Pourquoi auditer annuellement son système d’information SI (*) ?

Il en va de son système d’information comme du reste. Il est nécessaire et même indispensable d’en faire un état des lieux régulier.

Vous faites déjà cela pour d'autres fonctions de votre entreprise ou de votre service. Que ce soit la prévision budgétaire, les RH avec les entretiens individuels des salariés, le contrôle d’inventaire des actifs ou le rapport d’activité …

(*) Le système d'information (SI) est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l'information, en général grâce à un réseau d'ordinateurs. Cette définition holistique est plus large que celle de système informatique.

LE BILAN DU SYSTEME D'INFORMATION POURSUIT DEUX OBJECTIF PRINCIPAUX

  • Faire un état des lieux de l'existant. En effet : en cours d’année, les mouvements de personnel (droits d’accès), l’acquisition de matériels et de logiciels, le développement du télétravail, les cyberattaques dont on a été l’objet font que l’on n’a pas forcément une cartographie précise de son SI et notamment de sa vulnérabilité.
  • Aider à une démarche prospective. Le bilan du SI est un outil d’aide au pilotage des futurs projets informatiques. Cette photographie précise de votre système d’information permet d’en envisager le futur en vous appuyant sur des éléments fiables.

COMMENT METTRE EN OEUVRE UN BILAN REGULIER ? 

  • En interne : en désignant et en formant un collaborateur et lui allouant le temps nécessaire.
  • En externe : en confiant cette prestation à votre prestataire informatique. Il aura pour mission d’assurer et de suivre précisément les actions engagées. Il vous en communiquera régulièrement la synthèse ainsi qu’un bilan annuel.

CELA VA DONC ETRE UNE CHARGE BUDGETAIRE SUPPLEMENTAIRE !

Quel que soit le domaine ou la fonction concernés, un bilan prend du temps (bilan comptable, contrôle d’inventaire, rapport d’activité ...).

La seule question pour le bilan du SI, n’est donc pas si cela va me coûter mais si cela me sert à quelque chose. La réponse est dans la question.

Ne pas connaître ou mal connaître son plan de câblage, les numéros de série de ses PC, les autorisations d’accès de ses salariés, les règles de sécurité informatique ou l’état de ses licences logicielles c’est considérer que l’on exploite des outils sans en maîtriser les tenants et aboutissants.