L’audit d’acquisition ou Due Diligence a pour principal objectif de donner une idée précise de la situation d’une entreprise avant une transaction. C’est une action essentielle de précaution, visant à se prémunir contre tout élément négatif. Très fréquemment, les éléments que l’on souhaite auditer et garantir « non risqué » sont d’ordre stratégiques, financiers, sociaux , fiscaux et environnementaux plus récemment. Tous ces paramètres semblent évidents à contrôler pour assurer la transparence de l’opération.
Toutefois, l’ère numérique que nous vivons pousse une grande majorité d’entreprise à transformer ces process pour gagner en compétitivité. Acquérir une entreprise en retard sur la digitalisation voir en défaillance sur son système d’information peut s’avérer pénalisant.
A l’inverse, racheter une entreprise dotée d’un SI moderne, souple, fonctionnel et innovant, c’est potentiellement un gain de compétitivité important et une stratégie informatique qui n’est plus à faire.
L’objectif de cet article est de vous donner dans les grandes lignes le périmètre d’un audit technique et fonctionnel informatique ainsi que l’évaluation des risques.
Audit technique
Cette première étape est la phase d’analyse technique, permettant de recenser l’ensemble des éléments d’infrastructure composants le SI technique.
Audit Réseau
Cet audit est réalisé grâce à l’inventaire de l’ensemble des éléments actifs réseau (routeur, commutateurs, etc…) présents sur les sites de l’entreprise.
Le synopsis de l’ensemble de l’infrastructure auditée est résumé par le biais de schémas avec une vigilance particulière sur :
- La qualité des Trunk (branche principale des VLans)
- La qualité de la redondance
- La qualité de la segmentation
Enfin, une phase d’audit de débit viendra compléter cette phase d’inventaire à travers la mesure d’un certain nombre d’indicateurs de trafic et des erreurs présentes dans la circulation des données sur le LAN.
Audit sécurité
Cette étape aura pour objectif de qualifier le niveau de risque de l’entreprise, lié à des défauts de sécurité informatique, en procédant aux contrôles suivants :
- Firewall / Antivirus / Antispam / IPS
- Filtres Web
- Outil de supervision / Gestion des logs
- Mode de déploiement / Redondance
- Systèmes d’authentification / contrôle des accès / gestion des mots de passe
Audit des systèmes de stockage
Cette phase de l’audit a pour objectif d’étudier l’architecture informatique mise en œuvre autour des serveurs de production, de leurs systèmes d’exploitation, de leurs rôles sur le réseau et de l’ensemble des équipements périphériques qui leurs sont rattachés (stockage, sauvegarde, onduleurs…).
Des points de focus sont faits sur :
- Haute Disponibilité des services critiques (local ou distant)
- Haute Disponibilité du matériel
- La structure de l’Active Directory
- L’état des lieux de la politique de sauvegarde et de snapshot
- L’existence actuelle de plans de reprise ou de continuité d’activité
AUDIT Fonctionnel
Au regard de la vision stratégique de l’entreprise et de son schéma directeur, l’audit fonctionnel évalue la pertinence et la maturité du socle applicatif. L’objectif est d’identifier les points forts et les périmètres fonctionnels en difficulté et ainsi évaluer si le SI permet de soutenir la vision ou si au contraire il la freine.
Schéma directeur
Cette phase évalue la présence et la qualité du schéma directeur construit pour définir la vision et la stratégie informatique de l’entreprise. En cas d’absence de celui-ci, il est recueilli de manière synthétique par le biais d’interview des personnes clées afin d’obtenir à la fois leurs vision de la société et la projection informatique. Une collecte et une évaluation également des données financières propre au service informatique est faite (budget, investissement, contrats, facturation…).
Inventaire des processus métiers vs applications
Une liste exhaustive des processus et services clés de la société auditée est établie. Pour chacun des processus, l’objectif est de marquer la présence ou non d’outils logiciel encadrant le processus.
Un élément important du développement actuel des sociétés est le volet marketing digital. Il fait partie des process inventoriés et recenser au niveau de ces outils utilisés.
Base documentaire
Comme dans le bloc technique, la présence et la qualité de la base documentaire ainsi que la présence d’une cartographie applicative et de diagramme de flux fonctionnel est évaluée. La cartographie permet de représenter l’interaction qu’il existe entre chaque application et les flux qui transitent entre chacune. Ces éléments sont primordiaux pour permettre au SI fonctionnel d’être maintenu et permettre les évolutions futures. Plus les applications communiquent entres elles en interne ou en externe plus elles sont complexes à piloter et plus il est difficile de les faire évoluer, ainsi la présence d’une documentation claire sur ces interactions devient alors critique. L’objectif de cette phase est à la fois d’évaluer la complexité des interactions entre applications et de contrôler que la documentation est présente et de qualité pour ainsi évaluer l’agilité du SI et ses zones de risques.
Evaluation des risques
Plan de relance de l’activité
L’évaluation faite est la capacité du SI technique à faire face à un sinistre touchant directement son activité.
En combien de temps la société est capable de rependre son activité? Quels moyens sont mis en place pour y faire face? Et en vision synthétique, quels coûts en jours de chiffres d’affaires l’interruption de service peut entraîner?
Sécurité des données
La sécurité des données est un enjeu primordial. En fonction de la nature des données collectées par l’entreprise, le risque est à la fois stratégique en terme de recherche et développement et contentieux si les données sont sensibles (médicales, personnelles, secrètes…).
L’évaluation de ces risques est faite au regard de :
Etat des sauvegardes et présence des outils indispensables à la pérennité des données de la société.
La sécurité et la présence d’équipements spécifiques type firewall ou autres directement liés à l’activités de la société ainsi que leur niveau de configuration / capacité technique réelle.
La présence d’une politique de gestion de mot de passe ou tout autre processus directement lié à la sécurité du système d’information.
Base documentaire incomplète – savoir non partagé
Mettre en place une base documentaire est devenu critique notamment dans le cas courant où le système informatique est piloté par une équipe de taille réduite où le savoir et le savoir-faire n’est pas partagé. Plus le savoir est concentré, plus la structure est en risque. Ce savoir doit donc être documenté au maximum et ainsi garantir la continuité de service en cas de départ d’un ou plusieurs collaborateurs de l’équipe informatique.
Contrôle des conformités éditeur (Microsoft et autres)
Le système d’information est généralement consommateur de licences en quantité importante. Cela peut être les licences Microsoft ou d’autres éditeurs (VMware, Citrix, autres…). Dans cette étape, l’évaluation du risque est faite au niveau du coût potentiel d’une remise en conformité ou d’un redressement à la suite d’un contrôle de ces éditeurs.
En résumer, l’objectif principal d’un audit informatique est avant tout d’évaluer si la société concernée par l’audit à un profil plutôt de « sous-investisseur technologique », d’investisseur technologique constant ou de « sur-investisseur technologique ». Le profil identifié peut engendrer : un risque financier, de compétitivité voir de paralysie de l’entreprise lorsque la société acquise est en sous-investissement. En revanche, un profil de sur-investisseur peut vous apporter une avancée technologique.
Contactez-nous pour échanger sur votre acquisition.
