1 septembre 2020

La mission d’un auditeur des Systèmes d’Information

Contrôle, plans d’actions ou Excel … Ce sont là des termes auxquels on pense souvent en premier lorsque le métier d’auditeur est évoqué, mais à quoi ressemble réellement la vie professionnelle d’un auditeur ?

Tout d’abord, il faut savoir que les audits sont des contrôles internes ou externes qui existent dans différents domaines : financier, informatique, etc. Dans cet article, nous nous concentrons sur le métier d’auditeur des Systèmes d’Information (SI).

Avant de décrire la mission d’un auditeur, commençons par définir un SI. Ce terme couvre principalement trois domaines intrinsèques dans le monde informatique : l’humain, la technologie et l’écosystème (matériel, réglementaire, juridique et contractuel). L’audit des SI revient donc à examiner les processus, pratiques et techniques, utilisés dans la gestion et la protection de ces trois éléments au sein d’une organisation, dans le but d’en évaluer la performance.
En outre, le processus d’audit des Systèmes d’Information peut également inclure l’évaluation de la conformité de l’organisation aux réglementations et lois qui régissent son environnement, ainsi que l’efficience de ses opérations face aux futurs challenges internes et externes.

L’objectif d’une démarche d’audit des SI

Le principal enjeu auquel fait face toute entreprise est l’alignement entre ses objectifs stratégiques et les mesures réellement appliquées en technologies de l’information. Un processus d’audit permet de fournir des recommandations dans le but d’améliorer la qualité et l’efficacité de la gouvernance IT implémentée au sein de l’organisation, afin qu’elle puisse répondre à sa vision stratégique et créer de la valeur. C’est avec cette vision là que l’entreprise décide de commanditer une mission d’audit.

Concrètement, une démarche d’audit commence par le choix du périmètre au travers de la définition d’un certain nombre d’indicateurs de la performance (KPI), les plus stratégiques souvent, auxquels devrait répondre l’entreprise. Les KPI sont souvent issus d’une préalable analyse de risques métiers de l’environnement cible de l’audit. Il s’agit d’une auto-évaluation préliminaire réalisée par l’entreprise elle-même, qui permet de mettre en exergue les indicateurs les plus critiques de l’entreprise.
Ces indicateurs permettent par la suite de créer un référentiel d’audit, en s’appuyant généralement sur un certain nombre de standards et référentiels reconnus (ISO, COBIT, ITIL, etc.). L’audit a donc pour objectif de mesurer l’écart entre ce référentiel et la réalité observée au sein de l’entreprise et recommander des mesures d’atténuation de risques au travers de plans d’actions technico-fonctionnels.

La création d’une cellule d’audit est la décision la plus importante après le choix des indicateurs. Une mission d’audit est souvent menée par une équipe pluridisciplinaire, s’articulant autour d’un chef de mission. Ce dernier est souvent un responsable interne à l’entreprise, ayant des compétences à la fois techniques et fonctionnelles, qui a pour rôle d’orienter l’équipe dans son évaluation et la prise de décisions sur tous les thèmes audités.

Les auditeurs, quant à eux, ont pour mission de mesurer la performance de l’entité auditée et d’identifier les écarts entre les contrôles qui permettent de répondre aux objectifs stratégiques de l’entreprise et ceux qui sont réellement appliqués. Cette démarche est difficilement réalisable par des salariés internes à l’entreprise, car ces derniers ont souvent une vision subjective de l’environnement technique et fonctionnel interne de l’entreprise. Bien que ce mode d’audit permette d’avoir une vision plus complète de la cible contrôlée, les résultats de l’analyse ne bénéficient pas pour autant d’un regard externe, indépendant et neutre de l’auditeur, et donc de résultats plus proches de ceux identifiés par un attaquant externe.
Il est donc important de choisir une cellule d’audit regroupant des personnes externes à l’entreprise, ayant de préférence des compétences différentes qui leur permettent de couvrir l’ensemble des indicateurs de l’audit.

La démarche d’un audit

Un audit des SI se déroule généralement de la manière suivante :

De ces différentes étapes, on conclut donc qu’un auditeur est avant tout un Consultant analyste qui doit avoir des compétences à la fois techniques, organisationnelles et relationnelles, et qui sait s’adapter aux contextes des différentes entités auditées.

Un exemple d’une démarche d’audit d’un indicateur de performance serait l’évaluation de la gestion du risque au sein de l’entreprise.
Afin de répondre à cet indicateur, l’entité auditée fournit souvent des rapports détaillés d’analyses de risques métiers ou d’audits de sécurité qui présentent les résultats sur un périmètre et une période donnés. Une première évaluation serait d’encadrer le périmètre des applications métiers les plus stratégiques de l’entité auditée. Pour ce faire, une cartographie des applications est demandée afin de réaliser des croisements entre celles qui sont couvertes réellement par des analyses de risques et celles qui ne le sont pas.
Une fois que cette première évaluation est réalisée et qu’un plan d’action associé est identifié, une deuxième évaluation des résultats des analyses réalisées sur la période étudiée commence. Ce contrôle évalue les mesures appliquées, les risques résiduels identifiés, les critères portant sur la fréquence de réalisation de ce type d’analyse, ainsi que l’approbation des métiers des risques résiduels identifiés.

Cette démarche est bien entendu différente d’un indicateur à l’autre, en ayant pour objectif commun d’analyser les écarts observés par rapport au référentiel d’audit.

Les limites d’un audit

Souvent, le temps imparti à une campagne d’audits ne permet pas d’analyser le Système d’Information d’une entreprise au complet. Ce dernier n’étant pas fixe dans le temps, il peut faire l’objet de modifications techniques à posteriori, chose qui peut remettre en cause les résultats de l’audit. Il est donc nécessaire de mener plusieurs campagnes d’audits de façon régulière et continue, sur des périmètres variés, en incluant tous les changements subis sur la période analysée.

Parmi les difficultés également rencontrées par un auditeur, on trouve souvent des interlocuteurs qui négocient les éléments de réponse et d’évaluation des indicateurs, dans le but de défendre leurs périmètres. Pour des raisons de confidentialité, d’autres responsables ne souhaitent pas fournir des preuves détaillées à des analystes externes, chose qui ne permet pas de finaliser l’analyse d’un ou plusieurs indicateurs de performance.

Au final, plusieurs scénarios de réponse et différentes réactions face à la mission d’audit peuvent se présenter à un auditeur. La capacité à s’adapter et adapter son discours dans différents contextes sont donc deux compétences que tout analyste doit développer pour ce type de mission.

Les audits des SI chez BSSI

Avec son offre « Diagnostic Cybersécurité », BSSI accompagne ses clients dans leurs démarches d’audit et leur fournit une vision 360° de la sécurité de leurs Systèmes d’Informations. Audits fonctionnels, analyses de preuves documentaires, tests d’intrusions, etc. Une panoplie de prestations englobées dans une seule offre permet de fournir des résultats plus détaillés que ceux d’un audit classique.
Pour plus d’informations, n’hésitez pas à contacter BSSI via LinkedIn ou Twitter.

Imane BELHAOUS
Consultante en Sécurité de l’Information

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *