Survivre à un audit des actifs IT : checklist pratique
Les mêmes cinq lacunes apparaissent dans presque tous les audits d'actifs IT — pour SOX, ISO 27001, SOC 2 ou les régularisations éditeurs. Voici la checklist opérationnelle pour les combler avant l'arrivée de l'auditeur.
Les audits sont stressants pour deux raisons. La première : personne n'apprécie que quelqu'un lise ses dossiers. La seconde : la plupart des équipes ne savent pas quels dossiers elles sont censées avoir jusqu'à ce que l'auditeur les demande. La bonne nouvelle est que la liste de demandes de l'auditeur est cohérente entre les frameworks, même quand les frameworks eux-mêmes diffèrent.
Ci-dessous : ce que chaque audit d'actifs IT examine, les documents que vous devez avoir en archive, les cinq lacunes qui prennent la plupart des entreprises de court, et un plan de durcissement pré-audit sur 30 jours.
Les quatre types d'audits que vous rencontrerez
| Audit | Ce qu'il examine | Déclencheur |
|---|---|---|
| SOC 2 / ISO 27001 | Inventaire des actifs, contrôle d'accès, gestion des changements, gestion des fournisseurs | Annuel / à la demande clients |
| SOX (ITGC) | Accès logique, séparation des tâches, enregistrements d'actifs liés aux états financiers | Annuel pour les entités cotées/réglementées |
| Régularisation éditeur | Utilisez-vous plus de licences que ce que vous avez acheté ? | Renouvellement ou aléatoire (Microsoft, Oracle, IBM sont fréquents) |
| Assurance / souscription cyber | Couverture des actifs, MFA, correctifs, contrôles d'offboarding | Annuel ou après une demande de renouvellement |
Framework différent, mêmes questions : savez-vous ce que vous avez, qui l'a, et pouvez-vous le prouver ?
La liste de demandes standard des auditeurs
- Inventaire des actifs — chaque laptop, serveur, appareil mobile, équipement réseau, avec propriétaire et emplacement.
- Inventaire des logiciels — chaque SaaS payant ou logiciel sous licence, nombre de postes, utilisateurs actuels.
- Matrice des accès — quel utilisateur a accès à quel système, avec rôle, accordé par, accordé le.
- Enregistrements arrivée/mobilité/départ — pour la période d'audit, l'échantillon complet des événements d'onboarding et d'offboarding avec preuves.
- Journal des changements — chaque modification d'actifs, d'accès ou de configurations, horodatée et attribuable.
- Référentiel de contrats — chaque accord fournisseur actif avec un propriétaire défendable.
- Enregistrements d'élimination du matériel — preuve que les appareils mis hors service ont été effacés et éliminés correctement.
- Preuves de sauvegarde et de récupération — pour les systèmes détenant des données réglementées.
Les 5 lacunes que les auditeurs trouvent le plus souvent
1. Comptes fantômes de partants
Un employé est parti en octobre, mais son poste Slack, GitHub ou Salesforce est toujours actif en février. C'est le constat SOC 2 le plus fréquent. Remède : déprovisionning piloté par l'IdP qui touche automatiquement chaque SaaS connecté, plus un balayage trimestriel « aucune connexion depuis > 60 jours ».
2. Matériel non suivi
Laptops distribués sans étiquette d'actif. Téléphones remboursés via notes de frais qui n'entrent jamais dans le registre. Remède : chaque achat de matériel entre dans l'inventaire à la réception, pas au déploiement, avec une étiquette, un propriétaire et un enregistrement de garantie.
3. Logiciels utilisés sans licence
Le grand classique de l'audit Microsoft/Oracle. Une équipe a installé un outil, l'entreprise n'a jamais acheté de licence, l'auditeur le trouve dans le scan de découverte. La note de régularisation peut être énorme. Remède : imposez une politique d'installation de logiciels uniquement via les achats, effectuez des scans de découverte trimestriels, réconciliez avec votre inventaire de licences.
4. Contrats détenus par « it@entreprise.fr »
Si chaque contrat est détenu par une boîte mail partagée, aucun humain réel n'est responsable. Les auditeurs le notent immédiatement. Remède : chaque contrat a un propriétaire humain nommé et un remplaçant documenté.
5. Aucune piste d'audit sur les changements
« Qui a réattribué cette licence ? » « On ne sait pas — on a juste cliqué Enregistrer. » Si vos outils ne journalisent pas qui a fait quoi quand, vous échouez l'audit avant même de commencer. Remède : choisissez un outil ITAM/accès avec une journalisation des changements intégrée. SOC 2 l'exige explicitement.
Plan de durcissement pré-audit sur 30 jours
Semaine 1 — inventaire
- Réconciliez le registre matériel avec la liste des utilisateurs IdP. Chaque employé actif comptabilisé ; chaque laptop attribué à une vraie personne.
- Balayez les comptes SaaS. Désactivez ou supprimez chaque compte appartenant à quelqu'un qui n'est pas dans la liste des employés actifs.
- Extrayez les données de dernière connexion pour chaque SaaS payant. Signalez tout poste dormant depuis 90 jours et plus.
Semaine 2 — accès
- Générez la matrice des accès : utilisateur × système × rôle. Exportez depuis chaque système, consolidez en un seul endroit.
- Vérifiez la séparation des tâches pour les systèmes liés à la finance (personne n'approuve ses propres dépenses ; personne n'est à la fois administrateur et relecteur).
- Vérification de l'application du MFA. Chaque compte privilégié a MFA. Sans exception.
Semaine 3 — contrats et licences
- Chaque contrat actif téléchargé dans le référentiel central, avec date de renouvellement, délai de préavis, propriétaire et valeur.
- Réconciliation consommation vs droits de licence pour les 10 principaux fournisseurs par dépense.
- Politique d'achats revue et validée — les logiciels ne peuvent pas être installés sans licence suivie.
Semaine 4 — dossier de preuves
- Échantillon de preuves arrivée/départ pour la période d'audit.
- Certificats d'élimination de matériel pour tout appareil mis hors service durant la période.
- Export du journal des changements pour les actifs, accès et configurations.
- Dossier de due diligence fournisseur pour tout sous-traitant gérant des données réglementées.
Le langage corporel de l'auditeur
Si l'auditeur demande « pouvez-vous m'expliquer comment un employé sortant perd son accès ? » et que vous répondez « le helpdesk s'en occupe, je crois » — vous avez déjà échoué ce contrôle. La bonne réponse est « l'IdP déclenche un workflow automatisé, voici le journal des douze derniers cas ».
Comment une plateforme ITAM aide
La plupart du travail ci-dessus vit dans des tableurs et des dossiers partagés par défaut, et c'est précisément là que la préparation aux audits s'effondre. Une plateforme ITAM moderne comme InventorIA intègre :
- Des flux arrivée/départ pilotés par l'identité qui produisent automatiquement les preuves.
- L'utilisation des licences vs les droits sur chaque SaaS payant.
- Le référentiel de contrats avec les conditions de renouvellement analysées.
- Le journal des changements sur chaque actif, licence, contrat.
- Un export auditeur en un clic (CSV, dossier de preuves, horodaté).
Les entreprises qui font cela en continu — au lieu de paniquer avant chaque audit — raccourcissent généralement les cycles d'audit d'un tiers et arrêtent définitivement la tradition de la semaine de panique.
Inventaire conforme aux audits en quelques jours, pas des semaines
InventorIA produit des dossiers de preuves que les auditeurs acceptent réellement. Gratuit pour vos 10 premiers utilisateurs.
Démarrer gratuitement →