AUDIT TECHNOLOGIQUE

Les audits TI sont essentiels pour garantir la sécurité, l’efficacité et la conformité des systèmes d’information d’une organisation. Ils permettent d’identifier les vulnérabilités, d’évaluer les risques et de vérifier que les contrôles en place respectent les normes réglementaires et industrielles. En abordant les problèmes de manière proactive, les audits TI protègent les données sensibles, renforcent la fiabilité opérationnelle et instaurent la confiance auprès des parties prenantes dans un monde de plus en plus numérique.

Contenu de l’audit TI d’Art Systems Canada

Cet audit TI est conçu pour recueillir des informations sur l’environnement informatique de votre organisation afin d’évaluer l’efficacité de la gouvernance TI, de la sécurité, de la gestion des données et de la conformité aux réglementations en vigueur. Il est utilisé pour identifier les risques, les vulnérabilités et les axes d’amélioration dans le cadre du processus d’audit TI.

Présentation de l'organisation

Quelle est la fonction principale de l’organisation ?
Combien d’employés, de contractuels et de fournisseurs tiers ont accès aux systèmes TI ?
Fournissez un organigramme mettant en évidence les rôles liés aux TI.

Structure du département TI

Combien de membres composent le département TI ?
Qui est responsable de la prise de décisions en matière de TI (ex. : DSI, gestionnaire TI) ?
Existe-t-il des rôles dédiés à la cybersécurité, à la conformité ou à la gestion des données ?

Inventaire des actifs TI

Fournissez une liste des systèmes TI critiques (ex. : serveurs, bases de données, applications).
Tous les actifs matériels et logiciels sont-ils documentés dans un inventaire ?
Si oui, veuillez joindre l’inventaire.

Politiques et procédures TI

Existe-t-il des politiques TI documentées (ex. : utilisation acceptable, contrôle d’accès, réponse aux incidents) ?
Quand ces politiques ont-elles été mises à jour pour la dernière fois ?
Comment ces politiques sont-elles communiquées aux employés ?

Stratégie et planification des TI

Existe-t-il une stratégie TI formelle alignée sur les objectifs d’affaires ?
À quelle fréquence la stratégie TI est-elle révisée et mise à jour ?

Gestion des risques

Existe-t-il un processus formel d’évaluation des risques TI ?
Comment les risques identifiés sont-ils priorisés et atténués ?

Contrôles d'accès

Les droits d’accès des utilisateurs sont-ils définis en fonction des rôles (ex. : contrôle d’accès basé sur les rôles) ?
L’authentification multifactorielle (MFA) est-elle mise en place pour les systèmes critiques ? Si ce n’est pas le cas, pourquoi ?
À quelle fréquence les comptes utilisateurs et les permissions sont-ils révisés ?

Mesures de sécurité du réseau

Quels pare-feux, systèmes de détection/prévention d’intrusion ou solutions antivirus sont en place ? Veuillez fournir les détails des fournisseurs et des versions.
Les journaux de trafic réseau sont-ils conservés et surveillés ? Si oui, à quelle fréquence ?
Des analyses de vulnérabilités ou des tests d’intrusion ont-ils été réalisés au cours des 12 derniers mois ?

Gestion des correctifs

Existe-t-il un processus formel de gestion des correctifs pour les logiciels et les systèmes ?
À quelle fréquence les correctifs sont-ils appliqués aux systèmes critiques ?
Indiquez la date du cycle de correctifs le plus récent.

Stockage et protection des données

Où sont stockées les données sensibles (ex. : informations clients, dossiers financiers) ?
Les données sont-elles chiffrées au repos et en transit ? Si oui, préciser les normes de chiffrement utilisées (ex. : AES-256).
Existe-t-il des politiques de classification des données (ex. : public, confidentiel) ?

Sauvegarde et restauration

Quel est le calendrier de sauvegarde pour les systèmes et données critiques ?
Quand le dernier test de sauvegarde a-t-il été effectué et quels en ont été les résultats ?
Existe-t-il un plan de reprise après sinistre documenté ?

Accès et surveillance des données

Qui a accès aux données sensibles et comment cet accès est-il surveillé ?
Des outils sont-ils en place pour détecter les accès non autorisés ou l’exfiltration de données ?

Exigences réglementaires

Which regulations apply to the organization (e.g., GDPR, HIPAA, PCI-DSS)?
Are there documented processes to ensure compliance with these regulations?
Have there been any compliance violations or audits in the past 24 months?

Formation des employés

Les employés reçoivent-ils une formation sur la sécurité TI et les exigences de conformité ?
À quelle fréquence cette formation est-elle dispensée et quels sujets sont abordés ?
Fournissez les dossiers des sessions de formation les plus récentes.

Réponse aux incidents

Existe-t-il un plan formel de réponse aux incidents en cas de brèche de sécurité TI ?
Comment les incidents sont-ils documentés et signalés ?
Fournissez les détails de tout incident de sécurité survenu au cours des 12 derniers mois.

Gestion des logiciels et du matériel

Toutes les licences logicielles sont-elles documentées et à jour ? Si oui, veuillez fournir un inventaire des licences.
Comment le matériel ou les logiciels obsolètes sont-ils mis hors service ?

Analyse des performances

Les indicateurs de performance des systèmes (ex. : temps de disponibilité, temps de réponse) sont-ils surveillés ? Si oui, quels outils sont utilisés ?
Comment les problèmes de performance sont-ils identifiés et résolus ?

Fournisseurs tiers

Les fournisseurs tiers ayant accès aux systèmes TI sont-ils audités ? Si oui, veuillez fournir le dernier rapport d’audit.
Des ententes de niveau de service (SLA) sont-elles en place avec les fournisseurs TI ?

Modifications récentes

Y a-t-il eu des changements importants apportés aux systèmes, processus ou au personnel TI au cours des 12 derniers mois ?
Y a-t-il des initiatives TI prévues (ex. : migration vers le cloud, mises à niveau des systèmes) ?

Commentaires supplémentaires

Toute information supplémentaire pertinente à l’audit TI qui n’a pas été abordée ci-dessus.

Retour