L'audit des systèmes d'information insuffisamment intégré à la gestion des risques - Actualités CSO Documentation

L'audit des systèmes d'information insuffisamment intégré à la gestion des risques

le 26/06/2008, par David Lentier, Documentation, 387 mots

Le cabinet Mazars est spécialisé dans l'audit et le conseil aux entreprises. Il s'est penché sur l'audit des risques liés aux systèmes d'information dans les entreprises françaises au travers d'une enquête menée auprès de 143 organisations. L'informatique doit dépendre du contrôle interne Mazars souligne que la maîtrise de leur système d'information est imposée aux entreprises par les contraintes réglementaires. Et que dès lors, cette maîtrise sort du seul domaine technique, et des Directions des Systèmes d'Information (DSI), pour entrer dans celui du contrôle interne. Un voeu pieux puisque l'enquête montre que la fonction d'audit des systèmes d'information est encore jeune. Elle est encore assez souvent attachée techniquement à la DSI, fréquemment avec des effectifs réduits, malgré les enjeux. « Seules 18% des entreprises ont des effectifs dédiés à l'audit des systèmes d'information, relève Olivier Lenel, associé de la ligne métier Management du contrôle interne de Mazars. L'audit informatique rattaché à des missions plus larges Cette timidité en matière de mobilisation peut également s'expliquer par le fait que seules certaines entreprises sont soumises à une réglementation contraignante(Bâle 2, Solvency 2, Sarbanes Oxley, ...) telles que celles du secteur banque et assurance. Au global, selon l'enquête, 62% des entreprises intègrent un département d'audit interne. A partir de 400 millions d'euros de chiffre d'affaires, ce département est d'ailleurs quasi systématiquement présent. Ces départements d'audit ont une vocation généraliste, et disposent le plus souvent d'un effectif maximal de quatre auditeurs. Plus des deux tiers des entreprises rattachent alors l'audit informatique à leurs missions d'audit plus larges. Recours à des prestataires à l'occasion d'une mutation importante Reste que 38% des entreprises interrogées ne mettent pas en oeuvre d'audit de l'informatique. Et pour la grande majorité de celles qui le réalisent, l'audit de l'informatique représente moins d'un quart de leurs activités d'audit. Plus de 80% des entreprises ont donc fait le choix de ne pas avoir d'auditeurs dédiés aux systèmes d'information. Les raisons en sont simples : ce serait trop cher et la tâche est alors déléguée à des prestataires externes. Ce recours à des prestataires répond à un besoin précis et immédiat. Enfin, ces travaux externalisés répondent à trois types de prestations : la validation de l'architecture des systèmes, la validation de la sécurité logique et la validation du plan de continuité. Toutes opérations qui ont souvent lieu à l'occasion d'une mutation majeure du système d'information et où l'opinion d'un tiers paraît indispensable.

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Le marché de la sécurité ne connait pas la crise

Les ventes de solutions de sécurité informatiques devraient croître de plus de 7% par an entre 2012 et 2017 pour atteindre à cette date les 30 Md$, prévoit le cabinet d'étude Canalys. La sécurité fait figure...

le 14/08/2013, par Fabrice Alessi, 345 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »