Un audit informatique se déroule en 4 étapes.
- Définition précise de l’environnement : récolte des informations, schématisation des processus informatiques, définition des rôles et des responsabilités, analyse des forces et des faiblesses.
- Analyse des processus informatiques, définition et évaluation des risques et des contrôles.
- Tests des contrôles.
- Tests en grandeur réelle.
Afin d'adapter ses investigations au sujet de son audit, l'auditeur INEÏS peut se baser sur les référentiels suivants :
- CobiT1 : cadre de contrôle aidant le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements. CobiT décompose tout système informatique en 34 processus regroupés en 4 domaines (planification et organisation , acquisition et mise en place, livraison et support, surveillance).
- ITIL2 : ensemble d'ouvrages recensant les bonnes pratiques ("best practices") pour la gestion des services informatiques. Ils traitent de l’organisation des systèmes d’information, de l’amélioration de ces systèmes, de la réduction des risques, etc.
- EBIOS3 : méthode permettant d'apprécier les risques informatiques, de contribuer à leur traitement en spécifiant les exigences de sécurité à mettre en place, de préparer l'ensemble du dossier de sécurité nécessaire à l'acceptation des risques et de fournir les éléments utiles à la communication relative aux risques.
Pour en savoir plus, cliquez ici.
1- Control Objectives for Information and related Technology
2- Information Technology Infrastructure Library
3- Expression des Besoins et Identification des Objectifs de Sécurité, mise au point par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information)
