Pourquoi faire réaliser un audit de votre infrastructure informatique ?
Diverses raisons peuvent vous amener à vouloir faire un état des lieux de votre infrastructure informatique. Un incident de sécurité, un projet d’évolution ou de fusion/acquisition, sont autant de déclencheurs qui conduisent à faire cette démarche. Quel qu’en soit l’enjeu, l’audit permet d’établir une base saine de travail.
- Conséquence d’un problème ou d’une évolution
Votre infrastructure informatique évolue avec votre entreprise et peut devenir complexe et difficile à appréhender. L’émergence d’un problème ou le besoin d’une évolution peut être l’opportunité pour votre entreprise de faire le point sur l’état de vos équipements et de vos fonctionnalités. Un audit approfondi s’impose lorsque vous voulez connaître les forces et les faiblesses de votre dispositif informatique. Notre analyse objective vous permet de disposer d’un état des lieux détaillé et de préconisations avancées.
- État des lieux avant une phase d’investissement
L’évolution de votre entreprise passe généralement par une phase d’investissement. Votre partenaire financier peut exiger un état des lieux de votre infrastructure informatique afin de définir un budget précis pour l’informatique. Avec un audit d’infrastructure, nous vous aidons à déterminer si d’importants investissements sont à prévoir dans les années à venir pour accompagner l’évolution de votre société.
- Déclinaison d’une nouvelle stratégie d’entreprise
La phase d’investissement est souvent la conséquence de votre nouvelle stratégie d’entreprise. Que vous souhaitiez avancer dans la digitalisation de votre entreprise, aller vers des outils plus collaboratifs ou opter pour une solution cloud, l’audit d’infrastructure est une étape indispensable à l’élaboration d’un cahier des charges précis.
Les mises en situation d’un audit d’infrastructure
Fusion / Acquisition
Dans le cadre d’une fusion/acquisition, les cabinets financiers chargés de la transaction ont besoin d’évaluer précisément les investissements à réaliser. Dans ce cas de figure, notre audit d’infrastructure très complet nous permet d’assurer que l’entreprise auditée fonctionne sur du matériel récent et une technologie à jour. Nous présentons un inventaire exhaustif des coûts récurrents tels que les licences, l’hébergement ou la maintenance, nous dressons un bilan des contrats en cours et de leur périmètre, et faisons une évaluation des compétences de l’équipe informatique.
À la suite d’un incident de sécurité informatique
Un incident de sécurité est un coup de semonce appelant une réaction immédiate de la part de l’entreprise qui en est victime. De la simple intrusion au vol d’informations ou à la destruction de données, une attaque n’est jamais anodine. Notre audit de sécurité se concentre sur la recherche de la faille et la mise en lumière de la chaîne qui a conduit à cette faille. Suite à cet audit, nous dressons une liste de préconisations destinées à élever le niveau de sécurité de tout le système.
Suite à une rupture de service
La rupture momentanée d’un service peut avoir des conséquences lourdes dans la production ou les services liés. Lorsque notre audit fait suite à ce genre d’incident, nous nous concentrons sur la recherche de la cause de l’incident. Il peut être engendré par un hébergement ou un élément applicatif peu performant. Nous passons alors en revue les contrats de support et les garanties associées, et déterminons si des pénalités sont prévues en cas de défaillance de disponibilité. Nous définissons ensuite, avec le client, quelles seraient les préconisations pour que l’incident ne se reproduise pas. Nous définissons également un plan de supervision permettant la surveillance du système et la mise en place de processus en cas de panne.
Besoin de faire évoluer l’infrastructure
Votre entreprise évolue et l’infrastructure devient peu à peu inadaptée aux nouveaux enjeux de votre organisation. L’audit est le moyen le plus sûr de considérer votre infrastructure informatique dans son ensemble pour l’amener à évoluer en harmonie avec les nouveaux besoins de votre entreprise. L’évolution en multi-sites ou la mise en place de systèmes collaboratifs peuvent par exemple nécessiter de repenser entièrement le système de communication entre les collaborateurs.
Contactez nos experts
Les grandes étapes d’un audit d’infrastructure
Phase organisationnelle
La phase organisationnelle de l’audit d’infrastructure permet de faire émerger tout ce que nous ne pouvons pas trouver nous-mêmes en nous connectant aux serveurs. Cette phase est donc essentiellement fondée sur les échanges entre nos experts et les vôtres, notamment le directeur financier, le responsable RH et le manager de l’équipe informatique. Nous cherchons à obtenir toutes les informations qui nous donneront un panorama complet de la santé de votre infrastructure, que ce soit du point de vue du budget, des ressources humaines ou des contrats.
Phase technique
Lors de la phase technique, nous devons évaluer le système d’information dans son ensemble et en détail. Nous allons estimer la qualité des équipements, leur niveau de sécurisation et leur niveau de maturité technologique. Nous menons cette analyse approfondie en nous connectant aux serveurs, au réseau, au pare-feu, aux équipements de sécurité, au système de messagerie, au système de téléphonie, et à tous les services informatiques de l’entreprise. Cette étude permet de dresser un état des lieux objectif de votre infrastructure et de la comparer à ce qui se fait sur le marché en termes d’équipements, de services et de normes de sécurité.
