Les audits IT, les audits logiciels et les audits du matériel informatique peuvent tous être réalisés dans Ewida Audit. La solution peut être utilisée aussi bien par des services IT internes que par des entreprises réalisant des audits pour leurs clients.

Dans cet article, nous montrons deux niveaux de travail. Nous commençons par organiser la partie préparation et les hypothèses de l’audit, puis nous passons à l’exécution pratique de l’ensemble du processus dans l’application. Comme Ewida Audit est un programme de bureau pour Windows, tout le flux de travail repose sur l’utilisation de la console locale, des fichiers de scan et des données d’audit enregistrées dans l’environnement de l’utilisateur.

Ce contenu concerne uniquement le travail dans Ewida Audit. Nous nous concentrons donc sur la procédure d’audit, le scan des ordinateurs, la vérification de la conformité des licences logicielles, l’affectation des licences et la préparation des rapports finaux, sans faire référence à d’autres produits ni à d’autres modes de travail.

Préparation de l’audit

Un audit IT doit commencer par la collecte de ce que l’on appelle souvent les preuves de détention des licences. Il peut s’agir de factures d’achat, de certificats de licence, de supports d’installation, d’étiquettes COA, de documents du fabricant et d’autres éléments requis par un modèle de licence donné.

L’ensemble des documents requis n’est pas toujours le même. Il dépend du fabricant, du type de licence et du mode d’achat. C’est pourquoi, dès le départ, il faut déterminer quelles preuves de détention du logiciel seront considérées comme suffisantes dans le cadre de l’audit concerné.

Une phase préparatoire bien menée permet de gagner du temps par la suite. Sans organiser les documents et sans définir les règles d’évaluation de la conformité des licences, même des scans d’ordinateurs correctement réalisés ne donneront pas encore un résultat final fiable.

Audit du matériel informatique

La première série de scans d’ordinateurs dans une entreprise doit idéalement s’appuyer sur une vérification physique de chaque poste de travail. En pratique, cela signifie scanner l’ordinateur tout en vérifiant en même temps les étiquettes de licence, les scellés et les autres marquages qui peuvent avoir de l’importance lors de l’évaluation de la conformité de l’environnement.

Dans Ewida Audit, le scan peut être réalisé de trois façons :

  • à distance à l’aide des Agents,
  • à distance via DCOM, sans installer d’Agents,
  • localement avec Codenica PC Audit Scanner.

Le choix de la méthode dépend du scénario. Dans les audits internes, la communication à distance est souvent possible. Dans les audits formels, en particulier ceux réalisés sur le site d’un client externe, le scan local de l’ordinateur en présence directe de l’auditeur est généralement la meilleure approche.

Inventaire des licences

L’inventaire des licences consiste à saisir correctement les licences dans le programme, avec les informations d’achat et les documents confirmant leur détention. C’est une étape très importante, car détecter une application sur un ordinateur n’est pas la même chose que confirmer le droit légal de l’utiliser.

Ewida Audit ne suppose pas qu’une licence existe sur la base d’un logiciel détecté ou de clés de licence relevées. Ce type de raccourci pourrait conduire à de mauvaises conclusions, c’est pourquoi chaque licence doit reposer sur des documents réels et sur des preuves de détention de la licence.

En pratique, cela signifie que le résultat de l’audit doit combiner deux niveaux : les données techniques provenant des ordinateurs et les données formelles résultant des documents d’achat et des règles de licence.

Fichier des employés et attribution des responsabilités

Tenir un fichier des employés est une procédure complémentaire, mais très utile. Cela permet de déterminer plus facilement qui utilise un ordinateur donné, quel logiciel est affecté à un poste de travail et qui est responsable d’un ensemble donné de périphériques ou de licences.

Les utilisateurs peuvent être ajoutés manuellement ou importés depuis un fichier CSV, depuis Active Directory ou depuis la base de données Ewida Standard. Ce type de correspondance aide à structurer le résultat de l’audit et facilite la préparation des rapports finaux.

