Audit informatique - Définition

La certification des auditeurs informatique

On pourrait imaginer une certification des directions informatique ou des applications informatiques. Cela n'existe pas. Il existe par contre une certification de la qualité des projets informatiques : CMMI. En matière de qualité de service fournie par l'exploitation il y a la certification sur la norme ISO 20000 qui est un sous-ensemble d'ITIL.

Il existe par contre une procédure de certification des outsourceurs : SAS 70, Statement on Auditing Standards n°70. Cette norme a été crée par l'American Institute of Certified Public Accountants (AICPA) pour éviter à ces organismes de devoir supporter successivement plusieurs audits informatiques sur des sujets voisins. Ce sont des audits réalisés par des tiers et vont s'assurer que les processus mis en oeuvre offrent la qualité du service attendue.

En matière d'audit informatique on certifie les auditeurs informatiques. La certification de référence est le CISA, Certified Information Systems Auditor. C'est une certification professionnelle internationale. Elle est organisée par l'ISACA depuis 1978. En France elle est passée depuis 1989. A ce jour dans le Monde 75.000 personnes ont le CISA dont plus de 1.000 en France. L'examen peut être passé deux fois par an : en juin et en décembre, dans 11 langues différentes et dans 200 villes dans le monde. Il faut répondre à 200 questions à choix multiples en 4 heures portant sur l'audit et l'informatique. L'examen porte sur 6 domaines :

1. les processus d'audit des systèmes d'information,
2. la gouvernance IT,
3. la gestion du cycle de vie des systèmes et de l'infrastructure,
4. la fourniture et le support des services,
5. la protection des avoirs informatiques,
6. le plan de continuité et le plan de secours informatique.