Les Audits

Les audits constituent une part importante de l’activité de SARM Conseil et se déclinent en 4 catégories.

Audit Risque

Ce type d’audit répond à une préoccupation majeure des Directions Générales, il s’agit d’identifier et de maîtriser les risques auxquels sont exposées les organisations et les activités opérationnelles. La démarche proposée est conforme à la norme ISO 27001 et s’appuie sur la méthodologie EBIOS. Cette méthode est une approche de type top-down, elle consiste à identifier les menaces auxquelles l’Organisation et les Systèmes d’Information sont exposés, puis de rechercher dans les systèmes les vulnérabilités qui transformeraient les menaces identifiées en risques réels. L’étape suivante consiste à traiter les risques en fonction de l’impact, de la probabilité et des coûts.

Les solutions sont de différentes natures :

  • Un traitement direct (par exemple la redondance d’un équipement ou d’un serveur critique permet de fonctionner même en cas de défaillance d’un des équipements ou d’un des serveurs).
  • Un contournement (C’est par exemple une procédure dite dégradée qui peut consister à prendre les demandes des clients manuellement afin de les saisir en différé lorsque le système informatique sera rétabli).
  • Un transfert du risque (cela concerne souvent les risques difficilement maitrisables pour lesquels les organisations prennent des assurances ou sous traitent les activités).

Un rapport d’audit comprenant une cartographie des risques, un plan d’action pour les risques couverts et un tableau de bord de suivi sont les principaux livrables fournis dans ce type de prestation.

Audit Technique

Un audit pour évaluer les forces et les faiblesses d’un système technique (infrastructure composée de postes de travail, de serveurs et de réseaux) sur lequel reposent les applications informatiques. Les forces et les faiblesses sont analysées par rapport aux contraintes (disponibilité, sécurité, performance…) et aux niveaux d’exigence (délai de remise en état de fonctionnement, capacité à supporter des variations de charges, agilité et souplesse dans la capacité d’intégration de nouveaux composants et/ou de nouvelles fonctions…) qui s’exercent sur les Systèmes. Un rapport d’audit comprenant une cartographie des systèmes, une analyse détaillée des forces et des faiblesses, des plans d’action pour des améliorations portant sur les points critiques est le principal livrable fourni dans ce type de prestation.

Audit Organisationnel

Adapter l’organisation et les processus aux contraintes opérationnelles et aux niveaux d’exigences auxquels le SI doit répondre est une obligation des entreprises et des administrations. Sur la base des référentiels les plus partagés par les professionnels (COBIT, ITIL, CMMi …), l’audit organisationnel permet de mesurer l’efficience d’une organisation, d’évaluer sa convergence par rapport aux meilleures pratiques et de proposer les adaptations nécessaires pour répondre aux missions pour lesquelles elle a été mise en œuvre. Un rapport détaillé est fourni, comprenant les forces et les faiblesses de l’organisation par rapport à ses missions, des propositions et des plans d’actions.

Audit Divers

Les audits peuvent concerner une multitude de sujets portant, sur la contractualisation, sur la fourniture des prestations ou sur la conformité des systèmes par rapport à des contraintes réglementaires et/ou légales. Ces audits font l’objet de propositions et de démarches étudiées en tenant compte du contexte et des objectifs des commanditaires.