Les raisons de solliciter un audit sont nombreuses. Vous avez identifié une problématique sans réellement savoir comment l’adresser (problème de sécurité, coûts de développement élevés, difficulté à livrer de manière continue, faible performance de votre application, etc).
Vous souhaitez faire évoluer vos applications (changement de technologie, d’hébergement, de dépendances...).
Ou encore vous assurer de la pérennité de votre infrastructure, en terme de sécurité, de prévention des risques, de performance, de documentation.
En procédant à un audit de votre existant, vous aurez ainsi la capacité d’identifier précisément les forces et faiblesses de votre dispositif technique et d’obtenir ainsi des recommandations concrètes sur les actions à suivre, qu’elles soient sur le court terme ou sur le plus long terme.
Le déroulement de l’audit s’effectue suivant 4 étapes clés :
Solliciter un audit de votre application ou de votre infrastructure n’est pas sans interrogations. Les questions sont nombreuses, et choisir le bon partenaire pour vous accompagner est essentiel.
On imagine souvent les audits comme des comptes rendus techniques et froids. C'est ce que nous essayons d'éviter.
Nous auditons évidemment des éléments techniques mais nous tâchons au mieux de faire le lien avec les risques réels.
Notre audit type évalue plusieurs critères : technique (code, infrastructure, sécurité), humain (risque en cas d'absence d'une personne clé), processus (documentation, capacité d'onboarding…).
Le but de l'audit est de mettre ces critères en regard des enjeux définis en amont.
Un audit est là pour s'assurer de la bonne adéquation des solutions mises en place par rapport aux enjeux définis par la direction. Le risque 0 n'existe pas et le système d'information est un écosystème en mouvement.
L'audit ne cible personne en particulier, il évalue des processus et des éléments techniques. Sur l'aspect humain, il peut révéler des besoins en formation ou des risques liés au fait qu'une seule personne sache comment fonctionne un élément du système d'information.
La démarche d'audit est une démarche positive d'amélioration continue, aussi bien des systèmes que des individus.
La durée d'un audit dépend de plusieurs facteurs : le type d'audit (code, infrastructure), la surface à auditer (nombre d'applications, taille de l'infrastructure) mais également du nombre d'interlocuteurs.
Un audit standard (une seule application, ou une infrastructure faisant tourner une seule application) dure entre 3 et 5 jours. Il faut également prévoir un créneau de restitution d'environ 2h.
En premier lieu nous avons besoin d'une vision la plus exhaustive possible de la situation qui mène à cet audit. Il faut définir les enjeux de cet audit. La transparence est de mise et les équipes (internes ou externes) doivent être informées.
De notre côté nous devons être informés si des dysfonctionnements ont déjà été relevés afin de cibler leur origine. Une fois ces objectifs définis nous aurons besoin de tous les accès nécessaires (code, infrastructure, contact des personnes).
Non, nous n'analysons que les applications et infrastructures sur lesquelles notre avis peut être pertinent. En l'occurence nous n'expertisons que les domaines techniques que nous utilisons nous même tous les jours.
Côté infrastructure les solutions sont généralement plus génériques, ce qui nous permet de couvrir une gamme très large.
Nous n'auditons par contre pas les infrastructures à base de Windows Server.
Oui, nous effectuons des audits de sécurité. Pour les tests d'intrusions (pentest) nous faisons par contre appel à des partenaires.
Notre audit comprend dans la grande majorité des cas un plan d'action composé de préconisations.
Dans la mesure du possible, si nous avons assez d'information, nous essayons également de calibrer l'effort à fournir.
Cette partie est détaillée pendant la phase de restitution et c'est à vous de déterminer quelles actions vous choisissez de mettre en place ou non selon les risques que nous avons pu identifier.
