : gestion des accès, séparation des tâches, sauvegardes, changements applicatifs, supervision, exploitation, continuité d’activité et gestion des incidents.

COBIT : Le cadre de référence pour la gouvernance IT | Découvrez le référentiel mondial pour piloter, gérer et optimiser la gouvernance des systèmes d’information au sein de votre organisation.

Ces contrôles comptent car de nombreux processus métiers dépendent directement du SI. Si une application financière, un ERP ou une plateforme de facturation est mal administrée, la fiabilité des données peut être fragilisée. L’audit vérifie alors si les dispositifs en place permettent de prévenir, détecter et corriger les erreurs ou les usages non autorisés.

Des objectifs adaptés au contexte de l’organisation

Un audit SI peut être lancé pour des raisons très différentes : préparation à une certification, revue de conformité réglementaire, sécurisation d’une migration de données, contrôle d’un prestataire informatique, audit post mortem après incident ou évaluation de la maturité IT. Dans chaque cas, le périmètre doit être défini avec précision pour éviter un diagnostic trop large et peu actionnable.

La valeur de l’audit dépend beaucoup de cette phase de cadrage. Auditer SAP, MS Dynamics AX ou Sage X3 n’implique pas les mêmes tests qu’examiner une politique de sauvegarde, une cartographie applicative ou un schéma directeur SI. L’auditeur doit donc relier les risques techniques aux enjeux opérationnels : production, finance, conformité, sécurité, service client ou continuité d’activité.

LIRE AUSSI  EquiTime planning : 3 modules pour automatiser la gestion des temps et garantir l'équité RH

Référentiels, normes et certifications : à quoi servent-ils ?

Les référentiels donnent une structure à l’audit. Ils évitent de dépendre uniquement de l’expérience individuelle de l’auditeur et permettent de comparer les pratiques observées avec des exigences reconnues. Ils ne remplacent pas le jugement professionnel, mais ils fournissent un langage commun entre auditeurs, DSI, métiers, direction des risques et commissaires aux comptes.

Référentiel ou norme Utilité dans un audit SI Cas d’usage courant
COBIT Structurer la gouvernance, les processus IT et les objectifs de contrôle Évaluation de la maturité IT, pilotage des risques, gouvernance SI
ISO 19011 Encadrer la conduite des audits de systèmes de management Préparation et réalisation d’audits internes ou externes
ISAE 3402 Produire un rapport d’assurance sur les contrôles d’un prestataire de services Centres de services partagés, infogérance, externalisation de processus
ISAE 3000 Encadrer des missions d’assurance autres que l’information financière historique Contrôles spécifiques, conformité, engagements de service
SOC 1 / SOC 2 Évaluer les contrôles liés aux services externalisés et à la sécurité Prestataires cloud, SaaS, services critiques pour les clients
CISA Certification professionnelle reconnue pour les auditeurs SI Validation des compétences en audit, contrôle et sécurité des SI

Choisir le bon cadre plutôt que tout auditer

Le choix d’un référentiel dépend de la finalité. Pour une gouvernance SI, COBIT est souvent plus pertinent. Pour organiser une démarche d’audit, ISO 19011 donne un cadre méthodologique. Pour rassurer des clients sur les contrôles d’un prestataire, ISAE 3402, ISAE 3000, SOC 1 ou SOC 2 peuvent être mobilisés selon le type de service et d’assurance attendu.

La certification CISA, souvent associée à l’AFAI dans l’écosystème francophone, concerne davantage les compétences de l’auditeur que l’objet audité. Elle atteste d’une maîtrise des principes d’audit, de contrôle, de sécurité et de gouvernance des systèmes d’information. Pour une entreprise qui choisit un prestataire, la présence d’auditeurs certifiés peut être un signal de sérieux, mais elle ne dispense pas d’examiner la méthodologie proposée.

Les principaux types d’audit SI et leurs usages

Audit de conformité, de sécurité et de maturité

L’audit de conformité vérifie l’alignement avec des obligations contractuelles, réglementaires ou internes. Il peut porter sur la traçabilité, les habilitations, la conservation des données, les procédures d’exploitation ou les engagements pris envers des clients. Il est particulièrement utile lorsque l’entreprise évolue dans un environnement fortement contrôlé ou dépend de prestataires critiques.

L’audit de sécurité examine les dispositifs de protection : droits d’accès, comptes à privilèges, journalisation, segmentation, sauvegardes, réponses aux incidents. L’audit de maturité IT, lui, prend plus de recul. Il mesure la capacité de la fonction informatique à piloter ses services, gérer les changements, documenter ses processus, anticiper les risques et soutenir la stratégie de l’entreprise.