Comment fonctionne l’audit dans Ewida Audit

Dans le programme, vous créez des Hôtes qui correspondent aux ordinateurs scannés. Pour chaque hôte, l’application enregistre séparément les données sources, puis lance un processus de reconnaissance. En pratique, cela signifie convertir les données techniques provenant de WMI, du registre système et des fichiers scannés en objets structurés tels que des ensembles informatiques, des périphériques et des logiciels.

Une fois les résultats du scan chargés, vous pouvez passer à l’affectation des licences aux logiciels détectés. Dans certains scénarios, certaines parties de ce processus peuvent être prises en charge par des mécanismes automatiques, mais lors du premier audit il est plus sûr de prendre manuellement les décisions essentielles. Cela donne un meilleur contrôle sur le résultat et réduit le risque d’erreurs d’interprétation.

Rapports post-audit

Ewida Audit met à disposition des synthèses et des rapports pouvant être utilisés pour préparer le rapport final. Il peut s’agir de rapports résumant le nombre d’applications détectées, de listes de logiciels, de licences, de périphériques et d’ordinateurs, ainsi que de rapports plus détaillés.

En pratique, le rapport final se compose généralement d’une partie descriptive accompagnée d’impressions ou de synthèses jointes. Le mécanisme de synthèses personnalisées est également important, car il permet de préparer un rapport mieux adapté à un client donné, à l’objectif de l’audit ou à la manière souhaitée de présenter les résultats.

Clôture de la partie théorique

Clôturer un audit signifie préparer le rapport final ainsi que les conclusions résultant de l’ensemble de la procédure. Le rapport peut inclure une description de l’état actuel, l’identification des manques en matière de licences, des propositions d’actions correctives et des recommandations organisationnelles pour l’avenir.

Dans de nombreuses entreprises, définir les étapes suivantes pour la gestion de l’environnement IT est tout aussi important que le résultat de l’audit lui-même. L’audit ne doit pas se limiter à signaler des non-conformités. Il est préférable qu’il conduise aussi à une approche plus structurée de l’achat de logiciels, de la documentation des licences et de la planification des contrôles futurs.

Si, après l’audit, l’entreprise souhaite tenir un registre plus large de l’infrastructure, des documents, des coûts et des équipements dans un système de bureau Windows séparé, elle peut utiliser Ewida Standard à cette fin.

Hypothèses pour la partie pratique

Un audit IT peut être réalisé par un employé de l’entreprise dans le cadre d’un contrôle interne ou par un cabinet d’audit externe. Dans cette partie, nous partons du scénario pratique d’un auditeur externe réalisant l’audit sur le site du client.

Nous supposons que les conditions de collaboration ont déjà été définies, que le client prépare les documents relatifs aux licences et aux achats de logiciels, et qu’il fournit également des informations de base sur la structure des employés et sur la façon dont les ordinateurs sont utilisés. Ces données sont nécessaires au départ, mais leur exactitude et leur exhaustivité doivent malgré tout être vérifiées pendant l’audit proprement dit.

Dans ce modèle, vous pouvez réaliser un audit de base ou un audit étendu. La version étendue comprend en plus une organisation plus détaillée des données concernant le matériel, les documents, les garanties et les coûts, afin que le résultat de l’audit reste utile même après la fin du contrôle lui-même.

Préparation de l’audit pratique

Le travail commence sur votre propre ordinateur, sur lequel vous installez Ewida Audit et préparez l’environnement pour gérer l’ensemble du processus. Le programme propose trois mécanismes de scan : Agents, DCOM et Codenica PC Audit Scanner.

Pour les audits externes, l’approche la plus sûre et la plus claire consiste à utiliser Codenica PC Audit Scanner. Installer des Agents sur les ordinateurs du client n’est généralement pas la meilleure option, car cela peut entrer en conflit avec les politiques de sécurité, soulever des questions formelles inutiles ou simplement ne pas être accepté par le client.

En pratique, un scanner lancé depuis une clé USB ou depuis un script réseau correspond mieux à la nature d’un audit formel, où l’auditeur doit se rendre au poste de travail, vérifier les marquages de licence et effectuer lui-même le contrôle.

Une fois la méthode de travail définie, vous pouvez créer un nouvel audit dans le programme. Choisissez Menu → Audit → Nouveau, lancez l’assistant et saisissez les informations de l’entreprise qui doivent apparaître dans les rapports. Ajoutez ensuite l’hôte par défaut requis pour créer l’espace d’audit, ignorez l’installation des Agents et le scan à distance, puis terminez l’assistant.

À ce stade, l’objectif principal est de préparer un environnement organisé dans lequel seront ensuite importés les résultats de scan, les données des utilisateurs, les licences et les relations entre les objets.

Codenica PC Audit Scanner

L’audit du matériel informatique est réalisé à l’aide de Codenica PC Audit Scanner, un scanner léger inclus avec Ewida Audit. Le programme ne nécessite pas d’installation et peut être lancé depuis une clé USB, ce qui est particulièrement pratique pour le travail sur site.

Le scanner prend en charge des paramètres de démarrage, ce qui permet aussi de le lancer depuis vos propres scripts. Les paramètres les plus importants sont les suivants :

  • autostart — démarre automatiquement le scan,
  • autoclose — se ferme automatiquement après la fin,
  • hide — s’exécute sans interface,
  • silent — sans fenêtre de message de fin,
  • skipstartupdrive — ignore le disque de démarrage,
  • targetdir — définit le dossier d’enregistrement,
  • targetfile — définit le nom du fichier de scan.

Si le paramètre hide est utilisé, les paramètres autostart, autoclose et silent sont également activés automatiquement.

Configuration et préparation du scanner

Avant de commencer le travail, il est utile de vérifier les paramètres de scan disponibles dans la configuration du programme, dans la section Audit. Après la première installation, les paramètres sont préparés avec des valeurs par défaut, mais il reste conseillé d’en examiner au moins le périmètre et de s’assurer qu’ils correspondent à la procédure prévue.

Les possibilités de configuration sont larges, mais dans de nombreux déploiements les paramètres par défaut suffisent largement au départ. Une fois les règles de scan définies, vous pouvez générer Codenica PC Audit Scanner et l’enregistrer sur une clé USB préparée pour le travail chez le client.

Scan des ordinateurs et traitement des résultats

Une fois la clé USB avec le scanner prête, vous pouvez passer au scan des ordinateurs du client. Il est utile de prendre en parallèle vos propres notes et d’enregistrer au minimum le nom de l’hôte, les informations utilisateur ainsi que les informations sur les étiquettes COA, les scellés et tous les autres éléments nécessitant une vérification complémentaire.

Sur l’ordinateur, lancez le fichier PCScanner.exe, démarrez le scan et enregistrez le résultat une fois l’opération terminée. De retour, importez les fichiers de scan dans Ewida Audit à l’aide de Menu → Audit → Charger les fichiers de scan. Le programme créera des hôtes représentant les ordinateurs audités et lancera le processus de reconnaissance des données.

Ensuite, ajoutez les utilisateurs et affectez-les aux bons hôtes. L’étape suivante consiste à saisir les licences détenues par le client. Il est particulièrement important de prêter attention aux champs Name, Version et Number of Seats, car ils sont essentiels pour le rapprochement ultérieur des licences avec les logiciels détectés.

Une fois les licences ajoutées, liez-les aux hôtes. Cela peut se faire une par une ou en masse, selon le type de licences et l’ampleur de l’audit. Ensuite, organisez les logiciels détectés en excluant de l’analyse les éléments qui ne sont pas pertinents pour l’évaluation de la conformité, comme certains outils gratuits ou certaines bibliothèques.

Si l’audit correspond à la version étendue, vous pouvez aussi à ce stade organiser les données sur le matériel, les garanties, les documents et les informations organisationnelles complémentaires. Grâce à cela, le résultat du travail ne se limite pas à un rapport ponctuel, mais devient un matériau utile pour la gestion future de l’environnement IT.