Audit IT : 5 tests clés pour non-spécialistes

L’audit IT se complexifie au fur et à mesure que les entreprises adoptent de nouvelles technologies. Cette progression nécessite de la part des auditeurs internes de continuellement se mettre à jour et de renforcer leurs connaissances dans des domaines techniques tels que l’intelligence artificielle, le big data, le blockchain ou encore l’Internet des objets. Oui, mais… Dans cette mouvance, on aurait tendance à oublier que toutes les entreprises ne bénéficient malheureusement pas des prestations d’un service d’audit interne doté de spécialistes IT. L’enquête 2015 du CBOK relève que seuls 10% des professionnels de l’audit interne se déclarent experts en SI. Le nombre réduit d’auditeurs SI compétents est un problème persistant pour l’audit interne.

L’idée est donc de proposer aux auditeurs internes non spécialistes IT, mais désireux d’intégrer une telle approche dans leur audit de gestion, de commencer par les bases. La méthode présentée ci-après est simple et ne nécessite pas de connaissances techniques poussées. Elle consiste en la réalisation de 5 tests, valables entre autres dans des organisations où le système de contrôle IT (entendez SMSI) a un faible degré de maturité. En premier lieu, il s’agit d’identifier les systèmes informatiques supportant le(s) processus d’affaire pour votre révision. Obtenez une cartographie des systèmes et des flux de données, ceci vous aidera. Puis, une fois votre programme d’audit établi, faites vos tests.

1. Obtenez auprès des RH la liste des mutations du personnel sur une période (y compris les employés temporaires) puis comparez-la à la liste des comptes utilisateurs enregistrés dans les systèmes IT. Identifiez et reportez les exceptions.
2. Comparez la liste des comptes utilisateurs et leurs privilèges à la liste présentant les rôles endossés par chaque collaborateur. Il peut être utile de se procurer l’organigramme détaillé de l’entreprise pour ce test. Assurez-vous que les droits d’accès sont accordés aux collaborateurs en respectant les principes du moindre privilège et/ou du need to know.
3. Obtenez la liste des incidents IT pour la période sous revue et identifiez ceux ayant eu un impact sur le processus d’affaire audité. Analysez-en la cause et cherchez à connaître les conséquences. Par exemple, les pertes financières, la perte de clients ou des retards de production.
4. Procurez-vous la liste des changements sur les systèmes informatiques révisés. Puis, assurez-vous auprès des métiers (responsables) qu’ils aient connaissance desdits changements et qu’ils aient été testés avant leur mise en production.
5. Assurez-vous auprès du service informatique que les données, programmes, environnements informatiques sont sauvegardés selon une politique et des procédures définies. Ces sauvegardes doivent pouvoir être restaurées à tout moment, en cas de besoin.

Bien souvent, la revue des incidents IT (point 4 ci-dessus) permet d’identifier des incidents de sécurité ayant nécessité la restauration d’un environnement informatique depuis une sauvegarde. Ce test vous permet d’avoir un premier retour sur l’efficacité des contrôles de sauvegarde et de restauration.

Christophe Chabard, IT Auditor - Swiss Federal Department of Finance [box type="shadow" align="aligncenter" class="" width="50"] 90% des entreprises ont été victimes de vol ou de perte de données confidentielles au cours des 12 derniers mois (Étude Forrester, PwC et Iron Mountain). 57% seulement des organisations disposent d’une sauvegarde de leurs données. (http://www.archimag.com)][/box]