Réaliser des diagnostics, analyser les risques, préconiser
des solutions : telles sont les caractéristiques communes des missions
confiées aux auditeurs en SI. Mais derrière des traits de méthodologie
commune, les audits en SI n'en sont pas moins variés : performance
et conformité, sécurité, projets et processus... Passage
en revue de quatre métiers d'auditeurs en SI complémentaires mais
distincts.
» Auditeur en performance et conformité
du SI : les missions qui sont ici principalement confiées aux auditeurs
visent à définir les grandes orientations technologiques de l'évolution
des systèmes d'information dans une optique de conformité réglementaire.
L'une des principales caractéristiques de ce type de postes est de faire
le lien entre le SI et les contrôles opérationnels internes de l'entreprise,
en adéquation avec différentes Lois dont Sarbanes-Oxley, Solvency
II, Bale 2 ou encore de sécurité financière (LSF) en France. Ces missions d'audit
opérationnel et d'évaluation du contrôle interne sont principalement confiées
à des auditeurs appartenant à des cabinets spécialisés
: Deloitte, Ernst&Young, KPMG, Mazars, PricewaterhouseCoopers...
» Auditeur en sécurité des
systèmes d'information : afin de veiller à l'intégrité
et à la protection des données, ces auditeurs sont recrutés
pour des tâches variées et complémentaires s'articulant en
deux grandes familles : sécurité logique d'une part et sécurité
physique d'autre part. La première comprend notamment la sécurisation
des données et des applications, tandis que la seconde est orientée
sur la détection d'intrusion et la sécurisation des accès
physiques des locaux mais aussi sur la mise en place de salles blanches.
"L'audit de projet a sa place parmi les autres audits"
(Philippe Arsac, Eurowin Consulting)
|
L'élaboration d'un PCA (Plan de Continuité d'Activité)
pour faire face à des circonstances exceptionnelles (inondations, incendies...)
constituera d'ailleurs souvent la pierre angulaire d'un audit en sécurité
des SI. Comme pour les audits de performance et de conformité, les prestations
d'audit en sécurité seront principalement confiées à
des intervenants extérieurs tel que HSC, Hapsis, Lexsi ou encore Lynx Technologies.
» Auditeur en processus informatiques
: ayant émergé dans le courant des années 90, les audits
en processus informatiques sont aujourd'hui devenus une tendance forte. Les référentiels
les plus pratiqués sont ITIL (Information Technology Infrastructure
Library) pour les services et CobiT (Control ojectives for information
and related Technology) pour la maîtrise des SI. Il est ici très
fréquent de voir les auditeurs réaliser en amont des audits de maturité
et de cartographie des risques avant de constituer et proposer aux entreprises
des plans d'actions ad hoc.
De toutes les catégories d'audits, l'audit des processus informatiques
est celui qui pourra être le plus fréquemment confié à
des collaborateurs internes, sans pour autant qu'ils aient suivi des formations
spécifiques. Cabinets et consultants indépendants de tous bords
se bousculent pour capter une part de ce marché en pleine croissance.
» Auditeur en projets informatiques :
utilisés pour s'assurer de l'adéquation des solutions aux exigences
des utilisateurs - et des cahiers des charges -, les audits de projet sont de
plus en plus fréquemment réalisées au sein des DSI. Ces types
d'audits permettent ainsi de rendre compte des éventuelles dérives
des projets en formalisant des points de contrôle et d'évaluation
précis.
"L'audit de projet a sa place parmi les autres audits, en particulier
pour les entreprises importantes ayant les qualités d'organisation et de management
associées", note Philippe Arsac, P-DG du cabinet de conseil Eurowin Consulting.
Il est vrai que ce type d'audits ne s'adressera pas à tous les types d'entreprises
mais à celles dont les projets sont à la fois variés, complexes,
et nombreux. Parmi les différents types d'audit de projet, on trouve principalement
les audits des projets stratégiques, en phase amont de la réalisation
du cahier des charges ou encore les projets de déploiement multisite.