Audit informatique

Un article de Wikipédia, l'encyclopédie libre.

Cet article est une ébauche concernant l’informatique.

Vous pouvez partager vos connaissances en l’améliorant. (Comment ?).

L'audit informatique (appellé aussi audit des systèmes d'information) est l'évaluation des risques des activités informatiques, dans le but d'apporter une diminution de ceux-ci et d'améliorer la maîtrise des systèmes d'information.

L'auditeur se base sur les référentiels suivant:

COBIT (décrivant le fonctionnement complet d'un service informatique)
norme ISO

cf isaca [1] ou afai [2]

La partie suivante ne correspond pas à la définition de l'audit informatique retenue par la profession :

Il existe deux types d'audit informatique :

l'audit du besoin ;
l'audit de découverte des connaissances.

[modifier] Audit du Besoin

L'audit du besoin comporte deux parties :

l'analyse de l'existant ;
la détermination de la cible.

L'analyse de l'existant consiste en un travail de terrain au terme duquel on formalise la circulation des documents "types" d'un acteur à l'autre et le traitement que chaque acteur applique à ces documents, à l'aide de logigrammes (traitements sur les documents) et de représentation de graphes relationnels (circulation des documents).

La détermination de la cible consiste à repérer :

les passages "papier - numérique" et "numérique - papier" ;
les redondances dans le graphe ("formulaires en plusieurs exemplaires") ;
les goulots d'étranglement (dispersion des infrastructures, points de contrôle et validation nécessaires ?) ;
le découpage en zones, en sous-graphes : les domaines "métier". Ainsi chaque zone peut être dotée d'un outil spécifique, plutôt qu'un seul système global "usine à gaz".

Ainsi le résultat de l'audit, généralement élaboré et approuvé collectivement, peut donner lieu non pas à un projet, mais plusieurs projets ordonnancés dans une feuille de route.

[modifier] Audit de Découverte des Connaissances

L'audit de découverte des connaissances consiste à valoriser les données et connaissances existantes dans l'entreprise. La modélisation mathématique des bases de données oblige toujours à "perdre" une partie de l'information, il s'agit de la redécouvrir en "brassant" les données.

Un audit de découverte des connaissances aboutit généralement au montage d'un système décisionnel, mais également être le prélude à un système de gestion des connaissances.

L'audit de découverte des connaissances se pratique de la manière suivante :

Pas d'objectifs : on ne sait pas ce que l'on va découvrir ;
Un domaine : on sait sur quels métiers on travaille, donc sur quelles bases de données ;
une équipe intégrée : travaille in situ, trois acteurs dont un expert "métier", un expert "administration informatique" et un fouilleur de données (voir data mining)
Le travail se fait par boucle courte de prototypage
Pour faciliter le brassage des données, on modifie leur format et leur disposition relative. C'est le "preprocessing" qui prend le plus de temps
À l'aide d'algorithmes à apprentissage d'une part, et de visualisations de données d'autre part, le fouillleur met en évidence des liens empiriques entre les données
Les corrélations et liens retenus doivent répondre à trois critères : inconnu de l'utilisateur, explicable a posteriori et utile. La démonstration théorique du phénomène est totalement superflue.
Les connaissances détectées sont formalisées (arbres, graphes, tableaux, règles, etc.) puis prototypées logiciellement
La validité des connaissances prototypées est vérifiée grâce à un test statistique (khi deux, kappa, etc.) sur un jeu de données dit "test set", différent du jeu ayant servi à l'analyse ("training set")
Le test set peut être soit externe au training set, soit recalculé à partir de lui (rééchantillonnage)
Si le test est passé, le modèle est mis en production
On recommence le cycle.

Concrètement, l'empilement des modèles, eux-mêmes parfois complexes (arbres et récursivité) peuvent aboutir à de vrais problèmes d'architecture informatique :