Un audit informatique ? Oui, mais pourquoi faire ?

9 Avr | News

Votre réseau wifi souffre de lenteurs, vous avez des postes informatiques fonctionnant sous Windows XP, vous ne savez plus si un Anti-virus a bien été installé sur le poste de votre nouveau commercial ou si celui-ci est bien à jour, vous ne savez pas comment aborder le sujet du RGPD…

Et de quand date le dernier test de restauration de votre sauvegarde de données ? 

Bref, vous commencez à vous réveiller en sueur au milieu de la nuit en pensant à votre serveur hors garantie, et à la catastrophe que cela serait pour votre activité s’il venait à défaillir.

Bonne nouvelle, c’est le signe vous êtes le candidat idéal pour un Audit informatique.

Mais un Audit, à quoi ça sert, quel est la meilleure approche, la stratégie, la méthodologie à appliquer.

Un audit informatique, dans une entreprise TPE/PME ou dans une collectivité, doit s’intéresser à plusieurs aspects de votre infrastructure.

  1. LA SÉCURITÉ
  2. LA PERFORMANCE ET LA FIABILITÉ
  3. LES INVESTISSEMENTS ET PISTES D’ÉCONOMIES (OPEX / CAPEX : https://fr.wikipedia.org/wiki/CAPEX_-_OPEX)
  4. LA GESTION DES PRIORITÉS
  5. L’INNOVATION

1. LA SÉCURITÉ

La sécurité du système d’information repose sur plusieurs piliers, très différents. Nous pouvons les décomposer en quelques catégories que voici :

La sécurité des équipements réseaux

Firewall, switch, plan d’adressage IP. Autant de matériels qui permettent de contrer les tentatives régulières d’intrusion dans votre système, tentatives qui sont effectuées par des robots automates qui scrutent le web de manière aléatoire à la recherche de la moindre faille de sécurité pour s’y engouffrer.

Les logiciels

Spyware, anti-spam Antivirus. Il s’agit d’applicatifs installés sur vos serveurs et/ou postes de travail : des logiciels permettant de protéger vos accès et vos mots de passe. On peut déjà parler d’une forme d’intelligence artificielle compte tenu de la complexité des algorithmes utilisés. Il s’agit surtout de rendre plus fluide et plus efficace votre utilisation de l’outil informatique au quotidien, dans un environnement protégé.

La formation

Une grande partie des fuites de données a pour origine ce que nous qualifierons de « mauvaises pratiques informatiques ». En effet du fait de leur comportement avec vos outils informatiques, inconséquent bien que dénué de toute malice, certains utilisateurs feront prendre des risques à l’intégrité de vos systèmes.

Ainsi un salarié pourra être tenté de lire le contenu d’une clé USB trouvée fortuitement sur un parking, d’ouvrir un mail malveillant malgré un objet ou un expéditeur inconnu, de communiquer un mot de passe lors d’un appel téléphonique, ou bien encore d’envoyer un mail non sécurisé avec des données confidentielles.

Enfin nous citerons le célèbre exemple du mot de passe « Admin», inscrit sur un post-it, plus ou moins glissé sous le téléphone, quand il n’est pas directement collé au bas de l’écran du PC.

Ces comportements apparemment anodins, peuvent avoir des conséquences lourdes. Il est important d’alerter les utilisateurs sur ces dernières afin qu’ils se montrent vigilants, conscients qu’ils participent eux aussi, à la sécurité du système.

La gestion des accès

L’active Directory (Solution de gestion des droits) est un annuaire qui fournit une identification et/ ou une authentification et qui permet d’attribuer aux utilisateurs un accès personnalisé aux données en fonction des missions qui leurs sont attribuées dans l’entreprise. Ainsi l’accès à l’ensemble des données est maîtrisé, et peut être scindé entre les personnes qui ont vocation à n’utiliser qu’une partie d’entre elles, pour des raisons de confidentialité comme de champs de compétences.

(Exemple : Il est plus prudent de ne laisser l’accès des contrats de travail qu’aux équipes en charge des ressources humaines). L’avantage est de gérer de manière centralisée l’ensemble de ses droits et des accès. Cette centralisation permet de contrôler plus efficacement les accès à vos données.

En cas de panne d’un équipement vous devez disposer d’une solution de repli qui permet à votre système de continuer à fonctionner en mode optimal ou dégradé et sans perte de données.

2. LA PERFORMANCE ET LA FIABILITÉ

Le choix d’une architecture serveur adaptée :  Serveur virtuel, Cloud, Cloud Hybride

Les dirigeants entendent beaucoup parler dans les médias et la presse spécialisée des avantages du cloud, de la généralisation des logiciels en mode SAAS etc… Si le principe de l’externalisation des données semble ainsi se généraliser, une étude détaillée et personnalisée est indispensable. Une architecture Cloud peut en effet être vivement recommandée, mais uniquement après l’étude d’un certain nombre de variables : la fiabilité des liens internet, le volume de données nécessaires, le nombre d’accès distants).

A titre d’exemple, si la majorité de vos équipes travaille sur un seul et même site, que vous disposez d’un lien internet faible ou sujet à des coupures récurrentes, ou bien encore si vous utilisez des logiciels qui nécessitent beaucoup de puissance, alors une solution serveur en local peut être la plus appropriée à votre mode de fonctionnement et aux capacités de votre infrastructure.

Des équipements redondés et administrable à distance

Faire l’économie d’un FIREWALL administrable à distance est une grave erreur. De même, ne pas mettre en place une architecture serveur avec deux ESX et une baie SAN, est un mauvais calcul car bien déployée, une telle solution permettra de garantir un taux de disponibilité beaucoup plus important en réduisant le taux de panne.

Identifier et éviter les SPOF (Single point of Failure)

Il est important de réaliser une cartographie précise de l’architecture système et réseaux. Cette dernière doit permettre d’identifier les points de faiblesse qui sont matérialisées par un équipement, qui en cas de panne, pourra mettre en péril l’ensemble du système d’information.

Par exemple :

  • L’intégralité des liens internet transitent pas un équipement qui n’est pas redondé, hors garantie ou mal identifié sur le réseau.
  • Un serveur non répliqué ou non sauvegardé.
  • Un Switch en cœur de réseau et pour lequel aucun équipement de rechange n’a été prévu sur site.
  • Un onduleur en fin de vie.

Sauvegardes externalisée mais accessibles rapidement

La fiabilité des sauvegardes externalisées permet de s’assurer un bon niveau de sécurité. En revanche, il faut aussi tenir compte des aspects de performance, notamment au niveau des temps de récupération des données. En effet, en cas de besoin de restauration d’une sauvegarde, il est de bon usage de pouvoir accéder physiquement à ses données dans un DATA CENTER. Sur un volume important de données, les temps de téléchargement peuvent être parfois trop long pour envisager une réinstallation des données sous quelques heures, et peuvent ainsi paralyser votre activité pendant une durée préjudiciable à votre production.

PRA (Plan de reprise d’activité)

Un plan de reprise d’activité (PRA) est un catalogue (Procédures, méthode, intervenants sécurité) qui permet de prévoir les procédures à mettre en œuvre pour reconstruire un système informatique en cas de panne ou de sinistre.  Ce plan doit permettre au dirigeant de limiter au maximum le temps de résolution des dysfonctionnements ou pannes et de restauration des données lors d’une phase critique. L’objectif est d’avoir une procédure simple et fonctionnelle qui permet d’avancer rapidement sans avoir à prendre, dans l’urgence, des décisions complexes, sous le coup du stress suscité par la nécessité d’une reprise rapide de l’activité.

Une architecture serveur avec deux ESX et une baie SAN permettra de garantir un taux de disponibilité beaucoup plus important. Sans parler des avantages de la virtualisation (via des outils comme VMware ou Hyper V).

En cas de panne d’un équipement vous devez disposer d’une solution de repli qui permet à votre système de continuer à fonctionner en mode optimal ou dégradé et sans perte de données.

Il faut aussi être vigilant sur les garanties et leurs dates d’expirations. Certaines pièces peuvent être compliquées à obtenir, l’approvisionnement en nouvelle pièce équivalente pouvant s’avérer délicat voire très délicat, une fois que vos équipements ne sont plus couverts par la garantie initiale ou une extension de garantie.

Equipements utilisateurs (Double écran, disque SSD)

Il ne faut pas sous-estimer l’importance des équipements  informatiques mise à la disposition des utilisateurs.

Ces deniers peuvent avoir un impact significatif sur leur productivité.

Par Exemple :

L’utilisation de disques SSD permet des démarrages rapides des postes, un accès fluide aux données et aux applications ainsi que des contraintes physiques réduites (moins de nuisances sonores, moins de dégagements de chaleur, moins de sensibilité aux chocs).

Gestion anticipée des garanties

Les leaders du marché (DELL, HP, IBM etc..) offrent un service de très bonne qualité pour le remplacement des composants sous garantie (Intervention en J+1) mais le service se dégrade fortement une fois cette garantie expirée (En termes de disponibilité des pièces d’abord, mais aussi de temps de livraison sur site sans parler des tarifs appliqués).

Certains composants souffrent même de grave pénurie et peuvent mettre plus de 30 jours avant d’être livrés. 

En tout état de cause il est nécessaire d’anticiper les dates de fin de contrat de support afin d’éviter les arrêts d’activités, en souscrivant une extension de garantie comme cela est possible pour un certain nombre d’équipements, ou en renouvelant les installations en temps utiles, lorsque la garantie n’est plus prorogeable.

3. LES INVESTISSEMENTS ET PISTES D’ÉCONOMIES : OPEX / CAPEX :

Il convient d’établir un budget informatique en dissociant les budgets d’investissement et les budgets de fonctionnement.

Certains contrats nécessitent une attention particulière compte tenu de l’évolution rapide des offres du marché qui gagnent en compétitivité :

  • Liens télécom : Le développement de la fibre optique permet de faire des économies d’échelle et de donner accès à des service complémentaires (Cloud, sauvegarde externalisée).
  • Téléphonie : Une étude détaillée des modes de consommation permet parfois de trouver des solutions techniques alternatives et moins coûteuses (VOIP) que les offres de téléphonie « classiques ».
  • Reprographie.
  • Hébergement CLOUD.
  • L’achat d’un serveur peut engager des investissements significatifs alors que la location de ressources dans un environnement CLOUD peut permettre d’éviter des coûts importants tout en garantissant la sécurité et la fluidité de votre système.

4. LA GESTION DES PRIORITÉS

Il existe 2 types de priorités.

Les priorités techniques qui incombent au responsable du SI :

Par exemple :

  • Les données sont-elles en sécurité ? (Sauvegarde efficace ? test de restauration ? toutes les données ont-elles bien été incluses dans le périmètre de la sauvegarde ?)
  • Régler les SPOFS (Doubler les équipements critiques, procéder à des extensions de garantie sur les serveurs)

Les priorités organisationnelles qui émanent du dirigeant :

  • Déménagement dans de nouveaux locaux
  • Croissance rapide de l’entreprise
  • Déploiement d’un nouveau logiciel métier
  • Intégration de nouveaux collaborateurs
  • Lancement de nouveaux produits, nouvelles solutions

L’audit informatique, en permettant des échanges sur l’ensemble des priorités, tant émanant du responsable SI que du dirigeant, permettra de définir un plan d’action qui pourra intégrer à la fois les contraintes techniques liées à la sécurité du SI et les projets de l’entreprise à court comme à long terme.

5. L’INNOVATION

Le but de l’audit informatique est de faire des propositions techniques qui permettent à l’entreprise d’avancer dans sa transformation digitale et dans sa croissance. En clair, supprimer les points bloquants dans l’entreprise afin de fluidifier les process, les échanges, et donc le business.

Par exemple :

  • Mise en place d’outils collaboratifs pour permettre à une équipe commerciale d’être plus efficace sur le terrain (Prise de commande à distance, consultation d’un stock).
  • Informatisation ou automatisation de certains modes de fonctionnement (mise en place d’un outil shop en ligne pour automatiser la prise des commandes clients ainsi que leur gestion).

En conclusion l’audit informatique n’est pas uniquement un relevé des problèmes mais bien une photographie globale du système d’information. Ce travail doit permettre de donner une vision claire au dirigeant sur les enjeux de son entreprise et de fixer les axes de travail et d’amélioration.