Phase synthèse et préconisations
Après les phases organisationnelle et technique, nous produisons un document de synthèse reprenant toutes les constatations faites d’un point de vue des utilisateurs et d’un point de vue contractuel et financier. Notre équipe étudie méthodiquement ce rapport et confronte en interne ses observations. Ce challenge que nous nous imposons permet de faire émerger différents angles de vue pour proposer une vue complète à 360° de la situation et offrir une liste de préconisations pertinentes. Cette liste se fonde sur la priorité des actions à mener en fonction de nos observations.
Cahier des charges
La réalisation d’un cahier des charges intervient uniquement dans le cas d’un projet d’évolution pour que vos besoins soit cernés avec précision. Via des entretiens, nous vous aidons à en établir la carte précise. Associé à la description du contexte et à l’inventaire des contraintes évaluées pendant l’audit, votre cahier des charges complet vous permettra de vous engager sereinement dans votre projet d’évolution.
Focus – Phase organisationnelle
L’audit des processus est principalement basé sur des entretiens et cherche à déterminer quels sont les processus actuellement pratiqués, s’ils sont déjà écrits et s’ils sont fiables et fluides. Dans le cas d’un processus de déclaration d’incident, nous cherchons à savoir s’il permet de résoudre l’incident de façon rapide et s’il intègre une bonne communication avec l’utilisateur final. Pour les audits de processus, nous utilisons le référentiel ITIL4.
Interview des acteurs clés
Nous menons des entretiens approfondis avec tous les acteurs-clés impliqués dans la gestion de votre infrastructure informatique. Nous interrogeons notamment votre directeur financier pour faire le point sur les investissements matériels et les contrats en cours, le responsable des ressources humaines pour connaître les moyens humains et le manager IT pour avoir une vue plus précise du fonctionnement de l’équipe informatique. Nous recueillons les informations de toutes les personnes susceptibles d’apporter un éclairage sur le fonctionnement de votre infrastructure.
Point de situation contractuelle
Lors du point de situation contractuelle, nous étudions les différents contrats qui lient votre société à des services informatiques externes. Nous évaluons les contrats logiciels, hébergement, antivirus et infogérance, et vérifions qu’ils couvrent bien le périmètre nécessaire à votre activité. Nous nous assurons également qu’il n’y a pas de clauses qui puissent poser problème dans le futur.
Focus – Phase technique
Audit réseau
L’audit réseau est une étape critique de l’audit puisqu’il touche en même temps à la sécurité des données et à l’activité opérationnelle de l’entreprise. Nous vérifions que votre réseau dispose d’une bande passante suffisante et d’un double accès à Internet afin de pouvoir faire face à toute panne. Nous contrôlons que les équipements répondent aux dernières normes réseau à jour, qu’ils soient adaptés à la taille de votre entreprise et sécurisés. Pour une sécurité optimale, les équipements réseau doivent notamment prévoir un filtrage interne entre deux serveurs, ne pas faire transiter d’information en clair et utiliser des protocoles à jour. Nous analysons également la sécurité du wifi. Pour mener cet audit, nous nous basons sur les recommandations de l’Agence nationale de sécurité des systèmes d’information (ANSSI), qui publie régulièrement les dernières recommandations en termes de configuration des réseaux.
Audit sécurité
L’audit sécurité est en partie lié à l’audit réseau. Il a pour but de vérifier que les protocoles réseaux ne sont pas obsolètes, et que le réseau dispose d’un pare-feu configuré correctement, qui filtre convenablement les flux, et que les antivirus et antimalwares sont activés et à jour. L’audit sécurité sert aussi à vérifier le système d’authentification. Chaque utilisateur de votre entreprise doit disposer d’un compte accessible uniquement par identifiant et mot de passe. Ce système d’authentification, géré par l’Active directory, doit prendre en charge la gestion de mots de passe complexes et proposer une stratégie de renouvellement régulier des mots de passe. L’audit sécurité contrôle également l’installation d’un antivirus sur chaque poste.
Audit système et stockage
Lors de l’audit système et stockage, nous nous intéressons aux serveurs de votre entreprise et contrôlons qu’ils sont à jour, qu’ils sont correctement dimensionnés pour répondre aux besoins de votre entreprise et qu’ils sont toujours sous garantie. Les serveurs doivent faire l’objet d’un contrôle permanent qui permet de lancer une alerte en cas de problème. Nous contrôlons que ce système d’alerte est lié à un processus prenant en compte tous les cas de figure, selon le jour et l’heure de la panne. Le système de sauvegarde doit se conformer aux normes actuelles en vigueur avec deux supports de sauvegarde a minima, un interne et un externe. Enfin, l’analyse de la performance des serveurs permettra de déterminer, le cas échéant, s’il faut passer à des serveurs de gamme supérieure, ou si l’on doit augmenter leur mémoire.
Focus – Phase synthèse et préconisations
La synthèse de l’audit fait état de l’ensemble des constatations objectives que nous avons relevées au cours de notre analyse. Les préconisations qui découlent de cette synthèse tiennent compte de l’usage que vous faites de votre informatique. Chaque entreprise a des exigences et des contraintes différentes en fonction de sa taille, de sa politique et de ses plans de développement. Nous prenons en compte vos besoins à court, moyen et long terme pour vous proposer un plan d’évolution de votre infrastructure en adéquation avec vos projets
Focus – Cahier des charges
Un cahier des charges est parfois nécessaire lorsque l’envergure du projet nécessite un pointage minutieux des exigences liées à ce projet. Dans le cahier des charges, nous listons l’ensemble des besoins de votre entreprise, en pointant toutes les contraintes, qu’elles soient organisationnelles, financières ou techniques.