Processus d'audit du système d'information (4 étapes)

Les principales étapes du processus d'audit du système d'information sont les suivantes:

L'audit est une activité d'évaluation réalisée par des personnes qui ne participent pas activement à la réalisation de l'activité évaluée. Il vise à prévenir et à détecter les abus des ressources de l'entreprise. L’audit du système d’information est effectué par des professionnels qui connaissent non seulement bien les problèmes complexes liés au système d’information, mais qui savent également comment les relier à l’entreprise.

Courtoisie d'image: legacy.bentley.edu/files/uga-information-systems.jpeg

L’audit du système d’information a pour but d’évaluer les systèmes d’information et de suggérer des mesures pour améliorer leur valeur pour l’entreprise. L’audit du système d’information peut être utilisé comme un outil efficace d’évaluation du système d’information et de contrôle des abus informatiques.

Le processus d'audit du système d'information comporte quatre étapes:

1. Mesurer la vulnérabilité du système d’information:

La première étape du processus d’audit du système d’information est l’identification de la vulnérabilité de chaque application. Lorsque la probabilité d'utilisation abusive d'un ordinateur est élevée, il est plus nécessaire de procéder à un audit du système d'information de cette application. La probabilité d'utilisation abusive d'un ordinateur dépend de la nature de l'application et de la qualité des contrôles.

2. Identification des sources de menace:

La plupart des menaces d’abus d’ordinateur proviennent de la population. L'auditeur du système d'information doit identifier les personnes susceptibles de constituer une menace pour les systèmes d'information. Ces personnes incluent des analystes de système, des programmeurs, des opérateurs de saisie de données, des fournisseurs de données, des utilisateurs, des fournisseurs de matériel, de logiciels et de services, des spécialistes de la sécurité informatique, des utilisateurs de PC, etc.

3. Identification des points à haut risque:

La prochaine étape du processus d’audit du système d’information consiste à identifier les occasions, points ou événements où le système d’information peut être pénétré. Ces points peuvent être lorsqu’une transaction est ajoutée, modifiée ou supprimée. Le point de risque élevé peut également être l’occasion dans laquelle un fichier de données ou de programme est modifié ou le fonctionnement est défectueux.

4. Vérifier les abus informatiques:

La dernière étape du processus consiste à effectuer l’audit des points à potentiel élevé en gardant à l’écran les activités des personnes susceptibles d’abuser du système d’information au profit d’applications extrêmement vulnérables.

Portée de l'audit:

L’audit du système d’information peut englober la quasi-totalité des ressources de l’infrastructure informatique. Ainsi, cela impliquera l'évaluation du matériel, l'application du logiciel, les ressources de données et les personnes. Cependant, le logiciel d'application est l'une des ressources les plus importantes qui attirent l'attention d'un auditeur de système d'information.

Audit du logiciel d'application:

L’audit du logiciel d’application a pour objectif d’établir si:

a) la procédure et les méthodes établies pour développer une application ont été effectivement suivies;

b) un contrôle adéquat a été intégré au logiciel d'application; et

c) Des contrôles adéquats sont fournis dans le processus de maintenance du logiciel.

Les objectifs d’une révision détaillée de l’application doivent être influencés par la méthode d’acquisition du logiciel. En effet, la vulnérabilité des logiciels d’application pour les logiciels sur mesure est différente de celle des logiciels clé en main.

Auditeurs du système d'information:

Un auditeur de système d’information est le lien entre l’équipe de développement de logiciels et la direction. Son rôle est différent de l'analyste de système qui interagit pour aider au développement de logiciels d'application. L’auditeur du système d’information évalue l’examen de chaque projet pour le compte de la direction.

L’auditeur du système d’information est associé depuis l’étude de faisabilité du projet de développement du système d’information jusqu’à la mise en œuvre. En fait, l'auditeur du système d'information donne son accord pour la mise en œuvre après un examen en bonne et due forme et une évaluation du progiciel.