L’audit de performance

Définition 

 L’audit est un outil d’amélioration continue, permet de : – faire le point sur l’existant (état des lieux), – dégager les points faibles et/ou non conformes (suivant les référentiels d’audit), – mener les actions adéquates qui permettront de corriger les écarts et dysfonctionnements constatés. L’audit peut être demandé : – par la direction de l’entreprise ou le chef du responsable informatique, – par la société confrontée à une migration ou un choix de solution d’achat, – pour permettre de dresser une liste de besoins nécessaires, – pour définir les besoin des utilisateurs du réseau informatique ou conseiller en prévoyant une évolution future du réseau, – pour intervenir afin de justifier la refonte d’un réseau. L’audit informatique a pour objectif d’identifier et d’évaluer les risques associés aux activités informatiques d’une entreprise ou d’une administration. A cette fin, l’audit va se baser sur le cadre réglementaire du secteur d’activité du pays concerné, sur les référentiels de bonnes pratiques existants, sur les benchmarks à disposition et sur l’expérience professionnelle des auditeurs impliqués. On peut distinguer deux grandes catégories d’audit informatique : – La première comporte les audits globaux d’entité durant lesquels toutes les activités ayant trait aux systèmes d’informations sont évalués. – La seconde catégorie correspond aux audits thématiques, ayant pour objectif la revue d’un thème informatique au sein d’une entité (la gestion de projet, la sécurité logique par exemple). L’audit informatique ou audit IT, permet de s’assurer que les activités informatiques d’une entreprise se déroulent correctement quant aux règles et aux usages concernant les bonnes pratiques. L’audit IT va permettre une évaluation du niveau de maturité de l’informatique et même du niveau des systèmes d’information de l’entreprise. Audit de performance de réseau de campus : application à l’UCAD 19 L’audit IT peut concerner l’évaluation des risques informatiques de la sécurité physique, de la sécurité logique, de la gestion des changements, du plan de secours, etc. Il peut également concerner un ensemble de processus informatiques pour répondre à un besoin précis du client.[1] L’audit du réseau informatique vise à optimiser l’efficacité du SI de l’entreprise pour anticiper un dysfonctionnement ou encore réparer une panne ainsi l’auditeur, par analyse, tests, rapports, est à la recherche de la performance. L’audit d’un réseau informatique vise à établir une cartographie précise du réseau informatique d’une structure. Le matériel, le câblage, les logiciels, les équipements d’interconnexion sont testés et analysés afin de générer des rapports de performances. L’idée est de s’assurer que le réseau est optimisé pour les processus métiers de l’entreprise et qu’il répond au niveau de qualité requis pour son système d’information. L’audit de la performance vise principalement à encourager, de façon constructive, une gestion économique, efficace et efficiente. Il permet d’améliorer la performance et également de renforcer l’obligation de rendre compte. Il favorise la transparence car il permet de donner des informations sur la gestion et l’exploitation optimale des ressources du réseau. L’audit de performance apporte de nouvelles informations et connaissances ou une valeur ajoutée. En l’occurrence, il consiste à examiner si les décisions prises sont mises en œuvre de façon efficiente et efficace ainsi qu’à vérifier si l’utilisation des ressources a été effectué de façon optimale. Cet audit ne remet pas en question les intentions et les décisions prises, mais il vise à déterminer si d’éventuelles déficiences ne se posent pas par rapport aux conformités du réseau. L’audit de la performance est centré sur des domaines où il peut apporter une valeur ajoutée aux réseaux d’entreprises et où les possibilités d’amélioration sont les plus importantes. Ce faisant, il contribue directement à fournir à l’administrateur des informations utiles, mais il sert également de base à l’apprentissage et aux améliorations à apporter. 

Domaine d’application de l’audit informatique T 

– Au réseau : • l’étude de l’infrastructure existante éventuellement associé à l’étude de la connectique ; • le bilan et la vérification de la topologie du réseau ; • l’analyse de la configuration matérielle et logicielle du réseau, • la récupération et l’analyse des informations données par les équipements manageables ; • faire usage d’un analyseur de trame et un puissant outil de diagnostic pour faire une étude approfondie de l’information qui circule sur le réseau ; • réaliser une veille technologique ou analyser le réseau suivant certaines tranches horaires. – Au système qui consiste à auditer le fonctionnement chaque processus, les interfaces entre tous les processus et le fonctionnement global du système. – Aux applications doit être effectué périodiquement, pour garantir la totale sécurité d’une application métier.

Typologie d’audit informatique

L’audit informatique s’applique à différents domaines comme la fonction informatique, les études informatiques, les projets informatiques, l’exploitation, la planification de l’informatique, les réseaux et les télécommunications, la sécurité informatique, les achats informatiques, l’informatique locale ou l’informatique décentralisée, la qualité de service, l’externalisation, la gestion de parc et les applications opérationnelles. Le classement des différents types ou formes d’audit informatique dépend : Selon les destinataires: – l’audit informatique – l’audit environnemental est un mécanisme d’audit institué par le Conseil de l’Europe et renvoi à un outil de gestion incorporant l’évaluation systématique, documentée, périodique et objective de l’efficacité des systèmes et des processus organisationnels et gestionnaires conçus pour assurer la protection de l’environnement, en vue de faciliter le contrôle de la gestion des pratiques susceptibles d’avoir un impact sur l’environnement. Son but étant de favoriser une amélioration continue de la performance environnementale des activités industrielles et la collecte de renseignements pertinents avec un rôle explicite attribué à l’auditeur environnemental, qu’il soit externe ou interne. Selon les objectifs (ou préoccupations du demandeur d’audit): – l’audit de régularité ou conformité, – l’audit d’efficacité, – l’audit de management, – l’audit de performance. Selon la nature du commanditaire d’audit: – l’audit interne appelé parfois « audit de première partie » sont réalisés au nom de l’organisme lui-même pour des raisons internes et peuvent constituer la base d’une autodéclaration de conformité. Ils peuvent être opérationnels ou stratégiques suivant l’approche retenue. – l’audit externe appelé généralement « audit de seconde ou de tierce partie » : • L’audit de seconde partie est réalisé pour des parties, telles que les actionnaires ou des clients, ayant un intérêt direct dans l’organisme, ou par d’autres personnes en leur nom. • L’audit de tierce partie est nécessairement réalisé par des organismes externes indépendants. De tels organismes, généralement accrédités, fournissent l’enregistrement ou la certification de conformité à des exigences relative aux systèmes de management de la sécurité de l’information. I-5°) Présentation des différentes approches d’audit I-5-1°) Référentiels Le référentiel est défini comme un ensemble de bonnes pratiques adoptées mais pas normalisées. Nous avons choisi comme exemple : – Le référentiel ITIL Le référentiel ITIL est une collection de livres qui recense, synthétise et détaille les meilleures pratiques pour le management du système d’information Édictée par L’OGC. Le référentiel ITIL aborde les sujets : • organisation du système d’information, • l’efficacité du système d’information, • la réduction des risques si, • la qualité des services informatique.