Les audits pour

les Systèmes Informatisés

Avec l’augmentation de l’externalisation des services informatiques, les audits des fournisseurs de services deviennent essentiels pour garantir que les partenaires respectent les exigences réglementaires et contractuelles.

Les 3 principaux types de Cloud dit « as a Service » diffèrent quant à leur degré de gestion par le fournisseur de service.

• L’IaaS (Infrastructure as a Service) est la solution où seule est sous-traitée la gestion du réseau, des serveurs des fonctions de virtualisation et du stockage.

→ Dans ce contexte, l’audit permettra de vérifier l’infrastructure proposée, la redondance et la disponibilité des serveurs et réseau, les mesures de sécurité physiques et logiques et la continuité des activités avec les mesures de sauvegardes.

• Le PaaS (Plateforme as a Service) est un modèle où le fournisseur met à disposition non seulement l’infrastructure mais aussi l’ensemble des logiciels de gestion, exploitation et développement, le client restant responsable de gérer les applications métier et les données.

→ Dans ce cas, l’audit s’assure du respect des normes de sécurité et de conformité des outils et services fournis ; ainsi que du monitoring et du support continu du fournisseur ; des mises à jours et maintenance régulières.

Le SaaS (Software as a Service) représente la forme ultime de sous-traitance car dans ce cas, c’est l’application métier complète qui se retrouve gérée par un fournisseur par l’intermédiaire d’un navigateur web.

→ Ici, l’audit va alors se concentrer sur la conformité de l’application vis-à-vis des exigences GxP en vigueur, sur la gestion des accès au système et aux données, sur la disponibilité et la continuité avec la revue du contrat de service (SLA et conditions de sorties) ; et vérifier l’utilisation de sous-traitants par le fournisseur.

Les audits des fournisseurs de services Cloud permettent ainsi de sélectionner ou de confirmer les fournisseurs les plus adaptés aux besoins de l’organisation client, pour s’assurer de la protection des données critiques, de la disponibilité du système et de la conformité des systèmes utilisés.

Les applications métier nécessitant des configurations spécifiques au client sont souvent proposées par les fournisseurs avec des services d’installation et de configuration définies. Dans certains cas, un intégrateur différent du fournisseur qui a développé le système, peut être sélectionné. L’audit du fournisseur ou de l’intégrateur vise à évaluer sa capacité à répondre aux exigences contractuelles, réglementaires et opérationnelles.

On peut citer dans les points clés à auditer :

1. Evaluation des capacités techniques du développeur et de l’intégrateur

L’auditeur vérifie les formations planifiées et réalisées, les certifications et les expériences enregistrées pour le plan compétence des équipes ; ainsi que les méthodes et outils utilisées pour le développement, l’intégration et la qualification du système considéré pour la partie technologie.

2. Conformité des exigences réglementaires

L’ensemble de la traçabilité des processus de mise en œuvre et des livrables associés sera contrôlée ainsi que la documentation fournie et la gestion des risques.

3. Processus de gestion de projet

Une attention particulière sera portée sur la gestion des changements, des évolutions et corrections lors du projet ; et sur la communication avec le client, notamment sur la transparence des problèmes rencontrés et les solutions proposées.

4. Contrôle Qualité du développeur et de l’intégrateur

Le mode de documentation de l’ensemble des tests réalisés avant la livraison du système, l’intégration des processus de vérification et de validation mis en œuvre pour la release, la gestion des non-conformités, des actions correctives et évolutions sont examinés pour garantir la qualité du système livré.