L'audit informatique (appelé aussi audit des systèmes d'information) consiste à évaluer les risques des activités informatiques, dans le but d'apporter une amélioration et de maîtriser les systèmes d'information.

La démarche d´audit est la même, qu´il s´agisse d´un grand compte ou d´une PME. Elle correspond toujours au besoin de faire faire un diagnostic par un expert indépendant pour établir un état des lieux, définir des axes d´amélioration et obtenir des recommandations pour palier les faiblesses constatées.

Quelles sont les principales étapes d'un audit informatique ?

La première étape consiste à prendre connaissance de manière extrêmement fine des attentes du client. Il convient de bien comprendre ses besoins et de les reformuler.

Ensuite, une lettre de mission sera rédigée. En plus de définir la procédure à venir, elle a deux objectifs principaux :
- elle est le contrat qui lie l´entreprise et l´auditeur ;
- elle permettra d´informer les différentes personnes impliquées de l´arrivée d´un audit dans l´entreprise. Elle est dans le même temps -auprès des salariés- une légitimation de cet audit par la direction.

Troisième phase : le recueil de toutes les informations nécessaires pour préparer la mission. Il s´agit de récolter les éléments relatifs à la culture de l´entreprise, au contexte général toujours en corrélation avec le système d´information.

Ensuite, des rendez-vous sont organisés avec les personnes concernées.
La cinquième étape consiste en la solidification de toutes les informations, soit par le croisement des entretiens, soit éventuellement par des contrôles sur le système avec des logiciels spécifiques. Par exemple, lors d´un audit d´applications, un audit par les données est efficace pour contrôler que les données sont bien entrées dans les applications, qu´elles sont bien traitées par celles-ci et enfin que les rapports sont générés convenablement.

Enfin, une réunion de synthèse est organisée entre l´auditeur et les personnes intéressées. Il s´agit de s´assurer ensemble :
- que les questions de l´auditeur ont été bien comprises ;
- que les réponses ont été bien interprétées.

Le rapport est ensuite rédigé, de plusieurs manières (concis et plus complet), car il s´adresse en général à plusieurs types de publics. Le rapport détaillé expliquera les attentes de départ, le contexte, les limites, les faiblesses constatées, leur importance relative et les solutions. Un rapport d´audit doit être clair et didactique. En aucun cas il ne doit être technique : c´est là la différence entre un audit et une mission d´expertise.

Que représente un audit en termes de coût pour l'entreprise ?

Le coût d´un audit se calcule en jours/homme. Et beaucoup de variables entrent en ligne de compte, telles que le nombre de sites concernés ou encore la complexité des problèmes rencontrés dans le système d´information. Un audit dure au minimum cinq jours, et cela peut s´étaler sur une période beaucoup plus importante. Aussi, il m´est difficile de quantifier précisément le coût d´un audit informatique, dans la mesure où cela recouvre autant de réalités que d´entreprises. Dans tous les cas, un devis précis doit toujours vous être présenté par votre prestataire avant le début de la mission.

Et en termes d'économies ?

Les économies induites par un audit informatique peuvent être de plusieurs types :
- une procédure d´audit peut vous faire réaliser des économies immédiates en mettant le doigt sur des dépenses inutiles ;
- la réduction des risques est également source d´économies potentielles. En effet, en préconisant des sauvegardes régulières par exemple (et donc en vous évitant la perte de données), l´auditeur vous fait faire potentiellement de grandes économies !

ndlr : Avec un prix moyen de la journée à environ 1000 euros, le Groupement national des professionnels de l´informatique (GPNI) estime le coût global de la procédure entre 500 et 3000 euros.