.Audit de système d'information

Cédric Millauriaux
Rédigé par Cédric Millauriaux, Architecte Logiciel
Mis à jour le
Audit de système d'information

Avant une refonte, un investissement majeur, une acquisition ou le renouvellement d'un contrat de maintenance, l'audit du système d'information apporte la lecture objective et chiffrée nécessaire à la décision. DINNO mène des audits courts, ciblés et opérationnels (pas des rapports fleuves génériques).


Nos auditeurs sont d'abord des praticiens : ils lisent le code, exécutent des outils d'analyse, interrogent les équipes, modélisent les risques. Le livrable n'est pas une simple liste de constats, mais une matrice de remédiation priorisée, avec un chiffrage de l'effort et un niveau d'impact pour chaque action.



Quand commander un audit ?

  • Avant une refonte : savoir ce qu'on refait, pourquoi et à quel coût.
  • Avant une acquisition (due diligence technique) : qualifier les risques cachés dans la cible.
  • Lors d'un changement d'équipe : état des lieux objectif avant le départ des sachants ou l'arrivée d'un nouveau CTO.
  • Suite à un incident : incident de sécurité, panne majeure, contestation utilisateur : comprendre la cause racine et les angles morts.
  • Renouvellement d'un contrat de maintenance : vérifier que la prestation actuelle est conforme aux engagements.
  • Préparation à un référencement : HDS, ISO 27001, SecNumCloud, PCI-DSS.


Audit technique et checklist

Nos types d'audit

  • Audit technique et de code : qualité du code, couverture de tests, complexité, sécurité applicative (SAST), respect des bonnes pratiques, dette technique chiffrée.
  • Audit sécurité et RGPD : analyse des vulnérabilités, gestion des accès, chiffrement, journalisation, conformité RGPD, registre des traitements.
  • Audit d'architecture et de dette technique : cohérence de l'architecture, couplage entre composants, scalabilité, observabilité, coût total de possession.


Notre méthode d'audit

  1. Cadrage (2-3 jours) : périmètre, attendus, accès, plan d'intervention.
  2. Collecte (1-2 semaines) : accès au code, à l'infra, aux documentations, entretiens avec les équipes.
  3. Analyse (2-4 semaines) : lecture de code, exécution d'outils, modélisation des risques, validation des hypothèses.
  4. Rapport (1 semaine) : rédaction, revue interne, restitution orale aux décideurs et aux équipes techniques.
  5. Suivi (optionnel) : accompagnement de la mise en œuvre des remédiations.

Ces durées sont données à titre informatif et peuvent varier selon la complexité et les spécificités de votre projet.



Ce que vous obtenez

  • Une cartographie technique à jour de votre SI (applications, dépendances, flux, environnements).
  • Une liste hiérarchisée de constats : par criticité, par effort de remédiation, par responsabilité.
  • Un chiffrage des actions correctives : quoi faire, par qui, en combien de temps, pour combien.
  • Une note de synthèse exécutive : 2-3 pages pour le COMEX, en français, sans jargon inutile.
  • Une restitution orale : présentation aux équipes techniques et aux décideurs, questions/réponses, validation des priorités.

Un SI à auditer ? Un cadrage gratuit pour calibrer le périmètre

Approfondir



Sources et références

Textes, normes et publications de référence que nous utilisons sur ce sujet.




Vos auditeurs DINNO

Vos audits sont menés par les architectes et le directeur technique de l'agence, et non par des juniors. Confidentialité contractualisée systématiquement.

Aline Deschamps

Aline Deschamps

Directrice Générale, spécialiste Data

Co-fondatrice de DINNO, elle pilote la stratégie de l'agence et accompagne les clients dans la valorisation de leurs données. Elle intervient sur le cadrage des projets, la gouvernance et la dimension métier des solutions, en particulier auprès des acteurs de la santé.

LinkedIn →
Antoine Précigout

Antoine Précigout

Directeur Technique

Directeur technique de DINNO, il pilote l'équipe de développement et garantit la qualité d'ingénierie de bout en bout : architecture, industrialisation, CI/CD, tests automatisés et mise en production. Référent technique sur les projets web et mobiles.

LinkedIn →
Cédric Millauriaux

Cédric Millauriaux

Architecte Logiciel

Architecte logiciel chez DINNO, il intervient sur les audits techniques, la conception d'architecture et l'urbanisation des systèmes d'information. Il accompagne éditeurs et grands comptes dans leurs refontes et leurs choix structurants (cloud, intégration LLM, sécurité).

LinkedIn →

Questions fréquentes

Combien coûte un audit informatique ?
Un audit ciblé (par exemple, audit du code d'une application métier) démarre autour de 8 000 € pour 1-2 semaines de travail. Un audit complet d'un SI (technique + sécurité + architecture + RGPD + dette technique) sur 4-8 semaines se situe entre 30 000 € et 80 000 €. Le périmètre est toujours négocié en amont en fonction de vos objectifs et de votre budget. Ces tarifs sont donnés à titre indicatif et peuvent varier selon la complexité et les spécificités de votre SI.
Quelle différence entre votre audit et celui d'un grand cabinet ?
Nos auditeurs sont des praticiens : architectes, développeurs senior, experts sécurité. Ils savent lire du code, ouvrir un IDE, faire tourner un scanner SAST. Notre rapport ne se limite pas à des constats : nous chiffrons les remédiations, priorisons par effort/impact, et indiquons ce qui peut être traité par vos équipes vs. ce qui nécessite un renfort. Format livrable : 30-60 pages utiles, pas 200 pages de remplissage générique.
Un audit avant une acquisition ou une levée de fonds ?
Oui, c'est l'un de nos cas d'usage récurrents. Nous menons des due diligence techniques pour des fonds d'investissement, des fonds de Private Equity ou des acquéreurs industriels. Délai serré (généralement 2-3 semaines), rapport orienté risques et coût de remédiation, focal sur les éléments susceptibles d'impacter la valorisation. Nous travaillons sous accord de confidentialité, accès limité, équipes restreintes.
Allez-vous prendre les recommandations pour vous-mêmes ?
Possible mais pas obligatoire, et c'est volontaire. Nous séparons l'audit de la mise en œuvre par défaut. Si vous souhaitez nous confier la remédiation, nous le faisons ; si vous préférez vous appuyer sur vos équipes internes ou un autre prestataire, nous le facilitons (transfert de connaissance, support à la prise en main). Notre revenu ne dépend pas d'une rétention captive.
Mes données et mon code resteront-elles confidentiels ?
Oui. Nous travaillons systématiquement sous accord de confidentialité. Les accès au code, à l'infrastructure ou aux données sont restreints aux auditeurs identifiés. Le rapport final n'est partagé qu'avec les destinataires que vous désignez. Sur demande, nous pouvons opérer sur vos environnements (laptop fourni, VPN d'entreprise) plutôt que sur les nôtres.

Échangeons sur le périmètre de votre audit (sous accord de confidentialité si besoin)