L’audit d’acquisition, également appelé Due Diligence, est une étape cruciale avant toute transaction. Il permet de comprendre la situation réelle de l’entreprise cible et de se prémunir contre tout risque potentiel. Les éléments à auditer sont nombreux, allant des aspects stratégiques et financiers aux aspects sociaux, fiscaux et environnementaux.
Toutefois, avec l’ère numérique, la digitalisation est devenue un élément clé pour de nombreuses entreprises. En matière d’acquisition d’entreprise, la technologie peut jouer un rôle crucial. Si vous achetez une entreprise avec un système informatique obsolète, vous risquez de perdre du temps et de l’argent. En revanche, si vous rachetez une entreprise dotée d’une technologie innovante, vous pouvez bénéficier d’un avantage concurrentiel significatif.
Dans cet article, nous allons présenter le périmètre de l’audit technique et fonctionnel informatique, ainsi que l’évaluation des risques. Nous verrons comment l’audit d’acquisition informatique peut aider à garantir la transparence de l’opération et à maximiser les chances de réussite de l’acquisition.
Audit technique
La première étape de l’audit d’acquisition consiste à réaliser une analyse technique de l’infrastructure du système d’information (SI). Cette étape permet de recenser tous les éléments d’infrastructure composant le SI technique de l’entreprise cible.
1- Audit Réseau
Autre partie importante de l’analyse technique : l’audit réseau. Il consiste à inventorier tous les éléments actifs du réseau, tels que les routeurs et les commutateurs, présents sur les différents sites de l’entreprise. Le synopsis de l’infrastructure auditée est ensuite résumé sous forme de schémas, en portant une attention particulière à la qualité des Trunk, la qualité de la redondance, la qualité de la segmentation.
Enfin, une phase d’audit de débit complète cette étape d’inventaire. Elle consiste à mesurer un certain nombre d’indicateurs de trafic et d’erreurs présentes dans la circulation des données sur le LAN. Ces mesures permettent de garantir la qualité et la performance du réseau, éléments clés pour le bon fonctionnement du système d’information.
2- Audit sécurité
L’objectif de cette étape est de qualifier le niveau de risque de l’entreprise en ce qui concerne les défauts de sécurité informatique. Pour cela, il est nécessaire de procéder à différents contrôles tels que :
- le Firewall, l’Antivirus, l’Antispam et l’IPS
- les Filtres Web, les Outils de Supervision, la Gestion des logs,
- le Mode de déploiement, la Redondance,
- les Systèmes d’authentification, le Contrôle des accès et la Gestion des mots de passe.
3- Audit des systèmes de stockage
Cette phase de l’audit a pour objectif d’étudier l’architecture informatique mise en œuvre autour des serveurs de production, de leurs systèmes d’exploitation, de leurs rôles sur le réseau et de l’ensemble des équipements périphériques qui leur sont rattachés. Des points de focus sont faits sur :
- la Haute Disponibilité des services critiques (local ou distant),
- la Haute Disponibilité du matériel,
- la structure de l’Active Directory,
- l’état des lieux de la politique de sauvegarde et de snapshot,
- ainsi que l’existence actuelle de plans de reprise ou de continuité d’activité.
AUDIT FONCTIONNEL
Dans le cadre de la vision stratégique de l’entreprise et de son schéma directeur, l’audit fonctionnel évalue la pertinence et la maturité du socle applicatif. L’objectif principal est d’identifier les points forts et les périmètres fonctionnels en difficulté. En effet, l’audit vise à évaluer si le système d’information (SI) permet de soutenir la vision stratégique de l’entreprise ou s’il la freine.
SCHEMA DIRECTEUR : EVALUATION DE LA VISION ET STRATEGIE INFORMATIQUE
INVENTAIRE DES PROCESSUS METIERS VS APPLICATIONS
L’équipe d’audit établit une liste exhaustive des processus et services clés de la société auditée. Pour chacun des processus, elle marque la présence ou l’absence d’outils logiciels encadrant le processus. Il est important de noter que le volet marketing digital fait partie des processus inventoriés et que les outils utilisés à cet effet sont recensés.
BASE DOCUMENTAIRE
Dans le cadre de l’évaluation du système d’information (SI), il est important d’examiner la base documentaire et la cartographie applicative pour évaluer la qualité de la documentation et la complexité des interactions entre les applications.
La cartographie applicative permet de visualiser les interactions entre les applications et les flux de données qui circulent entre elles. Cette représentation est essentielle pour maintenir et faire évoluer le SI fonctionnel. Plus les applications sont interconnectées, plus il est difficile de les gérer et de les faire évoluer. C’est pourquoi il est crucial d’avoir une documentation claire et précise sur ces interactions.
L’objectif de cette évaluation est de vérifier la qualité de la documentation et de mesurer la complexité des interactions entre les applications. Cette analyse permettra de déterminer l’agilité du SI et d’identifier les zones à risque.
Il est donc important de s’assurer de la présence et de la qualité de la base documentaire, ainsi que de la cartographie applicative et des diagrammes de flux fonctionnels. En effet, ces éléments sont indispensables pour la maintenance et l’évolution future du SI.
EVALUATION DES RISQUES
Plan de relance de l’activité
Dans le cadre d’un audit d’acquisition, on s’intéresse également au plan de relance de l’activité. En effet, il est crucial d’évaluer la capacité du SI technique à faire face à un sinistre qui pourrait affecter directement l’activité de l’entreprise. Cette évaluation permet de déterminer le temps nécessaire pour reprendre l’activité et les moyens mis en place pour y faire face. Il est également important d’évaluer les coûts en jours de chiffre d’affaires que pourrait entraîner une interruption de service.
Le plan de relance de l’activité doit répondre aux questions suivantes :
- Quel est le délai de reprise d’activité de l’entreprise en cas de sinistre ?
- Quels sont les moyens prévus pour faire face à un sinistre affectant l’activité de l’entreprise ?
- Quels sont les coûts en termes de chiffre d’affaires par jour en cas d’interruption de service ?
Sécurité des données
La sécurité des données est un enjeu majeur pour l’entreprise. Selon la nature des données collectées, les risques peuvent être stratégiques en termes de recherche et développement, ou contentieux si les données sont sensibles (médicales, personnelles, secrètes…). L’évaluation de ces risques se fait en examinant :
- l’état des sauvegardes et la présence des outils essentiels pour garantir la pérennité des données de l’entreprise ;
- la sécurité et la présence d’équipements spécifiques tels que les pare-feux ou autres équipements liés à l’activité de l’entreprise, ainsi que leur niveau de configuration / capacité technique réelle ;
- la présence d’une politique de gestion des mots de passe ou de tout autre processus lié à la sécurité du système d’information.
Base documentaire incomplète – savoir non partagé
Contrôle des conformités éditeur (Microsoft et autres)
Le système d’information nécessite souvent de nombreuses licences, notamment de Microsoft ou d’autres éditeurs tels que VMware, Citrix, etc. La conformité à ces licences est évaluée afin d’estimer les coûts potentiels en cas de contrôle ou de mise en conformité.
L’audit d’acquisition informatique a pour principal objectif d’évaluer si la société est sous-investie, constamment investie ou surinvestie sur le plan technologique. Selon le profil identifié, cela peut engendrer des risques financiers, de compétitivité ou de paralysie de l’entreprise en cas de sous-investissement. En revanche, un profil de sur investisseur peut permettre d’apporter des avancées technologiques.
Contactez-nous pour échanger sur votre acquisition.
13 rue des Aulnes