LIRE AUSSI  Microsoft Azure : louer de l’informatique, comprendre IaaS-PaaS-SaaS et démarrer sans jargon

Audit de projet, de migration et post mortem

Une revue pré ou post implémentation permet de sécuriser un projet avant ou après sa mise en production. Avant le déploiement, l’audit vérifie la gouvernance projet, les tests, la reprise de données, les contrôles applicatifs et le plan de bascule. Après le déploiement, il évalue les écarts, les incidents, la qualité des données migrées et l’adoption par les utilisateurs.

L’audit post mortem intervient après un incident technique, une fraude, une rupture de service ou une défaillance majeure. Son but n’est pas de désigner un coupable, mais de comprendre l’enchaînement des causes : décision tardive, absence de contrôle, paramétrage insuffisant, procédure contournée, surveillance incomplète. C’est souvent un audit très utile, car il transforme une crise en apprentissage organisationnel.

Une manière concrète de lire un SI consiste à observer son empreinte dans l’entreprise : quelles applications laissent des traces dans les décisions, quels flux traversent plusieurs services, quelles données sont ressaisies, corrigées ou exportées hors des outils officiels. Cette lecture révèle parfois des risques invisibles dans les organigrammes : un fichier partagé devenu critique, un compte générique utilisé par habitude, une extraction manuelle qui conditionne un reporting financier. En suivant ces traces, l’audit fait apparaître les failles techniques, mais aussi les dépendances silencieuses qui structurent le quotidien opérationnel.

Déroulement d’un audit SI : de la préparation au plan d’action

Cadrage, collecte et entretiens

La première étape consiste à définir le périmètre : applications, infrastructures, processus, entités, prestataires, période analysée et objectifs attendus. L’auditeur demande ensuite les documents utiles : politiques de sécurité, procédures, cartographie applicative, matrice des habilitations, journaux, comptes rendus de comités, contrats de service, résultats de tests ou rapports d’incident.

Les entretiens complètent cette base documentaire. Ils permettent de comprendre les pratiques réelles, les contraintes métiers et les écarts entre la procédure écrite et l’usage quotidien. Un audit fiable croise toujours plusieurs éléments : ce qui est déclaré, ce qui est documenté, ce qui est techniquement observable et ce qui peut être testé.

Tests, constats et restitution

Les tests varient selon le périmètre. Ils peuvent porter sur un échantillon de comptes utilisateurs, des changements applicatifs, des sauvegardes restaurées, des incidents clôturés, des flux d’interface ou des données migrées. L’objectif est de produire des constats étayés, pas des impressions générales.

LIRE AUSSI  Casque home cinema : comment choisir le modèle idéal pour chez vous

La restitution doit distinguer les risques critiques, majeurs et modérés. Un rapport utile décrit le constat, le risque associé, la preuve observée, l’impact potentiel et la recommandation. Il doit aussi tenir compte de la faisabilité : une mesure théoriquement parfaite mais impossible à déployer rapidement n’aura pas la même valeur qu’un correctif réaliste, priorisé et suivi.

Avant l’audit, il faut définir le périmètre, les interlocuteurs, les documents attendus et les critères d’évaluation.

Pendant l’audit, l’auditeur croise les entretiens, les preuves documentaires, les observations techniques et les tests ciblés.

Après l’audit, le plan d’action doit être formalisé, les responsables nommés, les échéances fixées et les remédiations suivies.

Valeur ajoutée pour l’entreprise et critères de choix d’un auditeur

Un audit des systèmes d’information apporte de la valeur lorsqu’il aide à décider. Il peut réduire les risques IT, renforcer la sécurité des accès, fiabiliser les données, améliorer la conformité, optimiser les processus métiers et soutenir la continuité d’activité. Il peut aussi objectiver des sujets parfois sensibles : dette technique, dépendance à un fournisseur, faiblesse de documentation, gouvernance insuffisante ou manque de supervision.

Pour choisir un auditeur ou un cabinet, il est utile d’examiner plusieurs critères : maîtrise des référentiels, expérience sectorielle, capacité à dialoguer avec les métiers, connaissance des environnements techniques, indépendance, clarté des livrables et qualité de la méthode d’échantillonnage. Les certifications professionnelles, dont CISA, peuvent renforcer la crédibilité, mais elles doivent s’accompagner d’une approche pragmatique.

Le bon prestataire ne se contente pas de lister des écarts. Il explique les arbitrages, met les risques en perspective et propose un plan d’action proportionné à la taille, à la maturité et aux contraintes de l’organisation. C’est cette capacité à relier conformité, sécurité, performance et gouvernance qui fait de l’audit SI un véritable outil de pilotage.

Éloïse Caradec-Lafarge

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut