Vous êtes sur la page 1sur 104

Universit de Sfax

Institut des Hautes tudes Commerciales de Sfax

MMOIRE DE STAGE
Pour lobtention du diplme de MASTRE PROFESSIONNEL
Audit Interne et Audit des Systmes dInformation

Audit des systmes dinformation : mise en


uvre de lapproche Cobit 4.1
(laboration dun gnrateur de guides
daudit pour le cas de la STEG)

labor par :

Mr Ammar SASSI

Encadr par :

Mr Salah RIAHI
Expert daudit certifi CISA
&
Mr Ridha BOUSSAIDI
Chef de Dpartement Audit Informatique
Direction Audit - STEG

ANNEE UNIVERSITAIRE 2012-2013

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Remerciements

Dabord je tiens remercier le chef de dpartement audit informatique la direction audit interne de
la STEG Mr Ridha BOUSSAIDI de mavoir accompagn et conseill tout au long de cette priode
de stage. Je le remercie fortement pour son aide, sa disponibilit et ses prcieux conseils. Et je tiens
souligner que nos changes professionnels ont t trs enrichissants et constructifs.
Je remercie aussi Mr Salah RIAHI mon encadreur et lensemble de lquipe pdagogique du
Master

Professionnel Audit Interne et Audit des Systmes dInformation de lIHEC Sfax,

surtout Mme Samah REBAI pour sa disponibilit et son soutien quelle nous a accord au cours de
nos tudes.

Pour terminer, je remercie toutes les personnes qui ont pu maider pendant mon parcours et dont les
noms ne figurent pas sur cette page.

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Sommaire

Introduction
Partie 1 : Fondements thoriques
Chapitre 1 : Laudit des systmes dinformation au cur de la fonction daudit interne
I.
II.
III.

Le systme dinformation dentreprise


Le mtier daudit interne
Laudit des systmes dinformation

Chapitre 2 : Cobit 4.1 un cadre fdrateur daudit des systmes dinformation


I.

LISACA et ses principales contributions en matire daudit des systmes


dinformation

II.
III.

Prsentation du cadre de rfrence Cobit 4.1


Approche Cobit 4.1 en matire daudit des systmes dinformation

Partie 2 : Partie pratique


Chapitre 3 : Contexte du stage Prsentation de la STEG et sa direction daudit interne
I.
II.

Prsentation de la STEG
La Direction dAudit Interne de la STEG

Chapitre4 : laboration dun gnrateur de guides daudit sur la base de lapproche Cobit 4.1
I.

tat des lieux de la STEG en matire de management et daudit des systmes


dinformation

II.

laboration du gnrateur de guides daudit : dmarche et rsultats

Conclusion

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Table des figures

Figure 1 : Le systme d'information au centre de lorganisation de lentreprise


Figure 2 : Les diffrentes ressources dun systme d'information
Figure 3 : Types de contrles informatiques issus de la loi SOX
Figure 4 : Les diffrentes approches d'audit
Figure 5 : Dmarche gnrale dune mission daudit
Figure 6 : La relation Audit Interne - Audit des SI
Figure 7 : Les diffrents types de missions daudit des SI
Figure 8 : Les principaux rfrentiels de la DSI
Figure 9 : Evolution du cadre de rfrence Cobit
Figure 10 : Le cube Cobit4.1 (inspir du COSO)
Figure 11 : Le modle processus de cadre de rfrence Cobit 4.1
Figure 12 : Le principe de cascade des objectifs de Cobit 4.1
Figure 13 : Le tableau RACI correspondant au processus PO10
Figure 14 : Lchelle de maturit des processus selon Cobit4.1
Figure 15 : La documentation Cobit 4.1
Figure 16 : Les diffrents types de procdures dvaluation selon le guide daudit Cobit4.1
Figure 17 : Les diffrentes relations entre les procdures dvaluation et les composants de Cobit4.1
Figure 18 : Les lments relatifs la notion de risque
Figure 19 : Processus de cadrage d'une mission d'audit selon l'approche Cobit4.1
Figure 20 : Les 8 tapes de cadrage d'une mission d'audit selon lapproche Cobit4.1
Figure 21 : Le processus de cadrage Cobit4.1
Figure 22 : Processus dexcution d'une mission d'audit selon l'approche Cobit4.1
Figure 23 : Organigramme gnrale de la STEG
Figure 24 : Principe de la boucle d'amlioration continue (PDCA)
Figure 25 : Le guide gnrique (la plateforme de questionnaires d'audit)
Figure 26 : Les exigences du cadre de rfrence Cobit4.1 en matire de la scurit des SI (critres dinformation)
Figure 27 : Cadrage de haut niveau de la mission Audit de la scurit globale des SI
Figure 28 : La carte de correspondances Missions - Objectifs de contrle
Figure 29 : La carte de correspondance Audit de la scurit globale des SI - Objectifs de contrle
Figure 30 : La carte de correspondance Audit de la scurit des services internes - Objectifs de contrle
Figure 31: Les principaux standards et normes informatiques qui traitent la scurit des SI
Figure 32 : La famille des normes ISO 2700X

9
10
13
15
17
24
25
27
31
32
34
35
36
37
38
40
41
44
44
45
46
47
55
60
67
69
71
79
80
81
82
83

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Liste des tableaux

Tableau 1 : L'informatique de la vision traditionnelle la vision intgre


Tableau 2 : Phase de prparation d'une mission
Tableau 3 : Phase de ralisation d'une mission
Tableau 4 : Phase de conclusion d'une mission
Tableau 5 : Les dix commandements pour un bon chantillonnage
Tableau 6 : Les rgles suivre dans une interview
Tableau 7 : Les diffrents types de questionnaire d'audit
Tableau 8 : Exemples de missions d'audit des SI
Tableau 9 : Descriptions des principaux rfrentiels et normes daudit des SI
Tableau 10 : Les diffrentes mthodes d'valuation des contrles adoptes par Cobit4.1 et SAS70
Tableau 11 : Les principales exigences de la norme S7 de l'ISACA
Tableau 12 : Fiche technique de la STEG
Tableau 13 : Les chiffres cls de la STEG
Tableau 14 : Domaines d'intervention de la direction d'audit interne de la STEG
Tableau 15 : Rpartition des missions d'audit par dpartement daudit
Tableau 16 : Les familles de risques pouvant contrarier le fonctionnement des SI
Tableau 17 : Liste des objectifs de contrle correspondant la mission Audit de la scurit globale des SI
Tableau 18 : Dcoupage de la mission Audit de la scurit globale des SI en sous-missions spcifiques
Tableau 19 : Table de mappage Cobit 4.1 - ISO/CEI 27002

12
18
19
19
20
21
22
26
28
48
50
52
54
57
58
68
73
77
84

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Introduction

Dans une conomie postindustrielle linformation a volu dun simple support dindicateurs
financiers, conomiques et oprationnels pour devenir un lment axial et contributif la ralisation
des objectifs stratgiques des entreprises. Faisant ainsi merger la fonction informatique de
lapproche traditionnelle, qui la considre comme juste une plateforme technique assistant les
diffrentes activits de lentreprise, vers une nouvelle approche intgre, qui la traite en tant quun
composant de la chaine de valeur oprant au service des mtiers dune manire systmatique do la
notion de systme dinformation (dsormais SI). Ce constat en plus des volutions technologiques
ainsi que les diffrents challenges des entreprises face des environnements changeant ont
considrablement renforc la position des SI pour quils deviennent les garants de la bonne
performance et de la prennit des entreprises. Sur ce, le maintien des niveaux defficacit,
defficience, de qualit et de scurit levs de ces SI sera dune grande importance.
En fait les entreprises disposent dun systme de contrle interne leur permettant de mettre en place
un ensemble de dispositifs afin de sassurer de lefficacit et lefficience de leurs activits et de les
protger contre les risques et les ventuels dysfonctionnements. Ce principe se dcline aussi sur les
SI, on distingue ainsi diffrents contrles traitant les activits de ceux-ci. Ces contrles sont soit
dicts par la doctrine propre lentreprise, soit imposs par des lois et rglementations en vigueur.
Cest au niveau de leurs directions daudit interne que les entreprises cherchent perptuellement
amliorer les dispositifs de contrle mis en place en planifiant continuellement des missions daudit
afin de dtecter les points de faiblesses de ceux-ci et dapporter les corrections ncessaires. Ces
missions ont pour vocation de donner une assurance raisonnable aux dirigeants et aux responsables
des mtiers quant la bonne application de ces dispositifs et la prennit de lentreprise en gnrale.
Pour ainsi faire les auditeurs internes se rfrent lors de leurs missions des lois, des
rglementations, des rfrentiels et/ou des normes internationales prsentant des recommandations et
des bonnes pratiques tablies par des professionnels et des experts dans le domaine.

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

En matire des SI les auditeurs et les responsables en assurance ont leur disposition un ventail de
rfrentiels et normes qui traitent ces derniers de plusieurs perspectives tel que : la scurit, la
qualit, la performance ou visent en particulier des lments de ceux-ci, par exemple : les
services, les applications, les projets, les installations, larchitecture matrielle,
Ce prsent travail se situe dans le cadre dun stage que jai effectu chez la direction daudit interne
de la Socit Tunisienne de llectricit et de Gaz (STEG) pour lobtention du diplme de
Master Professionnel en Audit Interne et Audit des Systmes dInformation (MAIASI). La STEG,
ltablissement hte, a t parmi les premires entreprises tunisiennes intgrer la fonction daudit
interne dans sa structure (en posant la premire brique en 1972)

afin de se conformer aux

rglementations en vigueur, damliorer la qualit de ses services et de se protger contre les risques
et les anomalies possibles. Et en remarquant prcocement les enjeux des SI dans lconomie
moderne, elle a t la premire en Tunisie tablir une unit daudit informatique en 1985. Depuis
ces dates, la direction de laudit interne de la STEG na cess, dans le cadre dune stratgie globale
damlioration continue adopte par la direction gnrale, de chercher faire voluer ses approches,
ses mthodes et ses outils daudit.
Ma mission lors de ce stage a t de contribuer au dveloppement de la fonction daudit interne,
notamment en matire des SI, en apportant des nouvelles solutions et approches issues de mes tudes
et mes diffrentes lectures. Une tude de ltat des lieux des SI de la STEG mene au dbut de ce
stage, a montr des besoins accrus en missions daudit. Face ces besoins les responsables daudit
de la STEG se rfrent une varit de rglementations, normes et cadres de rfrence pour
planifier et excuter un grand nombre de missions daudit portant sur cet lment annuellement .
Ces missions bien quils apportent leurs contributions quant lamlioration des dispositifs de
contrle interne, reste quils ne couvrent pas intgralement les SI et leurs diffrents composants, ce
qui peut engendrer des failles intolrables. Par exemple des missions portant sur la scurit des
services, des donnes et/ou des applications ne peuvent garantir la protection des entreprises 100%
contre tous les risques qui peuvent aussi bien tre de nature humaine, managriale, matrielle,
Ainsi la question qui se pose : quelle solution peut-on mettre en uvre afin de permettre aux
auditeurs de planifier, organiser et excuter des missions daudit cohrentes, complmentaires et
couvrant lintgralit des SI?

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

La rponse va trouver son incarnation dans lapproche globale et systmatique du cadre de rfrence
Cobit4.1(1) grce son modle processus qui couvre lensemble des activits de la DSI(2) et intgre
toutes les ressources associes aux SI. Et pour la raison que ce cadre harmonise et unifie diffrentes
dmarches et bonnes pratiques dun grand nombre de rfrentiels et normes internationales lui valant
ainsi le titre du cadre fdrateur le plus complet. Le long de ce travail, on va essayer de prsenter et
mettre en uvre lapproche de cadre de rfrence Cobit4.1 en matire daudit des SI tout en
exploitant ses diffrents lments et lensemble de sa documentation. Le produit de ce prsent travail
concrtisera cette approche en un gnrateur de guides daudit, permettant de gnrer des
questionnaires bass sur les procdures dvaluation Cobit4.1 pour diffrentes missions daudit et
fournissant en extension un ensemble de tables de mappage afin de se rfrer dautres cadres et
normes internationales.
Ce mmoire de stage sera alors organis en deux grandes parties, une partie thorique prsentant
lapproche du cadre de rfrence Cobit4.1 en matire daudit ainsi que ses lments constitutifs, tout
en posant la lumire sur un nombre de concepts, notions et lments relatifs au sujet de ce mmoire,
tels que : le SI, le systme de contrle interne, la fonction daudit interne et sa disciple laudit des SI,
les diffrents rfrentiels et normes daudit des SI

Et une deuxime partie pratique afin de

prsenter le cadre et la mission de stage ainsi que le gnrateur de guides daudit (le produit de ce
prsent travail) et la dmarche suivie pour llaborer.

(1)

Cobit4.1 ( Control Objectives for Information and Related Technology ) cest un cadre de rfrence de contrle, de
management et daudit des SI labor par lISACA ( Information Systems Audit and Control Association ).
(2)

Direction des Systmes dInformation.

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Partie 1 : Fondements thoriques

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Chapitre 1 : Laudit des systmes dinformation au cur de la fonction


daudit interne
I. Le systme dinformation
1) Notion de systme dinformation
Linformation est devenue un lment crucial et contributif la cration de la valeur pour les
entreprises nos jours. Cest la synthse dun ensemble de donnes enregistres,

classes et

organises afin davoir une signification et une utilit au contexte et l'instant dsir. Plusieurs
types dinformation uvrent au sein de lorganisation dune entreprise, il y a :
l'information dcisionnelle qui assure la prise de la dcision au plus haut niveau,
l'information oprationnelle ncessaire techniquement l'excution du travail,
l'information de gestion qui dfinit les responsabilits, rles et tches,
l'information de communication qui vhicule lthique, la doctrine et les politiques.
Les diffrentes activits de lentreprise tel que : lactivit administrative, lactivit commerciale, la
production, le marketing, la comptabilit et le management utilisent linformation et la produisent
par le biais des SI. Ces derniers prsentent le cadre stratgique, managriale, technique et
oprationnel permettant de matriser et dexploiter cette variable stratgique.
Robert REIX dfinit le SI comme tant un ensemble organis de ressources : matriel, logiciel,
personnel, donnes, procdures permettant dacqurir, traiter, stocker, communiquer des
informations dans les organisations . (3)

Figure 1 : Le systme d'information au centre de lorganisation de lentreprise


(3)

REIX, R. (2004). Systmes d'information et management des organisations . Vuibert.

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Le SI est alors considr comme une colonne vertbrale sur laquelle se calent les diffrents autres
systmes de lentreprise (voir Figure 1). Il permet dassurer la circulation de linformation de la
direction gnrale jusquaux mtiers et de la concrtiser afin quelle puisse contribuer efficacement
la performance des activits de lentreprise et par consquence sa performance financire.
2) Primtre du systme dinformation
Il savre trs important, afin de dissiper toute confusion pour le lecteur, de faire la distinction entre
les deux notions suivantes : le SI (objet de ce mmoire) et les TI (les technologies de linformation
plus gnralement, dnommes TIC : technologies de linformation et de communication). Ces
derniers regroupent lensemble des composants matriels et logiciels ainsi ceux des rseaux
permettant et assurant la collection, la transformation, le stockage et la diffusion de linformation.
En retournant la dfinition de Robert REIX, on remarque bien que le primtre du SI intgre celui
des TI (en tant que lensemble des ressources matrielles et logiciels) et il ltend en lui associant
dautres ressources :
Le personnel : qui groupe les utilisateurs de linformation, les dcideurs, les analystes et toute
personne dont sa tche est en relation troite avec linformation.
Les donnes : qui reprsentent les lments dentre (que se soit dorigine interne ou externe)
leurs tats bruts et qui seront analyses et traites par le SI.
Les procdures(4) : qui reprsentent la manire de mettre en uvre tout ou une partie d'un
processus.

Systme d'information
Procdures

Technologies de l'information
Donnes
Ressources
matriels

Ressources
logiciels
Personnel

Figure 2 : Les diffrentes ressources dun systme d'information

(4)

Par dfinition une procdure reprsente le Qui (les responsabilits) fait Quoi ? (les processus), O et Quand ? (le
planning), Comment ? (les activits), Combien ? (les investissements) et Pourquoi ? (les objectifs). (QQOQCCP).

10

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Ainsi le SI consiste raliser plusieurs oprations dpassant la simple collection, traitement,


stockage et diffusion de linformation, il est conu aussi pour assurer :
la gestion des ressources informatiques,
la gestion des tches, rles et responsabilits,
la gestion de la relation avec les utilisateurs et la prestation des services,
la gestion des projets informatiques,
la qualit et la scurit des produits, services et activit
la protection matriel et logiciel
la protection des donnes .
De ce fait on peut conclure que le SI ne se limite pas aux simples dimensions techniques et
technologiques, mais il reprsente la gestion globale de linformation (de linformation stratgique
linformation

oprationnelle)

au

moyen

dun

ensemble

de

ressources

technologiques,

organisationnelles et humaines.
3) La mutation de la fonction informatique
Une volution de la notion de linformatique dans lconomie moderne a transform lorganisation
de la fonction informatique dune approche classique qui la dcoupe selon lorganisation structurelle
(fonctionnelle) de lentreprise vers une nouvelle approche axe sur les mtiers et organise en
processus interconnects, donnant ainsi lieu la nouvelle notion de systme dinformation.(5)
Cette mutation a permet dinstaller le SI au cur de lorganisation de lentreprise, dsormais le SI est
devenue une variable structurante et contributive latteinte des objectifs stratgiques puisquil est
directement embarqu dans les oprations mtiers, non plus considr comme juste un support
technologique (voir Tableau 1).

(5)

Les diffrents modles dorganisation de la fonction informatique :


Le modle traditionnel : consiste dcouper cette fonction selon une vision organisationnelle (en imitant
lorganisation fonctionnelle de lentreprise), ce modle considre linformatique comme un moyen et un outil
pour assister les diffrentes activits de lentreprise.
Le modle mtier : opte un dcoupage selon lensemble des mtiers qui existent au sein de lentreprise, ce
dcoupage marche en phase avec les systmes intgrs de gestion des donnes : les ERP ( Enterprise Resource
Planning aussi appels Progiciels de Gestion Intgrs (PGI)) qui sont en fait des applications dont le but est
de coordonner l'ensemble des activits d'une entreprise, telles que la production, la vente, lapprovisionnement, le
marketing, la gestion des ressources humaines, ... autour d'un mme systme d'information.
Le modle processus : conu sur la base du modle mtier, permettant dorganiser les activits en processus
interconnects afin de raliser les objectifs globaux de lentreprise. Cest au niveau de ce modle quon a vu
lvolution de la notion de linformatique vers celle de SI.

11

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Tableau 1 : L'informatique de la vision traditionnelle la vision intgre


Vision traditionnelle
Linformatique est un centre de cot.
Linformatique est un moyen.
Linformatique est une fonction de support et
non stratgique.
Linformatique est un bien privatif, cloisonn
chaque service ou direction.
Linformatique est un domaine rserv aux
informaticiens.

Vision intgre
Le SI est un lment de la chaine de valeur.
Le SI est un actif de lentreprise.
Le SI est une fonction de transformation
stratgique.
Le SI est un bien collectif pour lentreprise,
partag par tous.
Le SI est un domaine transversal lentreprise,
au service de tous.

Source : Alignement stratgique du systme dinformation . Cigref (2002).

4) Systme dinformation et contrle interne


Le contrle interne est un systme mis en uvre par le management et destin donner une
assurance raisonnable quant la ralisation et loptimisation (efficacit et efficience) des activits de
lentreprise, la fiabilit de linformation financire et la conformit aux lois et rglementations en
vigueur. Il permet de matriser les oprations risques que lentreprise ne veut ou ne peut ni
transfrer ni abandonner et cela en cherchant rduire ces risques des niveaux acceptables. Ainsi
tout lment ou composant de lentreprise est mis sous contrle de conformit, de performance et de
bon fonctionnement par rfrence des lois, des rglementations, des rfrentiels de contrle interne
et/ou des normes.
Ce systme repose en une partie sur des contrles informatiques qui sont soit dicts par les cadres
de rfrences propres lentreprise ou imposs par des lois et des rglementations en vigueur,
comme le cas des contrles issus de la section 404 de loi SOX(6) et de son homologue la LSF(7) (voir
Figure 3). En faite ces lois mergeantes exigent aux entreprises une transparence financire qui ne
peut tre garanti que par la production des informations qui vrifient les critres de fiabilit, de
traabilit et de scurit. Ainsi les activits des SI associes au reporting financier doivent tre
contrles et gres via des dispositifs de contrle informatiques qui seront intgrs dans le systme
de contrle interne.

(6)

La loi SOX (loi Sarbanes-Oxley ), est une loi tabli par le snateur Paul Sarbanes et le dput Mike Oxley et
vot par le congrs amricain suite aux diffrents scandales financiers des entreprises cotes en bourse aux dbuts des
annes 2000, tels ceux d' Enron et de Worldcom ... Cette loi a pour objectif d'accrotre la responsabilit des
entreprises, de rendre la communication de l'information financire transparente et plus fiable ainsi que de lutter contre
les comportements dviants et frauduleux des entreprises.
(7)

La LSF (Loi de la Scurit Financire ), cette loi s'applique toutes les socits cotes en bourse pour le cas de la
France et comme la loi amricaine Sarbanes-Oxley elle repose principalement sur : une responsabilit accrue des
dirigeants, le renforcement du contrle interne et la rduction des sources de conflits d'intrt.

12

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Figure 3 : Types de contrles informatiques issus de la loi SOX

En rponse aux exigences de la loi SOX, les entreprises ont largement adopt lapproche et la
dmarche du cadre de contrle interne COSO(8). Ce cadre de rfrence permet via sa structure de
dployer un ensemble de dispositifs de contrle internes permettant de matriser les diffrentes
activits de lentreprise, y compris les activits informatiques. Ainsi COSO dfinit un sous-ensemble
de contrles informatiques quon peut les rpertorie en trois classes :
Les contrles informatiques au niveau de lentit : ces contrles font partie des contrles
internes et traitent les activits des SI associes aux lments suivants : les stratgies et plans
daction, les politiques et procdures, lvaluation des risques, la formation, lassurance qualit
et laudit interne.
Les contrles applicatifs (CA) : sont des contrles basiques qui se trouvent au dbut de
lchelle des contrles associs aux SI. Ils sont intgrs dans les applications mtiers (les ERP)
et ils participent aux contrles financiers. Ces contrles ont pour objectifs de vrifier les
critres suivants de linformation financire :
lexhaustivit et lexactitude,
lexistence et lapprobation,
la prsentation et lintelligibilit.
Les contrles gnraux informatiques : ces contrles sont intgrs dans les processus des SI (la
fonction informatique), ils permettent de garantir un environnement de traitement fiable et un
droulement adquat des contrles applicatifs. Ils couvrent :
le dveloppement et les modifications des applications,
laccs aux donnes et aux programmes,
les traitements informatiques.
(8)

COSO est un rfrentiel de contrle interne dfini par le Committee Of Sponsoring Organizations of the Treadway
Commission . Il est utilis notamment dans le cadre de la mise en place des dispositions relevant des lois SOX ou LSF.
Le rfrentiel initial de contrle appel COSO 1 a volu depuis 2002 vers un second corpus ax sur la gestion des risque
dnomm Entreprise Risk Management ou COSO 2.

13

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Il est remarquer que ces contrles ne sont pas exhaustifs et quils sont destins assurer la fiabilit
de linformation financire et dassister les activits mtiers. Ces contrles doivent tre renforcs par
dautres dispositifs de contrle plus rigoureux et des bonnes pratiques issus dautres rfrentiels
spcialiss pour couvrir la totalit des activits de la DSI et lensemble des ressources des SI.

II. Le mtier daudit interne


1) Notion de laudit interne
LAudit Interne est une activit indpendante et objective qui donne une organisation une
assurance sur le degr de matrise de ses oprations, lui apporte des conseils pour les amliorer et
contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant
par une approche systmatique et mthodique ses processus de management des risques, de
contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur
efficacit . (9)
La fonction de laudit interne consiste vrifier et valider les dispositifs de contrle interne associs
aux procdures, informations, oprations, organisations et structures de lentreprise. Cest un outil
d'amlioration continue qui permet de faire le point sur l'existant (tat des lieux) et didentifier les
points de faiblesses et les non-conformits des contrles mis en place, cela afin de mener par la suite
les actions adquates permettant de corriger les carts et dysfonctionnements constats. La qualit de
cette fonction sera dtermine par le niveau de respect des critres suivants :
lindpendance et le degr de comptence des auditeurs,
lutilisation ou llaboration des normes ou rfrentiels daudit,
llaboration dun programme daudit,
lexhaustivit et la permanence de dispositif daudit,
lexistence dun dispositif de suivi des recommandations.
Plusieurs approches daudit se prsentent, on cite :
Lapproche par mtier : dans cette approche les sujets daudit seront dcoups en fonction des
grands mtiers de lentreprise. Cest une approche par les structures (dpartements, divisions,
services) et qui permet dexaminer chaque fois une de ces structures.
(9)

Dfinition de laudit interne inspire de la dfinition approuve le 21 mars 2000 par le Conseil d'Administration de
l'IFAC ( International Federation of Accountants ), cest une traduction de la dfinition en anglais approuve par lIIA
( Institute of Internal Auditors ) le 29 juin 1999.

14

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Lapproche par fonction : appele audit oprationnel ou audit dvaluation, cest lexamen
dune situation ou dune fonction bien particulire (commerciale, production, financire,
comptable, sociale, gestion des ressources humaines) permettant ainsi de traiter chaque
fois un lment cl de lentreprise.
Lapproche par thme : certains sujets daudit ne correspondent ni une structure ni une
fonction bien dtermine, do cette approche par thme qui permet de planifier et dexcuter
des missions daudit spcifiques, selon les besoins de lentreprise (comme par exemple la
scurit). Cette approche permet dexaminer un ensemble de structures et de fonctions en
rponse au sujet daudit fix.
Lapproche par processus : qui consiste traiter lentreprise comme un ensemble de processus
interconnects oprants ensemble pour latteint des objectifs stratgiques fixs par la direction
gnrale. Cette approche permet de dterminer et examiner les processus qui rpondent et
contribuent la ralisation dun objectif mtier bien dtermin.
Lapproche par les risques : elle consiste identifier les diffrents risques qui peuvent porter
atteintes au bon fonctionnement de lentreprise, de les valuer, de leurs attribuer des niveaux
de priorits et de les examiner selon cet ordre. Dans cette logique une cartographie des risques
sera dresse et sur sa base des missions daudit seront planifies et excutes par ordre de
priorit des risques.

Approche
par
mtier

Approche
par
thme

Approche
par
les risques

Approche
par
processus

Approche
par
fonction

Figure 4 : Les diffrentes approches d'audit

remarquer que le choix de lapproche daudit sera dcid en fonction du modle dorganisation de
lentreprise, des moyens et outils daudit dploys et en fonction des besoins de la direction et des
mtiers. Toutefois une dmarche gnrale peut tre dresse et suivie quelque soit lapproch adopte,
ce quon va prsenter par la suite.
15

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

2) Conduite dune mission daudit : dmarche gnrale

16

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Figure 5 : Dmarche gnrale dune mission daudit (10)

(10)

Cette dmarche a t inspire des normes internationales et elle est axe sur les risques. Cette dmarche peut tre
appliquer pour les diffrentes autres approches daudit.

17

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Cette dmarche comporte cinq phases, qui sont :


La phase de planification pluriannuelle et annuelle : pour cette approche, la mthode de
dtection des risques prsente un lment dentre pour la phase de planification, ainsi une
cartographie des risques doit tre tablie priori par la direction daudit. Selon les indicateurs
de cette carte un plan pluriannuel (de trois cinq ans) sera discut avec le comit daudit et la
direction gnrale afin de le valider et lamliorer. De ce plan pluriannuel dcoulent des plans
annuels daudit qui doivent tre aussi approuvs par la direction gnrale.
La phase de prparation : cette phase peut se dclencher plusieurs fois selon une chronologie
des missions planifies davance, ou suite un ordre de mission de la part dun commanditaire
(la direction gnrale par exemple). Elle consiste :
Prendre connaissance du sujet traiter et du systme de contrle interne.
Identifier les risques spcifiques.
Dterminer les objectifs de la mission.
Dterminer les vrifications tablir.
Cette phase se terminera par llaboration dun programme de travail qui sera suivi.
Tableau 2 : Phase de prparation d'une mission
Elments
Ordre de mission
Rencontre avec la
direction de lentit
audite
Runion douverture
Rapport dorientation
Programme de travail

Description
Cest le mandat donn par la direction gnrale au service daudit, prcisant lorigine
de la mission et son tendue tout en nommant une quipe daudit.
Cette rencontre permet didentifier : les objectifs, ltendue, la nature, le dlai, les
auditeurs responsables de la mission et lorganisation ou non dune runion
douverture. Un compte rendu sera rdig et envoy aux participants.
Elle permet dtablir les premiers contacts entre les auditeurs et les audits (elle est
facultative), elle consiste unir le chef de la mission, les auditeurs, les directeurs et
les chefs services des entits audites.
Cest un contrat de prestation de services prcisant les axes dinvestigation et les
limites de la mission en les exprimant en objectifs atteindre par laudit.
Cest un document interne qui permet de dterminer, de rpartir et de planifier les
actions daudit. Il prcise les tches effectuer, les investigations mener, les
questions poser et les pratiques de bonne gestion vrifier.

La phase de ralisation : cette phase suit le programme de travail tabli dans la phase
prcdente, elle consiste mener des travaux dinvestigation et de vrification sur terrain (via
des moyens et des outils daudit), tout en suivant la chane : Faits Causes Consquences
Conclusion Recommandations, et qui seront formuls au niveau des FRAP(11). Cette
phase aboutira une apprciation du systme de contrle interne tout en relevant ses
principaux points forts et ses faiblesses.
(11)

FRAP : Feuille de Rsolution et d'Analyse des Problmes.

18

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Tableau 3 : Phase de ralisation d'une mission


Elments
Questionnaire de CI

FRAP

Compte rendu final

Description
Lobjectif de ce questionnaire est dvaluer les dispositifs de systme de contrle
interne pour chaque opration risque (Qui ? Quoi ? O ? Quand ? Comment ?) et de
vrifier lexistence et lefficacit de ces dispositifs.
Ils prsentent les rsultats des travaux sur terrain et sont rdiges par lauditeur pour
chaque dysfonctionnement constat, permettant de structurer le raisonnement de
lauditeur jusqu la formulation de la recommandation. Elles comprennent : les
problmes, les faits, les causes, les consquences et les recommandations. Elles
serviront comme une base pour la rdaction du rapport daudit.
Cest une prsentation orale des principales observations, faite par le chef de
lquipe daudit et destine au responsable de lentit audite. Il sera effectu la fin
du travail terrain.

La phase de conclusion : elle consiste formuler un rapport daudit structurant les


conclusions et comportant les recommandations en rponse aux risques et dysfonctionnement
dtects lors de la phase dinvestigation. Ce rapport sera accompagn dun plan daction ou au
cas chant des modalits de remise future qui seront destin aux parties prenantes concernes.
Tableau 4 : Phase de conclusion d'une mission
Elments
Projet de rapport
Runion de validation
et de clture
Rapport final

Plan daction

Description
En se basant sur les FRAP et les diffrents lments probants, lauditeur formulera sa
conclusion dans ce rapport avant dtre valid par les audits.
Cette runion permettra de prsenter et de valider les constats, expliquer les
recommandations et de fixer les modalits pratiques relatives au plan daction et de
suivi de la mission.
Rdig aprs la remise des commentaires crits des audits (prvus lors de la runion
de validation et de clture). Ce rapport doit tre complet, constructif, objectif et clair.
Il doit tre publi en deux versions, un expos gnral et une synthse afin de
satisfaire aux diffrents lecteurs. Ce rapport a deux objectifs :
informer la hirarchie des conclusions de la mission et de ltat du systme
de contrle interne
assister les audits dans llaboration des plans daction afin de remdier
aux problmes et aux dysfonctionnements dtects.
Rdig par les directeurs des entits audites. Il vise mettre en uvre les
recommandations cites dans le rapport final. Pour chaque recommandation, laudit
doit exprimer sa position soit en lacceptant totalement ou partiellement (tout en
prcisant Qui fera Quoi ? ), soit en la refusant en expliquant les raisons. Ce plan
doit tre valid par le service daudit

Le suivi des recommandations : une fois le plan daction valid, le service daudit suivra sa
mise en uvre tout en communiquant les tats daction et de progrs rgulirement la
direction gnrale.

Cette tape permet de garantir la bonne application des diffrentes

corrections et amliorations tablies dans le plan daction. Ces plans daction et de suivi
formeront un pilier de la dmarche globale damlioration continue des services, produites et
structures des entreprises en gnrale.

19

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

3) La bote outils de lauditeur


Afin de mener bien sa mission, lauditeur a besoin le long de son travail, ds la phase de
prparation jusqu llaboration du rapport daudit final, dun nombre doutils et de mthodes afin
de collecter les informations, analyser les donnes, dcrire ltat du systme, ainsi que des outils de
vrification et de validation. On distingue deux catgories doutils utiliss :
Les outils dinvestigation : ces outils offrent une aide aux auditeurs afin de formuler des
questions ou apporter des rponses des questions qui se posent.
Les outils de description : permettant de projeter de la lumire sur diffrents aspects
fonctionnels et organisationnels de lentreprise, ce sont des outils de rvlation .
a) Les outils dinvestigation
Les sondages statistiques ou chantillonnage : ce type doutils est souvent utilis dans la
pratique daudit. Dans la plupart des oprations de sondage ou dchantillonnage, lchantillon
est choisi partir dune srie darticles (cet chantillon doit tre reprsentatif de la population
fixe). Suite a, des mesures et des oprations statistiques permettront au moyen de cet
chantillon de projeter des jugements et des conclusions sur lensemble de la population. Cet
outil fait appel aux qualits de bon sens et de jugement de lauditeur, que ce soit pour la
dtermination de la taille de lchantillon, la slection des articles tudier et la formulation
des conclusions relatives la population drive des rsultats de lanalyse de lchantillon.
Tableau 5 : Les dix commandements pour un bon chantillonnage

Principes
Connaitre les principes de lchantillonnage scientifique, et ne lutiliser que lorsquils sadaptent aux
mieux aux objectifs de laudit.
Connaitre la population tudie et ne fonder des opinions que sur la population chantillonne.

Accorder la mme chance dtre choisis tous les lments de la population.

Ne laissez pas un biais personnel affecte lchantillon.

Ne permettre pas que des configurations particulires de la population affectent le caractre alatoire que
doit revtir lchantillon.
Faire attention, lchantillon orient vers un but (dirig) a un rle jouer, mais nen tirer pas des
conclusions pour toute la population.
Baser les estimations de taux maximaux derreurs sur ce qui est raisonnable dans un modle rel, essayer
de dterminer quel moment des signaux dalarme cesseraient de jouer.
Stratifier chaque fois que cela semble rduire la dispersion dans lchantillon.

6
7
8
9

10

Ne fixer pas sans ncessit des objectifs levs de fiabilit (niveau de confiance et de prcision). Les
contrles, la supervision, les indicateurs, les procds dauto-correction, ainsi que la conscience des faits
qu la direction et la surveillance quelle exerce, sont autant dlments qui doivent tre considrs pour
tenter de rduire ltendue des investigations daudit.
Ne sarrter pas aux rsultats statistiques, mais chercher les causes.

20

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Les interviews ou entretiens : ces outils sont utiliss frquemment, ils ne doivent pas tre
confondus avec les conversations et les interrogatoires. Les conditions dune bonne interview
seront garanties en fonction du niveau de collaboration instaur entre laudit et lauditeur.
Une interview se dcompose gnralement en trois phases :
La prparation de linterview : lauditeur doit dabord prendre un rendez-vous avec son
interlocuteur, et avant de le contacter il doit collecter quelques informations
professionnelles sur lui (prendre connaissance de son interlocuteur). Aussi il doit
prparer son sujet et ses outils, il est indispensable pour chaque entretien davoir fix au
pralable les objectifs que lon souhaite atteindre avec un questionnaire dtaill ou au
moins un guide dentretien.
La conduite de linterview : une mthode efficace consiste prendre des notes au fur et
mesure, a permet de ralentir les flux dinformations et de garder des traces du
droulement de lentretien et de ces points essentiels.
Laprs interview : lauditeur doit formaliser ses notes afin de les exploiter.
Tableau 6 : Les rgles suivre dans une interview

1
2

3
4
5

Rgles
Il faut respecter la voie hirarchique. Sauf urgence exceptionnelle, lauditeur ne doit pas procder une
interview sans que le suprieur hirarchique de son interlocuteur ne soit inform.
Rappeler clairement la mission et ses objectifs. Linterlocuteur de lauditeur doit connatre le pourquoi et
le comment de linterview. Il serait dsastreux quil puisse simaginer que lon va lui tendre des questions
piges, que linterview nest en somme quun interrogatoire dguis.
Evoquer les difficults, les points faibles, les anomalies rencontres avant toute autre chose.
Recueillir son adhsion les conclusions de linterview rsumes avec linterlocuteur, avant de les
communiques sous quelque forme que ce soit sa hirarchie.
Conserver lapproche systme, en vertu de ce principe lauditeur ne sintresse pas aux hommes. On doit
donc se garder de toute question ayant un caractre subjectif et mettant en cause les personnes.

Les questionnaires : ceux-ci se prsentent comme un outil efficace dvaluation de niveau de


conformit des dispositifs de contrle aux normes et bonnes pratiques choisies comme
rfrences. Ils permettent didentifier les points forts et/ou les faiblesses de ces dispositifs ainsi
que les risques associs leur absence ou leur insuffisance. Ils permettent aux auditeurs
dorganiser et de rpartir les diffrents points traiter sous forme de questions groupes par
thme. Leur importance rside dans un ensemble davantages qui permettent lauditeur de :
Formuler des questions par thmes et de les mettre dans un ordre de priorit.
Prparer un ensemble de points traiter et aborder dans le questionnaire.
Etablir un barme dvaluation afin de comparer les rponses de laudit avec la
rfrence et de comparer les rponses des diffrents audits.
21

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Tableau 7 : Les diffrents types de questionnaire d'audit


Type de questionnaire
Les questions choix
multiples
Les questions directes
Les questions indirectes
Les questions fermes
Les questions ouvertes
Les grilles dvaluation

Description
Questions fermes avec un choix faire parmi plusieurs rponses prdfinies.
Questions formules de manire impliquer directement le rpondant, afin qu'il
se sente concern par la rponse.
Questions formules de manire ne pas impliquer directement le rpondant, afin
qu'il se sente libre de rpondre.
Questions la/aux rponse(s) limit(s) une liste de propositions.
Question laissant au rpondant la libert de choisir ses propres mots.
Succession de questions bases sur la mme chelle d'valuation (chelle de
Likert). L'chelle contient en gnral cinq ou sept choix de rponse qui permettent
de nuancer le degr d'accord.
1. Pas du tout d'accord
2. Pas d'accord
3. Ni en dsaccord ni d'accord
4. D'accord
5. Tout fait d'accord

remarquer que des modles de questionnaires, formuls par des experts, peuvent tre utiliss
nanmoins ces modles doivent tre adapts lentreprise et au contexte de la mission ainsi
lauditeur doit garder un recul ncessaire par rapport ces modles. remarquer aussi quun
questionnaire est une sorte de guide pour lentretien, lauditeur peut approfondir son enqute
en improvisant des questions sur la lumire des rvlations de son interlocuteur et en se basant
sur son exprience sans oublier de noter ses observations et les remarques conclues.
b) Les outils de description
Lorganigramme fonctionnel : la collecte des organigrammes de lentreprise par lauditeur
est une tche importante afin de pouvoir comprendre les responsabilits respectives du
personnel. Lauditeur est trs souvent amen mettre jour les organigrammes ou rajouter
ses propres commentaires sur les responsabilits relles. Les mots figurant dans les cases de
ces organigrammes ne sont pas des noms de personnes (organigramme hirarchique) mais des
verbes dsignant des fonctions. Cet organigramme doit aussi prsenter des descriptifs des
postes qui se considrent comme des lments importants de contrle interne.
Le diagramme de circulation des flux ou Flow-Chart : cest une reprsentation narrative ou
graphique dune suite doprations dans laquelle les diffrents documents, centres de travail, de
dcision, de responsabilit, sont reprsents par des symboles runis les uns aux autres suivant
lorganisation administrative de lentreprise. En fait llaboration de tel Flow-Chart amliore la
perception de lentreprise par le classement et le tri des donnes structures sous une forme
synthtique.
22

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Ce diagramme de circulation des flux doit permettre de faire ressortir les lments suivants :
les rles et responsabilits pour chaque opration,
les points daction, de dcision et de contrle,
les descriptions des circulaires et documents similaires,
les flux de communication lintrieur et avec lextrieur de lorganisation.
La synthse de tous ces lments permettra lauditeur de mettre en vidence les contrles cls
existant au sein de lorganisation et sur lesquels il sappuiera lors de sa mission. Le document
doit donc reprsenter sans ambigut toute linformation ncessaire pour comprendre le circuit
tudi et linterprter sans avoir rechercher de renseignements complmentaires. La forme
narrative de description se rvle une mthode difficile manier et peu claire, cest pour cette
raison quune reprsentation schmatique recensant les faiblesses et forces du contrle interne
savre beaucoup plus utile. Et comme toute technique standardise, cette reprsentation doit
comprendre un certain nombre de symboles et de conventions.
Un autre avantage de cet outil, cest quil permet l'auditeur de comprendre les mthodes et
les systmes employs au sein de l'organisation, ainsi que les contrles effectus, en
mettant l'accent plus particulirement sur les procdure de circulation de l'information. Cette
comprhension des systmes (y compris systmes dinformation de lentreprise) sert de base

l'valuation

des

flux

et

contrles

interne matrialiss par ce type de documents

normaliss. Son usage permet en outre d'amliorer l'efficacit et l'homognit du groupe


d'audit et de permettre une meilleur communication entre les diffrents auditeurs.
Lobservation physique : il sagit dune constatation de la ralit instantane de lexistence et
du fonctionnement dun ensemble dlments tel que : le processus, les biens, les transactions,
les valeurs, les documents, les comportements. Il existe deux formes dobservations :
Lobservation directe : permettant dassurer une vrification immdiate et visuelle dun
descriptif. Elle peut aboutir un avis sur ltat physique et/ou de fonctionnement dun
bien, comme elle peut prendre la forme dun comptage dunits/ des composants.
Lobservation indirecte : et qui consiste soit consulter directement des documents
reprsentatifs du droit, de lengagement comme les contrats, les courriers, les
certificats, soit faire des correspondances avec des tiers concerns pour quils
fournissent leurs observations et remarques concernant les lments audits.
Dune manire gnrale cette mthode va permettre lauditeur de mieux comprendre le
contexte, le primtre et lenvironnement de la mission daudit excuter.
23

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

III.

Laudit des systmes dinformation

1) Porte de laudit des systmes dinformation


Vu la nouvelle dimension qua pris le SI dans lensemble des activits de lentreprise, en se
prsentant comme un lment contributif la cration de la valeur et afin dassurer sa
performance et son bon fonctionnement, un ensemble de dispositifs de contrle associs doivent tre
mis en place. Des dispositifs relevant de la doctrine propres lentreprise ou en rponse aux
exigences des lois mergeantes telles que la LSF et la loi SOX (cas des dispositions de la section 404
cherchant garantir lexhaustivit, lexactitude, la validit des informations financires et la
restriction daccs).
Plusieurs entreprises pour se conformer des telles exigences et se protger contre les risques
affectant les assertions de leurs tats financiers, ont procd limplmentation de lensemble des
contrles gnraux informatiques et les contrles applicatifs issus du rfrentiel de contrle interne
COSO. Ces dispositifs font lobjet des rvisions globales au niveau des missions daudit interne (tel
que laudit des tats financiers). Cependant ces missions daudit ne permettent pas de vrifier
lintgralit des activits de SI qui dpassent de loin celles propres ltablissement de ces tats
financiers. Cest dans ce contexte qua volu la notion daudit des SI et qui drive de celle de laudit
interne visant complter cette fonction en traitant en objet : linformation, les infrastructures
technologiques, les ressources humaines, les processus et les applications associes.

Figure 6 : La relation Audit Interne - Audit des SI

24

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Laudit des SI forme ainsi un support la fonction daudit interne qui traite les risques oprationnels
et financiers associs aux diffrents processus mtiers de lentreprise. En gnrale plusieurs contrles
automatiques (les contrles applicatifs) font partie intgrante des diffrents applications mtiers
(ERP) dploys au sein de lorganisation, ces contrles visent garantir lefficacit et lefficience
des donnes et transactions financires. Cest au niveau des missions daudit interne que ces
contrles vont faire objet de vrification et dvaluation par rapport aux bonnes pratiques des cadres
gnrale de contrle interne, tel que COSO.
De cet angle des audits informatiques associs auront lieu au sein de ces missions, nanmoins les
risques informatiques ne seront pas tous cerns, ce qui exigent dautres missions plus spcifiques se
chargeant de la fonction informatique en particulier. Cest l quintervient la fonction audit des SI, et
qui va revoir la totalit des activits des SI, en vrifiant les contrles gnraux informatiques et
applicatifs associs aux diffrentes ressources matriels, logiciels et humaines ainsi que les
procdures et rgles de gestion tablies pour ces SI. Les auditeurs informatiques se rfreront pour
cette raison des rfrentiels daudit dits spcialement aux SI, comme le cas de cadre de rfrence
Cobit et autres standards.
2) Types de missions daudit des systmes dinformation
Daprs lenqute faite en 2007 par MAZARS(12) auprs de 134 organisations sur la diversit et
ltendu des missions daudit se portant sur les SI, une varit de missions tait recens. La figure
suivante segmente en pourcentage le primtre dintervention des auditeurs informatiques et les
types de missions couvrant les SI identifis par cette tude.

Figure 7 : Les diffrents types de missions daudit des SI


(12)

MAZARS est une entreprise internationale d'origine franaise spcialise dans l'audit, l'expertise comptable,
la fiscalit et le conseil aux entreprises.

25

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Ainsi on remarque bien que ces missions daudit identifies traitent les diffrentes dimensions :
managriale, oprationnelle et technique (audit de performance-efficacit) dun SI, comme ils
traitent des objets et thmes spcifiques tels que : les donnes, les processus, les projets,
larchitecture, la scurit, la qualit, la conformit
Tableau 8 : Exemples de missions d'audit des SI
Mission
Audit de la stratgie
informatique
Audit de la fonction
informatique
Audit de lexploitant
Audit des projets
informatiques

Audit des applications


oprationnelles

Audit des donns et


transactions
Audit physique

Audit de migration

Audit de la scurit des


SI

Description
Cette mission consiste sassurer que le SI est bien align avec la stratgie globale de
lentreprise et que les investissements informatiques sont bien gouverns.
Lobjectif de cette mission est de rpondre aux proccupations de la DG ou de la DSI
concernant l'organisation de la fonction informatique, son pilotage, son positionnement
dans la structure, ses relations avec les utilisateurs, ses mthodes de travail
Cette mission a pour but de s'assurer que les centres de production informatiques
(centres de services) fonctionnent de manire efficace et qu'ils sont correctement grs.
Le but de cette mission daudit cest de s'assurer que les projets informatiques se
droulent normalement et que l'enchanement des oprations se fait de manire logique
et efficace fin d'arriver en toute sret la fin de la phase de dveloppement, et afin
de dlivrer une application performante et oprationnelle.
Cette mission daudit permet de donner au management une assurance raisonnable sur
la sret de fonctionnement dune application et les contrles imbriqus dedans. Cette
mission daudit peut traiter une application comptable, de paie, de facturation,.
mais, de plus en plus souvent, on s'intresse l'audit des processus globaux de
l'entreprise comme la vente, la production, lachat, la logistique,
Le but de cette mission cest de vrifier la fiabilit des donnes et transactions
financires pris en charge par le SI et les technologiques dinformation associes.
Ce type de mission traite les infrastructures, les quipements et installations, afin de
sassurer de la validit des dispositifs mis en place pour se protger contre des
dommages et dsastres comme : les incendies, les inondations, orages
Cette mission vrifier le processus de migration dune application ou dun systme vers
des nouvelles versions ou suite des changements au niveau de linfrastructure et les
technologies de linformation, dans le but de sassurer de la prennit du SI.
Cette mission daudit a pour but de donner au management une assurance raisonnable
du niveau de risque acceptable associ des dfauts de scurit des SI et que
lentreprise peut assumer. Ce type de mission globale peut tre divis en sous-missions
daudit plus spcifiques, tel que :
Audit de la scurit physique
Audit de la scurit des applications
Audit de la scurit des services informatiques .

3) Rfrentiels daudit des systmes dinformation


Avant de mener des travaux dinvestigation lors de la phase dexcution les auditeurs doivent
dabord fixer un ou plusieurs cadres de rfrence, soit de ceux propres lentreprise ou choisis
parmi les standards et les normes internationales existants. Un cadre de rfrence par dfinition est
un ensemble de rgles organisationnelles, procdurales et/ou techniques mettre en place pour
gouverner (grer dans les rgles de lart) les SI. Ces cadres peuvent tre utiliss par les auditeurs au
cours dune mission d'audit fin d'valuer les dispositifs de contrle en question et de mesurer le
niveau de leurs applications par rapport aux exigences et les bonnes pratiques de ces standards.
26

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Plusieurs cadres de rfrence de contrle, de gestion, de gouvernance et daudit se prsentent sur le


march et permettant chacun de traiter un lment ou une dimension des SI, tels que :
Larchitecture des SI (exemple : TOGAF).
Les services informatiques (exemple : ITIL, la norme ISO 20000).
Les projets informatiques (exemple : PMBOK, PRINCE2, CMMi).
La gouvernance des SI (exemple : Cobit, Val IT, Risk IT, la norme ISO 38500).
Lexternalisation des services informatiques (exemple : eSCM).
La conformit rglementaires des SI (exemple : loi SOX, Acte BleII, COSO, Cobit).
La scurit des SI (exemple : la famille des normes ISO 27000).

Figure 8 : Les principaux rfrentiels de la DSI

Ces diffrents cadres de rfrence prsentent une bibliothque complte de savoir et de bonnes
pratiques pour la gestion et la bonne gouvernance des SI, ils forment une base aux managers fin de
piloter, contrler et maintenir des SI en haute performance.
27

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Ces cadres seront aussi la rfrence la quelle se pointent les auditeurs pendant leurs missions
daudit dans le but de vrifier le niveau dapplication de ces bonnes pratiques et lefficacit et
lefficience des contrles mis en place. Dans le tableau suivant on prsentera des descriptions
brves des principaux rfrentiels et normes internationales daudit des SI.
Tableau 9 : Descriptions des principaux rfrentiels et normes daudit des SI
Rfrentiel / Norme
ITIL (Information
Technology Infrastructure
Library)

CMMi (Capability
Maturity Model
integrated)

PMBOK (Project
Management Body of
Knowledge)
PRINCE2 (PRojects IN
Controlled Environments)
TOGAF (The Open
Group Architecture
Framework)
eSCM (eSourcing
Capability Model)

COSO (Committee Of
Sponsoring
Organizations)

Cobit (Control Objectives


for Information and
related Technology)

Description
ITIL a t mis en place par lOGC ( Office of Gouvernement Commerce )
britannique. Cest un ensemble douvrages recensant les bonnes pratiques
du management tout autour des services du SI. Les tomes les plus utiliss concernent
le soutien et la fourniture des services informatiques. ITIL permet, grce son
approche processus clairement dfinie et contrle, d'amliorer la qualit des services
du SI et de l'assistance aux utilisateurs. Dans sa troisime version ITIL a met laccent
sur la matrise du cycle de vie dun service informatique.
CMMi a t conu par le SEI ( Software Engineering Institute ) de luniversit de
Carnegie Mellon. Cest un modle de rfrence, sous forme dun ensemble structur
de bonnes pratiques, destin apprhender, valuer et amliorer les activits des
entreprises d'ingnierie informatique afin de contrler la fonction de dveloppement
des applications et des logiciels.
Il se prsente comme une rfrence en matire de gestion des projets, il est dit par le
PMI ( Project Management Institute ). Ce rfrentiel est totalement complmentaire
avec des dmarches damlioration continue de type CMMi.
Cest une mthode de gestion et de certification de projet aussi structure et qui se
focalise sur trois points : l'organisation, la gestion et le contrle du projet.
Cest un ensemble de concepts et un standard industriel couvrant le domaine des
architectures informatiques d'entreprise, qui peut tre utilis par toute entreprise
souhaitant dvelopper ou modifier son architecture.
Cest un rfrentiel labore depuis 2001 par lUniversit Carnegie-Mellon/ ItSQC afin
damliorer la relation entre clients et fournisseurs dans le cadre de la fourniture de
services utilisant les technologies de linformation. Ces services sont de nature trs
diverse : infogrance, externalisation du support informatique, tierce maintenance,
fourniture de liaisons de tlcommunications
Cest un rfrentiel de contrle interne dfini par le la COSO ( Committee Of
Sponsoring Organizations of the Treadway Commission ). Il est utilis notamment
dans le cadre de la mise en place des dispositions relevant des lois SOX (pour les
entreprises cotes en bourse en USA) ou LSF (pour les entreprises franaises). Le
rfrentiel initial appel COSO1 reprsente un framework de gestion des objectifs
de conformit configurable toute rglementation. Lapproche COSO est structure en
trois axes : le premier pour lvaluation des objectifs, le deuxime axe dfinit les
risques, contrles et les actions et le troisime axe organise le travail dans un systme
processus bien structur. COSO a volu depuis 2002 vers une deuxime
version COSO2 sous forme dune mthodologie axe sur la gestion des risques appele
ERM ( Entrprise Risk Management ).
Cobit a t publi en 1996 par lISACA ( Information Systems Audit and Control
Association ). CobiT est organis selon une approche oriente processus, qui regroupe
en 4 domaines (structurs par analogie avec la Roue de Deming), 34 processus
distincts qui comprennent en tout 215 activits et un nombre plus important de
pratiques de contrle. CobiT fournit aux gestionnaires, auditeurs et utilisateurs de SI,
des indicateurs, des processus et des bonnes pratiques pour les aider maximiser les
avantages issus du recours des techniques informatiques et l'laboration de la
gouvernance et du contrle d'une entreprise. Dans sa version 4.1 Cobit intgre
proprement dit les deux volets audit et management des SI, ainsi quun grand nombre
de dmarches et bonnes pratiques issues dautres rfrentiels et normes internationales.

28

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Val IT (Governance of IT
investments)

Risk IT (Governance of
IT risks)

La norme ISO 9000

La norme ISO/CEI
20000

La srie des normes


ISO/CEI 27000

Cest un cadre de rfrence pour la gouvernance des investissements informatiques qui


a t ralis par lITGI ( IT Gouvernance Institute qui a t cre par lISACA), et qui
propose une analyse de la performance des investissements en technologies de
l'information. Val IT distingue trois axes de gouvernance des projets SI : la
gouvernance de la valeur (GV), la gestion de portefeuille (GP) et la gestion des
investissements (GI). Remarque : Val IT a t intgr dans la version 5 de Cobit.
Risk IT est un rfrentiel de management du SI et des TI par les risques il a t publi
en 2009 par l'ISACA. Cest un guide de principes directeurs et de bonnes pratiques qui
sorganisent en 3 domaines, 9 processus et comptent 47 bonnes pratiques. Les
domaines et processus de ce rfrentiel couvrent les trois axes suivants : la
gouvernance des risques (GR), lvaluation des risques (ER) et le traitement des
risques (TR). Remarque : Risk IT a t intgr dans la version 5 de Cobit.
Cest un ensemble de normes relatives la gestion de la qualit et qui est publies par
l'ISO ( International Organization of Standardization ). Cette norme repose sur un
certain nombre de principes de management de la qualit, notamment une forte
orientation client, la motivation et lengagement de la direction, lapproche processus
et lamlioration continue. La variante ISO 9001:2008 aide sassurer que les clients
obtiennent des produits et services uniformes et de bonne qualit, avec, en retour, de
belles retombes commerciales.
Elle est issue de la norme BS 15000 de BSI ( British Standards Institution ), cest
une norme de certification des services informatiques des organisations prouvant le
respect de normes de qualit dites au travers de phases, de contrles et de procdures
mises en place.
Cest une suite des normes de scurit de l'information publie conjointement en mai
2009 et rvise par lISO ( International Organization of Standardization ).) et
la CEI ( Commission Electrotechnique Internationale ). Ces normes sont drivs des
normes prcdentes telles que : ISO 17799 et BS 7799.
Parmi cet ensemble des normes la norme ISO/CEI 27002 prsente un ensemble de 39
objectifs de contrle qui stalent en 133 mesures ou bonnes pratiques destines tre
utilises par tous ceux qui sont responsables de la mise en place ou du maintien
d'un Systme de Management de la Scurit de l'Information (SMSI) et les
auditeurs des SI au cours de leurs missions.

Sources : Les rfrentiels de la DSI . Cigref (2009).


Lorganisation internationale de normalisation ISO (site web : http://www.iso.org/ )

29

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Chapitre 2 : Cobit 4.1 un cadre fdrateur daudit des systmes


dinformation
I. LISACA et ses principales contributions en matire daudit des systmes
dinformation
1) Prsentation de lISACA
L Information System Audit and Control Association (ISACA) est une association
professionnelle internationale qui a t fonde aux tats-Unis en 1969 dont l'objectif est d'amliorer
la gouvernance des SI, notamment par l'amlioration des mthodes d'audit informatique. Elle est
aussi un membre affili de lIFAC(13).
Depuis sa cration et afin datteindre lobjectif fix elle a dvelopp un ensemble de textes et de
rfrentiels qui se rsument essentiellement en :
Un code de dontologie : cest une charte daudit standard pour encadrer la fonction des
auditeurs des SI. Ce code doit tre respect par les adhrents lISACA (essentiellement les
auditeurs certifis) et peut tre considr comme un modle aux entreprises afin dlaborer
leurs propres tiques et codes de dontologie suivre par leurs propres units daudit des SI.
Un ensemble de normes, conseils et procdures pour laudit des SI ( Standards, guidelines
and procedures for information system auditing ). Ces normes ont t codveloppes avec
lIFAC et approuves comme des normes internationales en audit et contrle des SI dans le but
daider les auditeurs promouvoir des SI de confiance et crateurs de valeur.
Un ensemble de rfrentiels pour laudit et la gouvernance des SI : Val IT, Risk IT, Cobit et
plusieurs autres publications connexes.
2) Chronologie des variantes Cobit
Le rfrentiel Cobit a vu ds son apparition plusieurs volutions :
Cest en 1996 que lISACA a publi la premire version de Cobit qui tait ce premier stade
juste un rfrentiel daudit et de contrle des SI sinspirant des principes de rfrentiel de
contrle interne COSO (publi en 1992). Cette premire version tait destine aux auditeurs
dans le but de les assister dans la planification et lexcution de leurs missions daudit.
(13)

IFAC ( International Federation of Accountants ), cest la fdration globale de la profession comptable fond en
1977. Elle a pour vocation de publier des standards internationaux sur l'thique, audit et assurance, l'ducation, et la
comptabilit du secteur public. Elle publie aussi des conseils pour encourager la qualit dans les services des
professionnels comptables.

30

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

En 2000 une troisime version a apparu suite aux nombreux travaux de lITIG(14) . Cette
version a introduit pour la premire fois la notion de management, proposant ainsi deux
guides : un guide daudit qui offre une approche processus guide par des objectifs de contrle
et un guide de management pour ces processus sous forme dun ensemble de lignes directrices.
La version quatre de ce rfrentiel a fait son apparaissance en 2005 et a volu vers la version
4.1 en 2007. Ces deux versions regroupent deux visions : le contrle et le management des SI
(notion dveloppe depuis la version 3 et approfondie dans la version 4.1 au niveau dun guide
complet de management). Ces deux versions ont t fortement influences par la loi SOX et
son homologue la LSF, en renforant les contrles des SI associes aux processus financiers et
la gouvernance des SI .Ces deux version intgrent aussi dans leurs processus les bonnes
pratiques issues dun nombre autres rfrentiels, lois et normes tel que : ITILV3, ISO 27002,
ISO 9000, ISO 38500, CMMi, COSO, loi SOX, PMBOK, TOGAF . Ds lors la version 4.1
de Cobit a t considre comme un cadre fdrateur daudit et de gouvernance des SI.
La cinquime variante de Cobit a t dvoile en 2012 et a pris une nouvelle tendue en se
focalisant sur la dimension gouvernance qui est devenue la ligne directrice de la nouvelle
approche Cobit. Cette version a intgr en plus des bonnes pratiques issues de nombreux
cadres daudit et de gouvernance dans la version prcdente, les bonnes pratiques des
rfrentiels Val IT et Risk IT dvelopps par lISACA, fin de prsenter une dmarche
cohrente et globale en matire daudit, management et gouvernance des SI.

Figure 9 : Evolution du cadre de rfrence Cobit

(14)

ITGI ( IT Governance Institute ) est un institut fond par lISACA en 1998 afin de contribuer par des tudes et des
recherches en gouvernance des SI apporter des amliorations aux approches et mthodologies des produits de cette
dernire.

31

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

II. Prsentation du cadre de rfrence Cobit 4.1


1) Description gnrale
Cobit 4.1 se prsente comme un cadre fdrateur daudit et de gouvernance des SI, il intgre les
bonnes pratiques dun grand nombre de rfrentiels et normes internationales. Il suit une dmarche
transversale en couvrant toutes les activits de la DSI. Son approche se base sur un grand nombre
dlments et des concepts lui valant une dimension universelle, cest--dire quelle peut tre
applique tout type dentreprise quelque soit son secteur dactivit ou sa taille.
Les lments de Cobit 4.1 sorganisent sur trois axes, tout en sinspirant du modle COSO :
Laxe Exigences mtiers : qui dfinit les critres dinformation gouvernant les activits du
SI en rponse aux besoins des mtiers.
Laxe Processus informatiques : qui dcrit et organise les diffrents processus, activits et
pratiques de la fonction SI dans un modle en trente-quatre processus interconnects.
Laxe Ressources informatiques : qui regroupe les diffrentes ressources (applications,
information, infrastructure et personnes) uvrant dans le cadre du SI.

Figure 10 : Le cube Cobit4.1 (inspir du COSO)

Le cadre de rfrence Cobit4.1 fonde son approche tout autour de linformation, qui se prsente
comme garant du bon fonctionnement des activits de lentreprise et qui contribue la ralisation de
lobjectif ultime de lentreprise : la cration de la valeur . Pour cette raison que linformation ainsi
que les processus lui sont associs et les diffrentes ressources dployes doivent avoir un niveau de
performance, de qualit et de scurit lev afin daboutir latteinte de cet enjeu.
32

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Dans cette perspective Cobit dfinit sept critres (exigences) dinformation, qui doivent tre vrifis :
Lefficacit : cest la mesure par laquelle linformation contribue aux rsultats des processus
mtier par rapport aux objectifs fixs.
Lefficience : cest la mesure par laquelle linformation contribue aux rsultats des processus
mtier au meilleur cot.
La confidentialit : cest la mesure par laquelle elle est protge des accs non autoriss.
Lintgrit : cest la mesure par laquelle linformation correspond la ralit de la situation.
La disponibilit : cest la mesure par laquelle linformation est disponible en temps voulu.
La conformit : cest la mesure par laquelle les processus sont en conformit avec les lois, les
rglements et les contrats.
La fiabilit : la mesure par laquelle linformation de pilotage est pertinente.
Afin de garantir ces exigences dinformation, contrler les SI et contribuer lamlioration de leurs
fonctionnements, Cobit 4.1 dploie trente-quatre processus informatiques interconnects (dclins en
plus de deux-cent activits) afin de grer et optimiser les diffrentes ressources des SI : personnes,
informations, applications et infrastructure. Ces processus sont groups en quatre domaines :
Planifier et Organiser (PO) : ce domaine traite les problmes du

management global

(stratgique) des SI.


Acqurir et Implmenter (AI) : ce domaine traite les problmes du management des projets
informatiques (il rassemble tous les processus qui impactent les ressources ds lacquisition
jusqu limplmentation dun lment du SI).
Dlivrer et Supporter (DS) : ce domaine traite les problmes du management des
services offerts aux clients de la DSI, tels que :
lexploitation informatique
la gestion de la scurit
la gestion des donnes et quipements
lassistance aux utilisateurs
Surveiller et Evaluer (SE): ce domaine permet dvaluer la conformit et la qualit des
processus Cobit et cela en vrifiant :
la surveillance de contrle interne (efficacit / efficience)
la gouvernance des SI
la gestion de la performance
le respect des normes rglementaires
33

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Figure 11 : Le modle processus de cadre de rfrence Cobit 4.1

34

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

2) Les principaux lments de Cobit 4.1


Pour laborer et maintenir sa dmarche en matire daudit, de management et de gouvernance des SI
le cadre de rfrence Cobit 4.1 dfinit un grand nombre dlments et des concepts, dont les
principaux sont :
Les objectifs mtiers : ces objectifs traduisent ce quexigent les directions mtiers en matire
des SI. Ils ont pour but de garantir que les SI vont contribuer la performance de lentreprise
tout en orientant les objectifs informatiques dans ce sens.
Les objectifs informatiques : ce sont les objectifs propres aux SI, dfinis et grs par la DSI.
Ces objectifs ont pour but de grer lensemble des ressources constituant les SI, tout en
salignant sur les objectifs mtiers dans le cadre de la stratgie globale de lentreprise. Ces
objectifs se divisent en objectifs de processus et objectifs dactivits.
Les objectifs de contrle : ces objectifs sont relis aux processus de Cobit4.1, ils prsentent
les exigences minimales pour garantir un contrle efficace de chaque processus . Ils
expriment le rsultat ou le but atteindre par la mise en uvre dun ensemble de pratiques de
contrle pour chacun des processus. Ces objectifs sont exigs par la direction, mis en place par
la DSI et audits par les auditeurs et les professionnels dassurance.

Figure 12 : Le principe de cascade des objectifs de Cobit 4.1

35

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Les mtriques : pour chaque objectif informatique, processus ou activit, Cobit4.1 offre un
ensemble de mesures afin dvaluer le degr datteinte de ceux ci (KGI(15)) et dautres mesures
pour valuer leurs performances (KPI(16)).
Les tableaux RACI

(17)

: se sont des tableaux qui identifient pour chaque activit dun

processus le groupe dintervenants en dterminant ceux qui sont responsables, ceux qui
approuvent et ceux qui seront consults et/ou informs. Cobit4.1 identifie au moyen de ces
tableaux, dix-neuf rles et responsabilits gnriques pouvant se dcliner en postes et emplois
plus structurs. Cest un lment de management permettant de clarifier les responsabilits et
les tches, il est dordre indicatif et peut faire rfrence des instances comme : comit
stratgique informatique, comit de pilotage informatique .

Figure 13 : Le tableau RACI correspondant au processus PO10

Les entres et sorties des processus (Input /Output) : la dmarche Cobit4.1 est base sur un
ensemble de processus informatiques interconnects, pour chacun de ces processus un
ensemble de flux dentre et de sortie sont associs et dfinis. Ces lments permettent
dtablir les liens entre lensemble de ces processus dans le cadre dune approche systme.

(15)

KGI ( key Goal Indicator ) ce sont des mesures de rsultat des processus qui informent le management a posteriori
si un processus informatique a rpondu aux exigences mtier.
(16)
KPI ( Key Performance Indicator ) ce sont des mesures qui dterminent quel point la performance dun processus
informatique lui donne la chance datteindre ses objectifs.
(17)
RACI : un tableau des rles et responsabilits qui prcise pour chaque activit dun des processus Cobit le
Responsable, celui qui Approuve, le Consult et/ou lInform.

36

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Les modles de maturit : dans une logique damlioration continue des processus
informatiques, Cobit4.1 prsente une chelle de maturit gradue en six degrs, pour suivre
leurs volutions. Chaque processus informatique mis en place peut passer par plusieurs stades
de maturit jusqu atteindre ltat optimal. Dans ce cycle, des valuations de maturit
priodiques (annuelles) permettent de localiser le niveau atteint dun processus (par exemple le
niveau trois Processus dfini ), et afin de le faire voluer vers le niveau de maturit suivant
(le niveau quatre Gr et mesurables )

Cobit4.1 offre des modles de maturit qui

prsentent titre indicatif des directives suivre par les managers.

Figure 14 : Lchelle de maturit des processus selon Cobit4.1

3) Documentation et publications de Cobit 4.1


La documentation Cobit4.1 stale sur les diffrents besoins des SI en management, gouvernance,
contrle et audit. Les principaux documents et publications sont:
Le cadre de rfrence Cobit4.1 : ( Cobit4.1 Framework ) ce document reprsente lapproche
processus de Cobit4.1, ses lments constitutifs et les diffrents concepts lui sont associs.
Les objectifs de contrles ( Cobit and Application Control ) : cest lensemble des objectifs
de contrle Cobit et les contrles dapplication issus de COSO et la charge de la DSI.
Le guide dimplmentation ( Cobit Implementation Guide ) : un guide offrant une dmarche
bien labore pour implmenter les processus Cobit4.1 et les diffrentes activits informatiques
qui en dcoulent. Cest un guide gnrique qui peut tre adapt par chaque entreprise quelque
soit sa taille ou son secteur dactivit selon ses besoins et ses objectifs stratgiques.
Le guide de management : ( Cobit Management Guide ) regroupe lensemble des tableaux
RACI, les flux dentre/sorties des processus et les modles de maturit (sous formes de
conseils et des directives), tous ces lments sont la destination des managers afin de mieux
grer les processus informatiques et faire voluer leurs niveaux de maturit.
37

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Les pratiques de contrle ( Cobit Control practices : 2nd Edition ) : cest un ensemble des
pratiques de contrles tablies par des experts en rponses aux diffrents objectifs de contrle
Cobit. Ces pratiques sont la destination des managers fin de les aider implmenter des
objectifs de contrle et forment des lments sur lesquels les auditeurs informatiques peuvent
se baser pour valuer les objectifs de contrle implments.
Les bases de scurit de linformation ( Cobit Security Baseline : 2nd Edition ) : cest un
ensemble de conseils de management destins au conseil dadministration et la direction
gnrale pour les guider en matire de scurit de linformation. Ces conseils sont bass sur les
objectifs de contrle Cobit.
Le guide daudit ( IT Assurance Guide: Using Cobit ) : ce guide offre aux auditeurs une
dmarche, des mthodes et des outils pour les aider dans la planification, la ralisation et la
conclusion de leurs diffrentes missions daudit tout en exploitant les lments de Cobit.

Figure 15 : La documentation Cobit 4.1(18)


(18)

Ce schma prsente les produits gnralement applicables et leur public principal. Il existe galement des produits
drivs pour des fonctions particulires, tels que : Objectifs de contrle des SI pour Sarbanes-Oxley, 2me dition ,
Gouvernance de la scurit de linformation : Recommandations destines aux conseils dadministration et aux
directions gnrales (dans des domaines scurit) et Cobit Quickstart pour les petites et moyennes entreprises ).
(pour des entreprises spcifiques).

38

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

III.

Lapproche Cobit 4.1 en matire daudit des systmes dinformation


1) Les objectifs de contrle : un lment axial dans lapproche Cobit 4.1

Ds son apparition le cadre de rfrence Cobit tait conu pour aider les auditeurs informatique
planifier et excuter des missions daudit, et mme en voluant vers dautres perspectives
managriale et stratgique (tel que la gouvernance) il a gard son volet audit proprement dit au
moyen dun lment axial : les objectifs de contrle .
Les objectifs de contrle permettent de dfinir les exigences minimales pour garantir un contrle
efficace de chaque processus informatique , ils stalent en un grand nombre de pratiques de
contrle dtaills et plus spcifiques. Ces objectifs dordre oprationnel et les pratiques qui en
dcoulent sont la base des valuations excuter par les auditeurs au niveau des missions daudit
afin de dtecter les faiblesses de diffrents dispositifs de contrle mis en place. En pratique les
auditeurs peuvent se rfrer ces objectifs et les pratiques associes afin de mettre au point des
procdures daudit dtailles sous forme de questionnaires ou des grilles dvaluation.
Dans sa version 4.1 Cobit dploie ces objectifs de contrle sur lensemble des activits des SI dans
un modle processus comportant trente-quatre processus couvrant lintgralit de la fonction SI.
Cette caractristique permet aux auditeurs de mener des missions daudit transversales, telle que
laudit de la scurit globale des SI et cela en valuant tous les objectifs de contrle en relation avec
le thme de cette mission. Cobit4.1 permet aussi de dlimiter le primtre des missions daudit et de
restreindre le champ dintervention des auditeurs des fins plus spcifiques, et cela via un processus
du cadrage de ces objectifs de contrle quon va voir par la suite.
Ces mmes objectifs de contrle permettent aux auditeurs daffiner leurs investigations en leurs
dirigeant via des tables de mappage vers les bonnes pratiques dautres standards plus dtailles tel
que : ITIL, CMMi, COSO, PMBOK, PRINCE2, TOGAF, Loi SOX, Act Ble II, ISO 9001, ISO
17799, ISO 27002, ISO38500 offrant ainsi aux auditeurs des normes possibilits dapprofondir
leurs missions daudits et de les enrichir par des valuations plus rigoureuses.
Parmi les nombreuses publications de lISACA, le guide daudit Cobit4.1 se prsente comme
indispensable aux auditeurs des SI, en leur proposant un ensemble de conseils daudit sous forme de
procdures dvaluation dtaills. Ces conseils portent sur lensemble des processus Cobit4.1 et les
objectifs de contrle associs, et ils sont la destination des auditeurs aussi bien quaux managers.

39

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Ces procdures forment une base sur la quelle lauditeur peut sappuyer afin de prparer les
questionnaires daudits qui vont le guider dans son travail, elles se divisent en :
Enoncs des valeurs : ce sont des indicateurs dordre managrial permettant aux professionnels
de justifier au prs des leurs suprieurs le choix dun tel objectif de contrle ou autre, dans le
cadre dune implmentation des dispositifs de contrle pour les SI. Ils indiquent les apports en
valeur quun objectif de contrle peut garantir lentreprise.
Enoncs des risques : ces lments mettent laccent sur les principaux risques pouvant survenir
en cas dabsence dun tel objectif de contrle ou autre. Une valuation des diffrents risques de
non mise en place de certains objectifs de contrle Cobit, permet aux managers de classifier
par ordre dimportance ces objectifs de contrle afin de choisir ceux qui seront recommands
pour assurer le bon fonctionnement des SI.
Procdures dvaluation des objectifs de contrle : ce sont des conseils permettant aux
auditeurs de formuler des questionnaires pour valuer le niveau de respect du lobjectif de
contrle en question. Ils leurs proposent aussi titre indicatif quelques directives et mthodes
afin de mieux excuter leurs missions et enqutes.
Procdures dvaluation du rsultat des objectifs de contrle : ces procdures permettent de
vrifier lensemble dobjectifs de contrle dun processus bien dtermin afin dvaluer le
niveau de contribution de celui-ci dans la cration de valeur. Cest de linstar des auditeurs de
faire ces valuations et de prsenter leurs conclusions aux dirigeants.
Procdures dvaluation de limpact des faiblesses de contrle : ces procdures permettent aux
auditeurs de fournir aux dirigeants leurs opinions concernant les rpercutions des faiblesses
dtectes de lensemble des objectifs de contrle propres un processus Cobit bien dtermin.
Sur la lumire de ces remarques et opinions les responsables vont prendre les mesures
convenables afin damliorer les contrles mis en place.

Figure 16 : Les diffrents types de procdures dvaluation selon le guide daudit Cobit4.1

40

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Des relations bien dtermines rgnent entre les lments de Cobit4.1 (les processus, les objectifs de
contrle et les pratiques de contrle) et les procdures dvaluation dictes dans le guide daudit. Le
schma suivant dcrit ces liens tout en mettant le point sur la hirarchie rglant ces relations.

Figure 17 : Les diffrentes relations entre les procdures dvaluation et les composants de Cobit4.1

Les contrles applicatifs et les contrles gnriques :


En plus des diffrentes valuations traitant lensemble des processus Cobit4.1 et les objectifs de
contrle correspondants, les experts en Cobit proposent aux auditeurs dautres procdures pour
valuer les contrles applicatifs (CA).
Ces contrles ont t initis dans le rfrentiel de contrle interne COSO afin de rpondre aux
exigences imposes par certaines rglementations comme la loi SOX en matire de la scurit des
donnes et des transactions financires ( savoir lexhaustivit, lexactitude, la validit, lautorisation
et la sparation des tches). Ils ont t repris par le cadre de rfrence Cobit4.1 qui les a greff sa
dmarche processus en les groupant dans un ensemble sous le nom de Contrles applicatifs . Ces
contrles se divisent en six groupes :
CA1 : Autorisation et prparation des donnes sources.
CA2 : Collecte et saisie des donnes sources.
CA3 : Vrification dexactitude, dexhaustivit et dauthenticit.
CA4 : Intgrit et validit des traitements.
CA5 : Vrifications des sorties, rapprochements, traitements et erreurs.
CA6 : Authentification et intgrit des traitements.
41

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Dautres contrles font aussi objet des valuations spcifiques, se sont les contrles gnriques ou
contrles des processus (CP). Ces contrles sont dune nature managriale, permettant de sassurer
de la bonne implmentation et de la meilleure gestion des processus, ils sappliquent tous les
processus Cobit et sont au nombre de six :
PC1 : Buts et objectifs de processus.
PC2 : Proprit de processus.
PC3 : Reproductibilit de processus.
PC4 : Rles et responsabilits.
PC5 : Politiques, plans et procdures.
PC6 : Amlioration des performances de processus.
remarquer que l'ensemble compos des pratiques de contrle gnriques (associes aux processus)
et les diffrentes pratiques de contrle spcifiques (associes aux objectifs de contrle) constitue une
mthode cohrente, ncessaire et suffisante pour atteindre les objectifs de contrle implments.
2) La conduite dune mission daudit selon lapproche Cobit 4.1
LIAASB Assurance Framework (19) identifie cinq lments composant une mission daudit :
La relation tripartie : qui dfinie les liens entre les

responsables de domaine trait, les

auditeurs et les destinataires de rapport daudit. Cette relation est matrialise en une charte
daudit ou lettre de mission.
Le domaine daudit ou le primtre dune mission daudit.
Les critres pertinents dvaluation : normes, cadres de rfrence et/ou rglementations.
Le processus daudit tabli par les auditeurs, on parle du programme daudit ou plan daction.
La conclusion de la mission daudit : qui prendra forme en un rapport daudit comportant
lopinion des auditeurs et leurs recommandations concernant llment audit.
Cobit4.1 lui dfinit sa propre dmarche daudit (qui saligne avec celle de lIAASB voir Annexe1)
tout en offrant aux auditeurs des SI au moyen de son guide daudit un grand nombre de mthodes,
doutils et de conseils afin de les aider tablir un programme daudit et bien excuter leurs
missions. Ce programme daudit ou plan daction se divise en trois phases : planification, cadrage et
excution.
(19)

Ce cadre tabli par lIAASB dcrit les objectifs d'une mission daudit, et identifie les engagements par rapport aux
normes internationales d'audit (ISA : International Standard on Auditing ).Parmi lensemble des normes ISA, la
norme ISA 3000 tablit les principes de base et les procdures essentielles pour mener bien une mission daudit ou un
examen d'informations financires.

42

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

a) La phase de planification
Cette phase dbouche sur ltablissement dun plan daudit annuel, en cas daudit interne, permettant
dencadrer les diffrentes activits daudit sur une priode bien dtermine et dlimiter les rles,
responsabilits et primtres. En cas daudit externe, des plans daudit seront tablis pour chaque
mission. Selon lapproche de cadre de rfrence Cobit4.1, la planification dune mission daudit
consiste :
1. Dfinir le primtre dune mission daudit. La mthode dvaluation des risques se prsente
dans cette tape comme une mthode pertinente pour dlimiter le primtre dune mission.
2. Slectionner un cadre de rfrence de contrle.
3. Procder la planification des missions daudit.
4. Procder des valuations de haut niveau, des telles valuations favorisent des missions
daudit bases sur les risques. Plusieurs lments de Cobit peuvent tre utiliss lors de ces
valuations afin didentifier les processus auditer, par exemple : les noncs de valeur et des
risques, les attributs de maturit des processus, les objectifs de contrle
5. Dfinir le cadre et les objectifs gnraux de laudit.
La mthode dvaluation des risques :
Cette mthode est axe sur les risques (voir Figure 18), on distingue trois types de risque : les risques
inhrents (risques propres llment auditer), les risques lis au contrle (faiblesses de contrle)
et les risques de non dtection, ces derniers doivent tre valus lors de cette phase de planification
afin dlaborer des mthodes assurant latteinte des objectifs de la mission daudit.
Lauditeur est amen alors examiner les risques de llment auditer ainsi que la qualit de
processus de gestion des risques. Il aura raliser les tches suivantes :
Identification du risque : cest la recherche des risques et lidentification de leurs causes et
consquences afin de valider ou construire un portefeuille de risques.
valuation du risque : consiste estimer la criticit (20) du risque, son importance en termes
de probabilit dapparition et dimpact (financiers, dlais, qualit, ). Lauditeur doit
calculer la criticit relative ou absolue de chaque risque.
Recherche des moyens de rduction : qui consiste rechercher des solutions de prvention,
de contournements, de transfert et de surveillance. Et la fin de cette tche lauditeur
examinera ou mettra ses recommandations.

(20)

La criticit dun risque (C) est dtermine par deux facteurs : la gravit qui correspond limpact du risque(G) et la
probabilit doccurrence dun risque(P). Cest le croisement de ces deux estimations : C = G*P.

43

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Figure 18 : Les lments relatifs la notion de risque

b) La phase de cadrage
Cette phase consiste identifier les principaux objectifs de contrle auditer via un processus de
cadrage permettant de dlimiter le primtre dune mission daudit, le rsultat sera un champ
daction bien dtermin et des objectifs plus dtaills.

Figure 19 : Processus de cadrage d'une mission d'audit selon l'approche Cobit4.1

La cascade des objectifs de Cobit4.1 (Figure 12) et qui permet le passage dun niveau dobjectif un
autre au moyen des tables de mappage (voir Annexe1) jusqu lidentification des processus
informatiques, peut former un premier niveau de cadrage ou un cadrage de haut niveau (tapes 1,2,3
et 4 de processus de cadrage selon la Figure 20). Aussi dautres lments de Cobit4.1 tels que : les
critres dinformation, les nonces des risques et des valeurs des objectifs, les attributs des modles
de maturit peuvent constituer des inducteurs pour ce niveau de cadrage.

44

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Sur la base de ce cadrage de haut niveau un autre cadrage plus dtaill permettra de dlimiter le
champ daction des auditeurs en fixant les principaux objectifs de contrle et les ressources de
lentreprise concernes par la mission (tapes 5 et 7 de la Figure 20).
Ce dernier cadrage peut tre aussi affin en slectionnant parmi les lments fixs (ressources et
objectifs de contrle) un sous ensemble plus personnalis (tapes 6 et 8 de la Figure 20). Cet
affinement peut se baser sur la mthode dvaluation des risques afin de restreindre la liste des
objectifs de contrle et sur la mthode danalyse des causes effets en ce qui concerne les ressources
pour ne garder que les ressources qui auront un effet significatif en cas de risque de non atteint des
objectifs de contrle critiques.

Figure 20 : Les 8 tapes de cadrage d'une mission d'audit selon lapproche Cobit4.1

45

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Dune manire gnrale la phase de cadrage consiste respectivement :


1. Etablir des inducteurs pour la mission daudit (exemples dinducteur : lamlioration des
processus, la satisfaction des besoins de conformit compltant l'audit des tats financiers ).
2. Documenter larchitecture informatique de lentreprise.
3. Choisir un cadre de rfrence de contrle des SI (tel que : ITIL, ISO, COSO, Cobit .).
4. Slectionner les processus informatiques auditer selon le principe de cascade des objectifs
(cadrage de haut niveau).
5. Slectionner les composants ou ressources informatiques (applications, informations,
infrastructures, personnes) concernes par la mission daudit.
6. Affiner la slection des ressources par une analyse des causes et effets (en ne gardant que les
lments en relation directe avec la mission daudit).
7. Slectionner les objectifs de contrle initiaux : Cobit4.1 permet, au moyen des noncs de
risques et de valeurs de chaque objectif de contrle, aux auditeurs de slectionner, les objectifs
de contrle les plus susceptibles de subir un audit spcifique (selon les besoins de lentreprise
et les ressources dployes).
8. Affiner la slection des objectifs de contrle laide de lanalyse des risques. Au cours de cette
tape, l'auditeur doit analyser le risque de ne pas atteindre les objectifs de contrle choisis (par
rapport aux ressources slectionnes). On doit uniquement conserver les ressources
informatiques et les objectifs de contrle qui auraient un effet significatif si l'objectif de
contrle n'tait pas atteint.

Figure 21 : Le processus de cadrage Cobit4.1

46

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

remarquer quun cadrage trop troit de la mission peut conduire ce que des facteurs significatifs
ne soient pas pris en compte. Nanmoins un cadrage trop large peut entraner des inefficacits et des
conclusions incorrectes en raison de limitation des ressources ou d'un manque de temps. Pour cette
raison lauditeur doit bien cadrer son champ daction afin de favoriser lefficacit et lefficience de
sa mission daudit.
c) La phase dexcution
Cette phase comporte selon lapproche daudit de cadre de rfrence Cobit4.1 six tapes dont les
deux premires ont pour objectif daffiner le travail fait lors des deux phases prcdentes (phases de
planification et du cadrage). Pour les tapes trois, quatre et cinq ils consistent collecter et valuer
les lments probants au moyen dun nombre doutils, mthodes et procdures dvaluation que les
experts en Cobit ont mis la disposition des auditeurs dans le guide daudit Cobit. Les rsultats de
ces investigations vont servir par la suite (au niveau de ltape six) la rdaction du rapport daudit
final qui va comporter les opinions des auditeurs concernant les lments audits et leurs
recommandations pour remdier aux dysfonctionnements et risques dtects.

Figure 22 : Processus dexcution d'une mission d'audit selon l'approche Cobit4.1

Les tapes de la phase dexcution sont respectivement :


1. Affinement de la comprhension de l'objet de la mission : cette tape permet de dlimiter les
objectifs et le primtre de la mission daudit en se basant sur des lments tels que : les
tableaux RACI, les listes des activits, les entretiens, les descriptions des processus, le travail
de cadrage dj fait, la comprhension de larchitecture, les rapports daudit prcdents .
2. Affinement du cadrage : cette tape permet de dterminer un sous-ensemble finalis du
primtre daudit et des valuations effectuer. Elle consiste analyser les objectifs mtiers et
informatiques et les risques de non ralisation des objectifs de contrle significatifs afin de
rajuster lensemble des processus et des contrles slectionns dans la phase prcdente
(phase de cadrage) et finaliser le champ dintervention.
47

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

3. Evaluation des contrles : le but de ces vrifications est dvaluer les contrles, leurs
applications et leurs efficacits oprationnelles. Diffrents types de vrification et de tests
peuvent tre appliqus durant cette tape. Le guide daudit Cobit4.1 dfinit cinq mthodes
gnriques dvaluation comme dcrit dans le tableau suivant :
Tableau 10 : Les diffrentes mthodes d'valuation des contrles adoptes par Cobit4.1 et SAS70(21)
Mthode dvaluation
Sinformer et
confirmer

Inspecter

Observer

R excuter et /ou
recalculer

Contrler la collecte
automatise des
lments probants

Exemples dvaluations
Rechercher les exceptions/carts et les examiner.
Analyser les transactions/vnements inhabituels ou exceptionnels.
Vrifier/dterminer si une action s'est (ou ne s'est pas) produite.
Corroborer les rapports de gestion partir de sources indpendantes.
Interroger les employs et valuer leurs connaissances et leur sensibilisation.
Rapprocher les transactions.
Interroger le management et obtenir des rponses pour confirmer des
constatations.
Examiner les plans, les politiques et les procdures.
Rechercher les pistes d'audit, les journaux d'incidents ...
Retrouver l'origine des transactions dans le processus/systme.
Vrifier physiquement l'existence de documents, actifs
Effectuer la visite sur site des installations, des plans
Effectuer une tude de la conception ou une inspection des codes.
Comparer la ralit et les constatations attendues.
Observer et dcrire les processus.
Observer et dcrire les procdures.
Comparer la ralit et le comportement attendu.
Exposer et estimer sparment le rsultat attendu.
Tenter ce qui est empch.
R-excuter ce qui est dtect par les contrles de dtection.
R-excuter les transactions, les procdures de contrle
Recalculer sparment.
Comparer la valeur escompte et la valeur relle.
Comparer la ralit et le comportement attendu.
Retrouver l'origine des transactions dans le processus/systme.
Collecter des chantillons de donnes.
Utiliser des modules d'audit intgrs.
Analyser les donnes l'aide de techniques d'audit assistes par ordinateur
(TAAO).
Extraire des exceptions ou des transactions cls.

Source : Guide daudit des systmes dinformation, Utilisation de Cobit4.1 . AFAI (2008).

En gnral l'auditeur dans cette tape qui traite les contrles critiques cherche dterminer si :
Des processus de contrle documents existent.
Des traces appropries des processus de contrle existent.
Les responsabilits finales et oprationnelles sont claires et effectives.
Des contrles compensatoires existent, si ncessaire.

(21)

SAS70 ( Statement on Auditing Standards n70 ) cest une norme d'audit reconnue l'international, dicte par
l'AICPA ( American Institute of Certified Public Accountants ).

48

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

4. Evaluation du rsultat des objectifs de contrle : cette tape permet de garantir que les
contrles des processus fonctionnent comme prvus de faon homogne et continue et quils
contribuent la performance des processus informatiques. Pour tester le rsultat ou l'efficacit
dun contrle, l'auditeur doit rechercher les lments probants directs et indirects et l'impact du
contrle sur la qualit des sorties du processus tout en utilisant des mthodes de test et
dvaluation appropris.
5. Evaluation de limpact des faiblesses de contrle : cette tape permet de mesurer et de justifier
le risque que les objectifs de contrle ne soient pas atteints laide de techniques danalyse et
de test permettant de dtecter les faiblesses, les menaces et les vulnrabilits et de dterminer
leurs impacts. L'objectif de cette tape est d'effectuer les tests ncessaires pour apporter au
management la garantie ou l'absence de garantie relative la ralisation d'un processus
informatique donn et de lefficacit des contrles lui sont associs. Les lments de Cobit aux
quels un auditeur peut se rfrer pour effectuer ces valuations sont : les descriptions des
processus, les noncs d'inducteurs de risque, les tableaux RACI et les modles de maturit.
6. Rdaction et notification des conclusions et recommandations : cette tape consiste
communiquer les risques inhrents aux faiblesses de contrle aux diffrents partenaires de la
mission daudit, sous forme de conclusions et recommandations dans un rapport daudit qui
doit clarifier les lments suivants :
Les actions recommandes pour attnuer l'impact des faiblesses de contrle.
Le comparatif de performance par rapport aux normes et aux meilleures pratiques afin
dapprcier les rsultats des valuations.

Le niveau de risque associ au processus.


Ces lments seront communiqus essentiellement aux responsables de management afin
quils prennent les mesures supplmentaires et les mesures correctives pour faire voluer les
processus audits vers un niveau de maturit plus lev (en se rfrant aux modles de maturit
de Cobit).
remarquer que lauditeur doit lors de cette tape respecter les normes et les
recommandations concernant la rdaction et la communication du rapport daudit final, il peut
ainsi se rfrer aux exigences de la norme S7

(22)

daudit des SI tablis par lISACA (voir

Tableau 11).
(22) Cette norme fait partie dun ensemble de seize normes daudit des SI tablies par lISACA dont le but de rgler le
mtier dauditeurs informatique. Ces normes doivent imprativement respects par les auditeurs certifis CISA, et aussi
peuvent sert de guide pour les entreprises et les auditeurs informatiques en gnrale.

49

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Tableau 11 : Les principales exigences de la norme S7 de l'ISACA

2
3

4
5

Exigences
L'auditeur doit fournir un rapport, sous une forme approprie, la fin de la
vrification. Ce rapport doit identifier lorganisation, les destinataires et les restrictions
sur la circulation du document.
Le rapport d'audit doit indiquer la porte, les objectifs, la dure de la mission et sa
nature, le calendrier et l'tendue des travaux de vrification effectus.
Le rapport doit indiquer des constatations, conclusions et recommandations et toutes
rserves, qualifications ou limitations, que l'auditeur a eu dans sa mission lors de ses
travaux de vrification.
L'auditeur doit prsenter des lments probants suffisants et appropris pour appuyer
les rsultats rapports.
Le rapport de l'audit doit tre sign, dat et distribu selon les termes de la charte
d'audit ou lettre de mission, avant dtre mis aux destinataires appropris.

50

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Partie 2 : Partie pratique

51

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Chapitre 3 : Contexte du stage Prsentation de la STEG et de sa


direction daudit interne
I.

Prsentation de la STEG
1) Historique et volution

Jusqu' avant lanne 1959, l'industrie lectrique tunisienne tait rpartie entre sept socits
diffrentes, puis depuis, l'tat tunisien a dcid de prendre provisoirement en charge ces socits en
mettant en place, le 15 aot 1959, un comit de gestion la tte de l'une de ces socits connue sous
le nom de Compagnie Tunisienne d'Electricit et Transports (CTET). Par le dcret-loi n62-8 du 3
avril 1962, l'tat a mis fin cette situation en crant un monopole public baptis la Socit
Tunisienne de llectricit et de Gaz (STEG). Cinquante ans aprs sa cration, lactivit de la STEG,
a vu passer (23) :
le taux d'lectrification global de 21% 99,5%
le taux d'lectrification rural de 6% 99%
la puissance installe de 100 MW 4 016 MW
la production nationale de 288 GWh 16 833G GWh
le nombre de ses clients de 183 mille 3 383 mille pour le secteur de l'lectricit
le nombre de ses clients de 25 mille 644 mille pour le secteur de gaz
Cette volution de la production et de nombre des clients a plac la STEG en haut de lchelle des
performances des entreprises tunisiennes tout en occupant la deuxime place en termes de chiffre
d'affaires qui a atteint 2670 MDT en 2012.
Tableau 12 : Fiche technique de la STEG

Raison Sociale
Adresse
Tlphone
Fax
E-mail
Site Web
Statut juridique
Domaine
Activit

Description
Socit Tunisienne d'Electricit et de Gaz
38, Rue Mustapha Kamel Ataturk BP n 190 Tunis Cdex 1080 Tunis
71 341 311
71 349 981
dpsc@steg.com.tn
http://www.steg.com.tn
Entreprise publique
Energie
Production et distribution de l'lectricit et de gaz

Source : site officiel de la STEG

(23)

Daprs les chiffres de site officiel de la STEG. (Arrts en 2012)

52

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Mtiers, Mission et Vision


Lactivit de la STEG est dcoupe en deux secteurs : secteur lectricit et secteur gaz. Chacun de
ces deux secteurs est subdivis lui-mme en deux branches dactivit :
une activit principale se chargeant de la production, le transport et la distribution de
llectricit et du gaz.
une activit annexe qui assiste lactivit principale de la STEG, elle correspond
la ralisation de travaux pour elle-mme et la ralisation de travaux, services et prestations
remboursables par les tiers (ralisation de branchements dlectricit et de gaz, dplacement de
lignes, conduites, branchements, petites interventions, ...).
La STEG a pour mission de satisfaire les besoins de ses clients en nergie lectrique et gazire dans
les meilleures conditions de cot, qualit et scurit tout en respectant les cinq valeurs suivantes :
lorientation client
la considration des personnes
le travail en quipe
l'amlioration continue
la gestion par les faits
Et en sengageant dans une stratgie de performance, la STEG vise encore plus mettre la
disposition de ses clients des services d'une qualit comparable celle fournie par les meilleures
entreprises d'lectricit et de gaz du bassin mditerranen. Cest pour cette raison quelle cherche
continuellement amliorer ses moyens de production, de commercialisation et de gestion.
2) Chiffres cls
Daprs son rapport dactivit de lanne 2011 on constate clairement en tudiant les statistiques
fournies (voir Tableau 13) que la STEG est en perptuelle croissance soit en chiffre daffaires, en
investissement, en production quen nombre de sa clientle et ses employs. Cette croissance revient
au dveloppement et la matrise des nouvelles technologies que se soit en production de gaz et
dlectricit ainsi quen technologies de linformation et de communication qui prsentent le socle de
toutes les activits de lentreprise. Aussi cette performance tient sa raison de la dtermination des
responsables de la STEG offrir toujours des produits et services innovants. Tout ceci impose la
STEG de maintenir un niveau de qualit et de scurit lev de ses services, ses produits et ses
moyens afin de prserver sa position, amliorer sa comptitivit et atteindre ses visions.

53

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Tableau 13 : Les chiffres cls de la STEG

Source : rapport dactivit de la STEG de lanne 2011 (remarque : les rapports de la STEG sont toujours publis avec
lcart dune anne dexercice).

54

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

3) Organigramme

Figure 23 : Organigramme gnrale de la STEG

II. La direction daudit interne de la STEG


1) Historique et volution de la fonction daudit interne de la STEG
Le processus daudit interne a dmarr en 1972 avec la recommandation du rviseur lgal des
comptes de la STEG la direction gnrale de lancer une cellule daudit interne. Depuis sa cration,
la fonction daudit interne a connu des volutions au niveau de sa structure, son organisation, ses
attributions, sa mthodologie et son image.

55

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Chronologie des volutions de la fonction daudit interne :


1972 : dmarrage de la fonction et la mise en place dun Service Inspection relevant de la
Division Financire .
1974 : cette inspection est devenue la Division Inspection Comptable et Financire ,
rattache la Direction Contrle de Gestion .
1975 : changement de la dnomination de cette division en Audit Interne Comptable et
Financier .
1978 : la division Audit Interne Comptable et Financier devient un dpartement
indpendant dnomm Audit et Inspection .
1985 : dans le cadre des projets de dveloppement de linformatique la STEG, un noyau
Assistance et Audit Informatique a t cr et rattach la Direction Gnrale .
1987 : cette anne a t caractrise par le renforcement de la fonction audit au travers du

lancement de lAudit Technique . A ce niveau, laudit de gestion, laudit informatique et


laudit technique fonctionnent chacun dune manire indpendante durant plusieurs annes tout
en tant rattachs la Direction Gnrale .
1992 : cration de la Direction Audit regroupant ainsi les trois units daudit : Gestion,
Informatique et Technique .
1993 : la fonction Prvention Scurit a t spare de laudit technique et a t rattache
la Direction des Affaires Gnrales , marquant ainsi une orientation en faveur dune
indpendance de la fonction daudit. En mme anne laudit technique a t divis en deux
structures indpendantes : Audit Technique Electricit et Audit Technique Gaz .
Ds 1993 jusqu nos jours : la Direction Audit a gard sa structure qui comporte jusqu
cet instant quatre dpartements :
Dpartement Audit Technique Electricit
Dpartement Audit Technique Gaz
Dpartement Audit de Gestion
Dpartement Audit Informatique
remarquer que cette direction effectue, en plus des missions daudit, un nombre de missions
de suivi de la mise en uvre des plans dactions, ainsi que des enqutes spcifiques et des
expertises (selon les besoins de lentreprise) sur les deux niveaux centrale et rgional. Aussi
elle participe constamment aux travaux des commissions et groupes de rflexion internes, dans
une logique de coordination avec toutes les structures et divisions de la STEG afin de
contribuer efficacement la performance des activits de celle-ci.
56

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Il est important de mentionner que la fonction daudit interne a fait des normes progrs depuis sa
mise en place en 1972. Le premier objectif de cette fonction a consist faire un Audit de
Rgularit / de Conformit par rapport aux rgles internes la STEG et aux dispositions lgales et
rglementaires locales et internationales rgissant son secteur dactivit. Depuis ses premires
variantes et jusqu aujourdhui, la direction daudit interne de la STEG na cess et ne cesse de
chercher faire voluer ses approches daudit. Ainsi dans sa qute defficacit, elle a enrichi
lapproche existante par lintgration progressive du volet Audit dEfficacit qui se proccupe
dmettre une opinion non seulement sur la bonne application des rgles et procdures mais aussi sur
leur qualit. Puis elle a instaur peu peu l Audit de Performance qui englobe la fois la notion
defficacit et defficience. Toutes ces volutions empruntaient les lignes directrices de principales
normes et rfrentiels daudit sur le march.
2) Activits de la direction daudit interne
Pour donner une assurance raisonnable quant lefficacit et lefficience, la conformit, la qualit
ainsi que la scurit des activits principales de la STEG (la production, la distribution et le transport
de llectricit et du gaz) et ses autres activits annexes (administrative, commerciale, informatique,
comptable, financire ) la direction daudit interne planifie et excute annuellement plusieurs
missions au niveau de ses quatre dpartements daudit.
Ces missions stalent sur plusieurs domaines et traitent plusieurs lments comme prsents dans ce
tableau.
Tableau 14 : Domaines d'intervention de la direction d'audit interne de la STEG
Domaine
Financier
Administratif
Juridique
Moyens gnraux
Production, Transport
et Distribution
Projets dquipement
Informatique

Comptabilit Gnrale
Filiales

Missions
Audits de la trsorerie, des emprunts, de rglement des fournisseurs, des budgets
Audits de la gestion du personnel, de la paie, de la formation du personnel
Audit de la conformit aux lois et rglementations locales et internationales.
Audits de lentretien des btiments/mobilier, de la gestion du parc vhicules
Audits de de la production, du transport et de la distribution du llectricit et du gaz.
Audits des nouvelles acquisitions et des projets damnagement
Audit de la scurit des quipements, des applications informatiques et/ou des rseaux
Audit de la qualit des services informatiques
Audit de la conformit aux rglementations
Audit de la gestion des projets informatiques
Audits des rubriques les plus significatives des tats financiers (immobilisations, stocks,
crances, dettes long, moyen et court terme)
Lexamen des tats financiers
Diagnostic de gestion
Projections commerciales et financires

57

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

En tudiant les rapports annuels de la STEG sur la priode de lanne 2007 lanne 2011 on a
recens un grand nombre de missions daudit, de suivi et de mise en uvre, ainsi que des enqutes
et des expertises qui ont t planifies et excutes par la direction daudit interne. Le tableau suivant
prsente la rpartition des ces missions par dpartement daudit :
Tableau 15 : Rpartition des missions d'audit par dpartement daudit
Missions
Missions daudit technique lectricit
Missions daudit technique gaz
Missions daudit informatique
Missions daudit de gestion
Nombre total de missions

2007
12
22
12
73
119

2008
35
18
15
73
141

2009
39
21
22
67
149

2010
33
23
32(1)
65
153

2011
35
23
22
58
138 (2)

(1) 7 missions ont t reconduites du plan daudit 2009


(2) 4 missions daudit hors plan : 2 missions daudit informatique, 2 missions daudit technique lectricit
Source : daprs les rapports annuels de la STEG des annes : 2007 - 2008 - 2009 - 2010 2011

3) Problmatique et mission du stage


Vu lexpansion des activits de la STEG et pour faire face aux exigences accrues de sa clientle et
aux diffrents risques internes et externes ainsi quaux mutations technologiques, la direction daudit
interne doit continuellement faire voluer ses approches, mthodes et outils daudit afin damliorer
les dispositifs de contrle interne associs aux procdures, informations, oprations, organisations et
structures de lentreprise.
Cette mme logique sincline aussi sur les dispositifs de contrles associs aux SI qui prsentent le
socle des activits de la STEG. Ainsi dans la qute de lexcellence et pour mieux organiser leurs
travaux les auditeurs informatiques de la STEG doivent chercher toujours des nouvelles solutions et
dvelopper des nouveaux outils daudit afin daider maintenir des SI en meilleur tat.
Ma mission lors de ce stage tait de contribuer lamlioration des mthodes et outils daudit des SI
tout en dployant les savoirs et acquis issus de mes tudes en master et de mes propres lectures.
Mes tches vont ainsi allez du diagnostic de ltat des lieux de la STEG en matire daudit des SI,
la prsentation dune solution jusqu son implmentation.

58

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Chapitre4 : laboration dun gnrateur de guides daudit sur la


base de lapproche Cobit 4.1
I.

tats des lieux de la STEG en matire de management et daudit des


systmes dinformation
1) Activits de la direction des systmes dinformation de la STEG

Parmi les nombreuses divisions de la STEG, la DSI est considre comme la dynamo de son
organisation structurelle, elle a pour rle de dvelopper, grer et maintenir les ressources des SI et
aussi dapporter des rponses et solutions aux diffrents besoins des mtiers afin quils puissent
contribuent efficacement la ralisation des objectifs stratgiques de lentreprise.
Durant la priode allant de lanne 2007 jusqu lanne 2011, la DSI de la STEG a excute plusieurs
activits et tches, dont on a recens les suivantes (24) :
Lalignement des projets informatiques sur les objectifs stratgiques de la STEG, dans une
approche globale de rduction des cots et de cration de la valeur.
Ltablissement du schma directeur des SI bas sur une dmarche durbanisation du SI
clientle.
Lactualisation des structures telles que :
MPDS : Management des Projets et Dveloppement Personnel.
CSIC : Comit SI et de Communication.
La restructuration de COPIL : comit de pilotage.
La mise en place dun PMO (Project Management Office) : bureau de gestion des projets SI.
Cest un support stratgique la DG et mthodologique aux chefs de projets SI.
Le dveloppement des projets informatiques :
EAI : Entreprise Application Integration.
SIPAD : Systme dInformation dAide la Dcision.
GMAO : progiciel de Gestion de Maintenance Assiste par Ordinateur.
SIG : Systme dInformation Gographique.
SIRH : Systme dInformation des RH.
E-Com : communication lectronique.
La documentation des projets SI (pour la gestion des activits informatiques et pour assurer la
prennisation du SI gnrale).
(24)

Etude faite partie des rapports annuels de la STEG pour la priode de lanne 2007 lanne 2011.

59

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Lacquisition, le dploiement, le test et la mise en uvre des progiciels et systmes :


Progiciel de gestion dachat et du stock.
Progiciel de gestion financire et de gestion de la comptabilit (AMIN).
Plateforme de dveloppement, test et de production des projets informatiques.
Lexternalisation de quelques services et gestion des contrats avec les tiers.
La planification, la gestion et la mise niveau des plans de formation du personnel SI.
La gestion des centres dassistance et de relation distance avec les clients, exemple : Centre
National des Services Distants (CNSD).
La mise en place dune solution de gestion du parc et de support aux utilisateurs (helpdesk).
La maintenance et le dveloppement de linfrastructure informatique.
Vu le volume des activits de la STEG et notamment celles de la DSI et dans une qute de la qualit
ultime, les responsables ont mis en place depuis plusieurs annes un systme de management de la
qualit (SMQ) sur la base de la norme internationale ISO 9001. Ce systme a t dploy et le sera
encore progressivement sur lensemble des units organisationnelles, y compris celles de la DSI, au
moyen dune cellule de qualit. On compte jusqu 2010, 50 units certifies ISO 9001.
remarquer que ce SMQ hrite de la dmarche universelle de gestion de la qualit PDCA (voir
Figure 24), qui comporte quatre tapes, dont chacune entranant l'autre, et qui vise tablir un cercle
vertueux dont la mise en place permettra d'amliorer sans cesse la qualit d'un produit, d'un service,
dune structure ou dune procdure.

Figure 24 : Principe de la boucle d'amlioration continue (PDCA)(25)

(25)

Boucle damlioration continue ou la roue de Deming cest une illustration de la mthode de gestion de la qualit dite
PDCA (Plan-Do-Check-Act). Son nom vient du statisticien William Edwards Deming . Ce dernier n'a pas invent le
principe du PDCA (la paternit en revient Walter A. Shewhart ), mais il l'a popularis dans les annes 1950 en
prsentant cet outil (sous le nom de cycle de Shewhart, the Shewhart cycle ) au Nippon Keidanren , l'organisation
patronale japonaise.

60

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Ce SMQ sintgre dans une stratgie globale damlioration continue des activits, des services, des
produits et des structures de la STEG et qui a t adopt par la direction gnrale. Cette stratgie est
opre aussi au moyen dautres systmes de management et des organes de contrle, savoir :
Un Systme de Management de lEnvironnement (SME) bas sur la norme ISO 14001.
Un Systme de Management de la Qualit des Laboratoires d'Etalonnages et d'Essais
(SMQLEE) bas sur la norme ISO/CEI 17025 (et qui est fond sur la norme ISO 9001).
Un Systme de Management de la Sant et de la Scurit au Travail (SMSST) bas sur la
norme OHSAS 18001.
Un projet RSO : projet de Responsabilisation Socitale des Organisations bas sur la norme
ISO 26000.
Une cellule qualit pour la mise en place du SMQ, lassistance et la certification des units.
Une cellule Risk Management pour la gestion et la matrise des risques, y compris les
risques informatiques.
Une direction daudit : charge de la garantie et de lamlioration des dispositifs de contrle
interne au moyen de missions daudit, de suivi et de mise en uvre tout en collaborant avec les
autres structures de la STEG et/ou en faisant recours des experts externes.
2) Lapproche de la direction daudit interne de la STEG en matire daudit des systmes
dinformation
La direction daudit interne sintgre aussi bien dans la stratgie globale damlioration continue
adopte par la STEG. Sa tche consiste apporter une assurance raisonnable aux dirigeants quant
la bonne mise en place des dispositifs de contrle interne en menant des missions daudit tout en se
rfrant des cadres de rfrence et des normes internationales.
Etant donn la position centrale quoccupent les SI dans lorganisation de lentreprise et vu le
volume et la diversit des activits de la DSI de la STEG, des audits portant sur ces SI seront dune
importance vitale pour assurer la performance de lentreprise et sa prennit. La STEG a t parmi
les premires entreprises tunisiennes dployer des moyens et des structures (dpartement dAudit
Informatique, une cellule Risk Management ) pour mener des missions daudits spcifiques ses
SI chaque anne afin de vrifier, valider et amliorer les dispositifs de contrle interne leurs sont
associs (voir Tableau 15).
Lors de leurs missions, les auditeurs informatiques de la STEG se rfrent plusieurs
rglementations et lois en vigueur ainsi que de rfrentiels et normes internationales, tels que :
61

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

ISO 9001, ISO 14001, ISO 26000, OHSAS 18001 et qui forment des cadres globaux
dassurance pour les diffrentes activits et ressources de lentreprise (y compris celles des SI)
selon diffrentes perspectives.
ISO 13335, ISO 17799, la famille ISO 2700X, ITIL V3, PRINCE2 qui sont des normes et
des cadres de rfrences spcifiques aux SI.
Ces missions daudit menes par le dpartement daudit informatique soit quelles font partie des
missions globaux dassurance (tels que : laudit de performance, laudit de qualit, laudit de
conformit ), soit quelles sont des missions daudits spcifiques se focalisant sur laspect
oprationnel de la fonction informatique et cherchant dcerner les dfaillances techniques des TI
implmentes par la STEG et les risques informatiques potentiels.
Bien quelles apportent des rsultats remarquables et contribuent lamlioration des dispositifs de
contrle interne, reste que ces missions ne traitent pas les SI dune manire intgrale, ce qui peut ne
pas donner une vraie image sur ltat globale des SI. Par exemple en matire de la scurit des SI,
des missions daudit traitant juste la scurit des applications informatiques ou la scurit physique
des ressources matrielles, ne garantissent pas 100% la prennit des SI, qui peuvent tre contraris
par exemple par des risques dautres natures, tels que les risques humains (mauvaises utilisation,
fraude .) ou des risque stratgiques (telles que : la dfaillance de la stratgie numrique, la
dfaillance de la stratgie de scurit ou suite une dfaillance organisationnelle).
En fait le dpartement daudit informatique ne dispose pas dune dmarche daudit systmatique,
cohrente et transversale, couvrant lensemble des activits des SI. En ralit les auditeurs
informatiques de la STEG oprent dune manire artisanale suivant les besoins en audits explicits
par les responsables mtiers ou la direction gnrale, ou suite aux dfaillances dtectes. En plus les
auditeurs se rfrent une varit des normes et rfrentiels ce qui peut affecter la cohrence des
missions daudit ralises.
Ce prsent travail stablit dans le cadre de la recherche dune solution qui rpondra ces
manquements. La base de la solution sera fonder sur lapproche de cadre de rfrence Cobit 4.1 en
vertu de sa qualification en tant quun cadre fdrateur

(26)

de rfrence, sa dmarche processus

transversale ainsi que ses nombreux avantages en matire daudit des SI, quon va essayer de les
matre en uvre au moyen dun gnrateur de guides daudit bas intgralement sur cette approche.
(26)

Cobit 4.1 est un cadre fdrateur de rfrence en matire des SI par excellence, il organise, unie et favorise la
convergence dun grand nombre de bonnes pratiques issues de plusieurs standards et normes internationales.

62

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Un autre constat qui a favoris ce choix, cest quune telle solution sintgrera belle et bien dans la
stratgie globale de lamlioration continue adopte par la direction gnrale de la STEG. En fait
Cobit4.1, intgre le principe de la boucle damlioration continue PDCA et les bonnes pratiques de la
norme internationale de qualit ISO 9001 dans sa dmarche processus. Ce dernier constat va faciliter
lapprhension de lapproche Cobit4.1 par les auditeurs de la STEG et va leur permettre de
lincorporer aisment dans leurs missions et activits daudit au moyen des produits rsultant de ce
prsent travail.

II.

laboration du gnrateur des guides daudit : dmarche et rsultats


1) Prsentation gnrale

Cest dans le cadre de la contribution lamlioration des mthodes et outils utiliss par les auditeurs
informatique de la STEG et en rponse aux manquements dtects lors de ltude des tats des lieux
ralise tout en essayant dexploiter les avantages du cadre de rfrence Cobit4.1 en matire daudit
des SI, que se situe ce travail. La solution proposer sera matrialiser en un gnrateur de guides
daudit traduisant lapproche Cobit, permettant ainsi aux auditeurs de planifier, cadrer et excuter des
missions daudits cohrentes, complmentaires, oprantes dans une mme logique, couvrant
lintgralit des activits des SI, alignes sur les exigences mtiers au niveau le plus gnral et
ouvertes sur les bonnes pratiques dautres rfrentiels et normes plus spcifiques.
Llment central sur le quel se base lapproche Cobit4.1 en matire daudit des SI ce sont les
objectifs de contrle . Pour auditer un lment des SI il faut tout dabord selon cette lapproche
identifier les objectifs de contrle lui sont associs (il sagit du principe de cadrage selon la
terminologie Cobit) et par la suite les valuer afin de dtecter les points de faiblesses des contrles
mis en place, des ventuelles dysfonctionnements et/ou des risques potentiels. Une autre avantage de
ces objectifs de contrle ce quils font rfrence des bonnes pratiques dun nombre de cadres et
normes internationales ce qui va permettre aux auditeurs dapprofondir leurs missions et les enrichir
par des valuations et des investigations plus dtailles.
Plusieurs autres lments sintgrent dune manire ou dune autre dans le volet audit de cadre de
rfrence Cobit4.1 (voir Annexe 1), le produit raliser (le gnrateur de guides daudit) va se baser
principalement sur les lments suivants :

63

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Les processus Cobit4.1 et leurs description


Les objectifs mtiers et les objectifs informatiques
Les objectifs de contrles, leurs descriptions et les pratiques de contrle associes
Les tableaux RACI
Les critres dinformation dfinis par Cobit4.1
Les diffrentes procdures dvaluation des contrles, de leurs rsultats et des impacts de
leurs faiblesses
Le gnrateur de guides daudit est un outil qui va aider les auditeurs informatiques de la STEG
planifier, organiser et excuter diffrentes missions daudits cohrentes et uvrant dans une mme
logique selon lapproche de cadre de rfrence Cobit4.1. Ce gnrateur se composera d:
Un guide gnrique : qui prsentera une plateforme depuis de laquelle vont tre gnrs
diffrents questionnaires en rponse un ventail de missions. Cette plateforme sera tabli
intgralement partir de la documentation Cobit4.1 en la matire, elle prsentera tous les
objectifs de contrles Cobit4.1 et offrira un grand nombre dvaluations associes chacun de
ces objectifs sous forme de questions soutenus par des renseignements et des conseils.
Une carte de correspondance Missions - Objectifs de contrle : cest une carte cl qui
permettra didentifier les principaux objectifs de contrle qui devront tre valus en rponse
une mission bien dtermine. Sur la base de ces objectifs identifis, un questionnaire spcifique
la mission fixe sera gnr par la suite.
Un ensemble de tables de mappage : ces tables vont permettre aux auditeurs daffiner leurs
missions daudit en se rfrant aux bonnes pratiques des autres cadres de rfrences et normes
internationales qui traitent le mme objet dune telle ou telle mission daudit. Le cadre de
rfrence Cobit4.1 offre cet avantage via ses objectifs de contrle qui salignent sur les bonnes
pratiques dun grand nombre de standards et normes internationales.
2) Le guide gnrique (la plateforme de questionnaires daudit)
Cette plateforme la quelle vont se rfrer les auditeurs informatiques de la STEG pour prparer
leurs missions daudit, comportera un ensemble des valuations couvrant tous les processus et
objectifs de contrle de Cobit. Ces questionnaires gnriques seront implments en feuilles Excel
sur la base des conseils et des procdures dvaluation proposs par des experts en la matire et
dicts dans le guide daudit Cobit4.1. Lorganisation de cette plateforme va tre de la manire
suivante :
64

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Une feuille Excel pour chaque domaine de processus Cobit4.1, cette feuille va comporter
toutes les valuations et questions portant sur lensemble des processus de ce domaine et les
objectifs de contrle leurs sont associs. Ainsi on aura quatre feuilles correspondant aux quatre
domaines suivants :
Planifier et Organiser (PO)
Acqurir et Implmenter (AI)
Dlivrer et Supporter (DS)
Evaluer et Surveiller (SE)
Pour chaque objectif de contrle de chaque processus un ensemble dvaluations sera prsent
afin de vrifier lefficacit des contrles internes implments par rapport aux bonnes pratiques
dicts par le cadre de rfrence Cobit4.1.
En plus de ces quatre domaines qui couvrent lensemble des activits des SI, une feuille Excel
sera ddie aux valuations concernant les contrles applicatifs (CA) qui sont la charge de la
DSI et qui concernent le reporting financier et la scurit des donnes et transactions
financires (ces contrles sont issus du cadre de rfrence de contrle interne COSO en
rponse aux exigences de la loi SOX et adopts par Cobit4.1).
remarquer que les diffrentes valuations que ce soit ceux portant sur les processus, les objectifs
de contrles associs ou les contrles applicatifs (CA) sont issus des conseils et des procdures
dvaluation labors par les experts dans le guide daudit Cobit4.1.
Description du guide gnrique et ses composants
Ce guide gnrique va mettre en uvre plusieurs lments de Cobit qui sintgrent dune manire et
dune autre au volet audit de cadre de rfrence Cobit4.1. Llment pivot autour du quel sorganise
lapproche audit de Cobit sont les Objectifs de contrle (llment 3 de la Figure 25), ces
objectifs dcrivent les exigences minimales pour garantir un contrle efficace de chaque processus
relatif aux SI . Au niveau de ce guide gnrique on va respecter le modle processus de Cobit4.1
qui est structur en Processus (llment 2 de la Figure 25) groups par Domaine (llment 1
de la Figure 25) afin de prsenter tous les objectifs de contrles. Pour chaque processus et pour
chaque objectif de contrle une description sera prsente permettant aux auditeurs de mieux
comprendre le champ dapplication et lutilit de chacun des ces lments.

65

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

En ralit, ce guide nest pas utiliser tel quil est, les cls dexploitation de ce guide seront dans la
carte de correspondance Missions - Objectifs de contrle qui va permettre de cadrer les missions
daudit et de gnrer des questionnaires spcifiques en fonction de type de mission dfini.
Et fin de guider les auditeurs informatiques dans leurs investigations lors de la phase dexcution,
des tests et des valuations seront prsents au moyen de ce guide gnrique sous forme de
Questions types (llment 4 de la Figure 25) et qui traduisent les conseils et les procdures
dvaluation proposs par des experts dans le guide daudit Cobit4.1. Ces questions ont pour but de
vrifier si les dispositifs de contrles implments et relatives un objectif de contrle bien
dtermin rpondent aux exigences du cadre de rfrence Cobit4.1 en ralisant une Evaluation
(llment 6 de la Figure 25) de ceux-ci par une rponse affirmative de type Oui/Non.
En assistance aux travaux dinvestigation des auditeurs un nombre des Mthodes et des conseils
(llment 5 de la Figure 25) seront mis leur disposition afin de les aider bien valuer les objectifs
de contrle en question. Ces conseils et mthodes sont mentionns titre indicatif, chaque auditeur
peut se confier dautres mthodes, ses propres outils et son exprience en la matire.
Les valuations et les tests effectues peuvent faire intervenir des audits qui sont gnralement les
responsables des processus concerns par la mission en question. Ainsi dans ce guide et en se basant
sur les tableaux RACI, une rubrique dnomme Responsables rattache la description de
chaque processus (faisant partie de llment 2 de la Figure 25) mentionnera les responsables cls
dun tel ou tel processus vers qui lauditeur peut sorienter pour demander des explications ou des
rponses ses interrogations.
Enfin une rubrique Observations et remarques (llment 7 de la Figure 25) sera consacre aux
auditeurs afin dinscrire leurs remarques et observations sur lensemble des valuations faites
chacun des objectifs de contrle. Ces remarques et observations en plus des rsultats des valuations
vont former la base des opinions et recommandations quils vont mentionner dans le rapport daudit
quils vont rdiger en fin de leurs missions.
remarque que dans ce guide gnrique les contrles applicatifs (CA) seront groups dans un
domaine titr Contrles Applicatifs qui sera implment en une feuille Excel part et qui peut
tre accde par la barre de navigation den bas (llment 8 de la Figure 25). Cette barre de
navigation permettra aussi de se dplacer entre les diffrents composants de ce gnrateur : la
plateforme des questionnaires, la carte cl et les tables de mappage (en forme dAnnexes).
66

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Figure 25 : Le guide gnrique (la plateforme de questionnaires d'audit)

67

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

3) La carte de correspondance Missions - Objectifs de contrle


Cette carte est la pice maitresse de ce gnrateur de guides daudit, elle va prsenter une cl qui
permettra de gnrer des questionnaires spcifiques des missions bien dtermines. Sous contrainte
de temps, on na pas pu dvelopper largement cette carte. Le choix a t fix sur la mission Audit
de la scurit globale des SI afin de mettre en uvre lapproche Cobit4.1 en matire daudit. Le
choix de cette mission savre plus que judicieux, vu limportance de la scurit des SI pour la STEG
qui opre dans un secteur assez sensible et aussi en raison de la nature de cette mission qui traverse
les SI de bout en bout ce qui va permettre de mettre en application toutes les particularits et les
avantages de cadre de rfrence fdrateur Cobit4.1.
a) Etude de cas : Audit de la scurit globale des SI
Approche Cobit4.1 en matire de la scurit des systmes dinformation
Les SI dentreprise se confrontent un grand nombre de risques de diffrents types qui attaquent
lintgrit, la confidentialit, la disponibilit, la traabilit des informations, ainsi que la scurit
physique et logique des dispositifs matriels et logiciels et autres lments et dimensions des SI. Le
tableau suivant expose plusieurs exemples de ces risques en les groupant par famille.
Tableau 16 : Les familles de risques pouvant contrarier le fonctionnement des SI
Famille des risques
Risques stratgiques
Risques humains

Risques physiques

Risques logiques

Risques externes
(risques rseaux)
Risques lis aux
partenaires
Risques juridiques

Exemples
Dfaillance de la stratgie numrique et de scurit
Mauvaise organisation (failles organisationnelles)
Manque des comptences, dadhsion la politique de lentreprise
Mauvaise utilisation (erreurs dexcution)
Malveillance, ngligence
Divulgation des donnes critiques
Abus, usurpation des droits, fraude
Accs non autoriss
Indisponibilit ou dpart dun homme cl
Vols ou destruction du matriel informatique
Dommages matriels et logiciels (exemple : altration des BD)
Sinistres : incendies, inondations ..
Dni de service cause de saturation
Maintenance insuffisante
Dysfonctionnements des applications et systmes
Applications et systmes non conformes aux spcifications
Erreurs de conception, bogues logiciels
Pertes des donnes
Espionnage : analyse de trafic, intrusion
Virus, programmes malveillants
Vols et altration des donnes
Externalisation
Dfaillance dun fournisseur pou dun prestataire de service
Contrats avec les prestataires et les sous-traitants.
Nouvelles rglementations.
Evolution des structures juridiques.

68

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Selon ce tableau les risques informatiques sont de plusieurs origines : stratgique, managriale,
oprationnel (utilisateurs des SI), comme ils infectent presque toutes les ressources des SI : les
informations, les applications, les quipements, les installations ainsi que les processus de
management. En raison de tous ces faits, la scurit des SI simpose comme un besoin vital pour les
entreprises afin de se protger contre cette varit des risques, dassurer la continuit de leurs
activits et de garantir leurs prennits.
Le cadre de rfrence Cobit 4.1 rpond parfaitement la mission Audit de la scurit globale des
SI par son modle processus qui couvre lensemble des activits et les diffrentes ressources des
SI, en plus de ses nombreux avantages, tels que : lalignement des ses bonnes pratiques sur les
besoins des mtiers et lintgration des plusieurs bonnes pratiques dautres rfrentiels daudit
(notamment la norme ISO 27002 en matire de scurit de linformation) offrant ainsi aux auditeurs
un cadre gnrale pour valuer la scurit des SI.
Selon lapproche Cobit 4.1 les exigences en matire de la scurit des SI doivent couvrir et satisfaire
trois critres parmi les sept critres dinformation quil dfinit, savoir : la confidentialit, lintgrit
et la disponibilit (voir Figure 26), et cela afin de sassurer dune manire gnrale que :
Les SI sont disponibles et utilisables en cas de besoin, et quils peuvent rsister aux attaques et
tre rcuprs suite des checs (disponibilit).
L'information est observ par ou divulgue uniquement ceux qui ont le droit daccs
(confidentialit).
L'information est protge contre toute modification non autorise ou d'une altration de sorte
que la prcision, l'exhaustivit et la validit seront maintenues (intgrit).

Figure 26 : Les exigences du cadre de rfrence Cobit4.1 en matire de la scurit des SI (critres dinformation)

69

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Cadrage de la mission Audit de la scurit globale des SI


Le principe de cadrage des objectifs de contrles selon lapproche Cobit4.1 consiste identifier ceux
qui rpondent aux besoins en scurit des SI (pour ce cas dtude), dans une dmarche descendante
allant des exigences mtiers vers les processus en passant par les objectifs informatiques (principe de
cascade des objectifs comme dcrit dans la Figure 12). Les auditeurs peuvent se rfrer ainsi aux
tableaux prsents par le cadre de rfrence Cobit4.1 (voir Annexe1) qui permettent de faire les
liens entre les objectifs mtiers, les objectifs informatiques et les processus Cobit fin dappliquer ce
principe. Ils doivent tout dabord fixer les objectifs informatiques, ceux qui traitent lobjet auditer
ou le thme de la mission daudit, afin didentifier lensemble des processus informatiques uvrant
la ralisation de ces objectifs. Par la suite les auditeurs devront extraire les objectifs de contrle en
relation troite avec le sujet de la mission parmi lensemble des objectifs de contrle des processus
identifis et cela peut tre ralis sur la base des descriptions de chaque objectif de contrle et/ou les
noncs des valeurs et des risques lui sont associes.
Dmarche de cadrage suivie :
La dmarche quon va suivre sinspire largement du processus de cadrage dcrit par le cadre de
rfrence Cobit4.1. Dans cette dmarche on va commencer du gnrale vers le personnalis, en
passant par diffrents niveaux de cadrage qui sont :
Premier niveau de cadrage Cadrage de haut niveau :
Dans cette tape nous allons nous rfr au tableau reliant les objectifs informatiques au processus
Cobit4.1 (voir Figure 27), en choisissant comme inducteur pour ce cadrage initial de cette
mission les critres dinformation qui rpondent aux exigences de la scurit des SI savoir : la
confidentialit, lintgrit et la disponibilit. Ceci va nous permettre didentifier en premier lieu
tous les processus concerns par la mission (les processus encadrs en rouge dans la Figure 27) et
par consquent tous les objectifs de contrle leurs sont associs. On parle alors de la scurit
globale des SI , une scurit qui touche tous les niveaux organisationnels et les diffrentes
ressources de lentreprise, cela est bien remarqu par le grand nombre des processus et objectifs
de contrle identifis.
remarquer que selon le mme tableau dcrit, les processus Cobit sont qualifis soit de
prioritaire (P) ou de secondaire (S) par rapport aux diffrents objectifs informatiques. Dans cette
premire tape de cadrage on va prendre en compte tous les processus que ce soit prioritaires (P)
ou secondaire (S) tout en prservant ces indications pour une tape ultrieure.
70

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Figure 27 : Cadrage de haut niveau de la mission Audit de la scurit globale des SI

71

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Deuxime niveau de cadrage : Identification des objectifs de contrle initiaux


Une fois les processus informatiques fixs, la suite consiste identifier les objectifs de contrle
qui sont en rapport direct avec la mission parmi lensemble des objectifs des processus
slectionns. Une manire de faire consiste parcourir tous les processus slectionns et la
lumire de la description de chaque objectif de contrle extraire ceux qui correspondent le plus
la mission et qui vont tre objets des valuations effectues par les auditeurs. Le rsultat de cette
tape sera un tableau qui comprendra tous les objectifs de contrle en question groups par
processus et par domaine (Tableau 17). ces objectifs de contrle nous ajouterons la liste des
contrles applicatifs (CA) rpondant aux exigences de reporting financier et qui concernent les
donnes et transactions financires automatises.
Troisime niveau de cadrage : Affinement du cadrage
Cobit4.1 prsente une dmarche trop labore pour laffinement du processus de cadrage, cette
dmarche consiste ne garder parmi les objectifs de contrle identifis dans le premier niveau que
ceux qui sont critiques (dont la non-atteinte aura des effets significatifs sur le bon fonctionnement
des SI et par consquent sur la prennit de lentreprise) et qui correspondent aux ressources les
plus impliques par la mission. Ainsi dans ce cas dtude en se rfrant au tableau rsultant de
ltape prcdente (Tableau 17) on va restreindre la liste des objectifs de contrle identifis en se
limitant aux processus prioritaires (P) pour un premier niveau daffinement ce qui va donner lieu
une liste plus restreinte des processus et des objectifs de contrle (mentionns en surbrillance dans
le mme tableau 17). Pour restreindre plus encore le primtre de cette mission on peut se rfrer
aux descriptifs de ces objectifs de contrle et/ou les noncs des risques et des valeurs leurs sont
associs afin de dterminer ceux les plus critiques et qui correspondant aux ressources les plus
impliques par cette mission comme dcrit dans la dmarche Cobit.
Ce processus de cadrage permet de limiter le champ dinvestigation pour la mission Audit de la
scurit globale des SI une liste dobjectifs de contrle critiques. Cette liste va alimenter la carte
des correspondances Missions - Objectifs de contrle . Reste que a sera mieux de considrer
cette mission comme un cadre gnrale afin de planifier et dexcuter des missions plus spcifiques
traitant chacune un volet de la scurit des SI. Ainsi il sera judicieux quon oprera un dcoupage
de cette mission gnrale afin de raffiner la carte des correspondances Missions - Objectifs de
contrle . Dans ce dernier cas nous allons reconsidrer tous les processus prioritaires (P) et
secondaires (S) et tous les objectifs de contrle leurs sont associs pour cette mission gnrale.
72

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation
Tableau 17 : Liste des objectifs de contrle correspondant la mission Audit de la scurit globale des SI
Domaine
Planifier
et
Organiser
(PO)

Processus
PO1 : Dfinir un plan informatique stratgique

PO2 : Dfinir larchitecture de linformation


(x)

PO3 : Dterminer lorientation stratgique


PO4 : Dfinir les processus, lorganisation et les
relations de travail

PO6 : Faire connaitre les buts et orientations du


management
(xxxx)
PO7 : Grer les ressources humaines et
informatiques

PO8 : Grer la qualit


PO9 : Evaluer et grer les risques
(xx)

Acqurir
et
Implmenter
(AI)

AI1 : Trouver des solutions informatiques

AI2 : Acqurir des applications et en assurer la


maintenance

AI3 : Acqurir une infrastructure technique et en


assurer la maintenance

AI4 : Faciliter le fonctionnement et


lexploitation

AI5 : Acqurir des ressources informatiques

AI6 : Grer les changements


(xx)

AI7 : Installer et valider les solutions et les


modifications
(xx)

Objectifs de contrle
PO1.2 : Alignement Mtiers-Informatique
PO1.4 : Plan informatique stratgique
PO1.6 : Gestion de portefeuille informatique
PO2.1 : Modle darchitecture de linformation de lentreprise
PO2.2 : Dictionnaire et rgles de syntaxe des donnes
PO2.3 : Systme de classification des donnes
PO2.4 : Gestion de lintgrit
PO3.3 : Surveillance de lvolution des tendances et de rglementation
PO3.4 : Standards informatiques
PO4.8 : Responsabilit des risques, de la scurit et de la conformit
PO4.9 : Proprit des donnes et du systme
PO4.10 : Supervision
PO4.11 : Sparation des tches
PO4.13 : Personnel informatique cl
PO4.15 : Relations
PO6.2 : Risque informatique pour lentreprise et cadre de contrle
PO6.3 : Gestion des politiques informatiques
PO6.4 : Dploiement des politiques, des standards et des procdures
PO6.5 : Communication des objectifs et des orientations informatiques
PO7.1 : Recrutement et maintien de personnel
PO7.2 : Comptences du personnel
PO7.3 : Affection des rles
PO7.4 : Formation
PO7.5 : Dpendance lgard dindividus
PO7.6 : Procdures de scurit concernant le personnel
PO7.7 : Evaluation des performances
PO7.8 : Changements de postes et dparts
PO8.3 : Standards de dveloppement et dacquisition
PO9.1 : Rfrentiel de gestion des risques informatiques
PO9.2 : Etablissement du contexte du risque
PO9.3 : Identification des vnements
PO9.4 : valuation du risque
PO9.5 : Rponse au risque
PO9.6 : Maintenance et surveillance du plan daction vis--vis risques
AI1.1 : Dfinition des exigences mtiers, techniques et fonctionnelles
AI1.2 : Rapport danalyse de risques
AI1.3 : Etude de faisabilit et formulation dalternatives
AI2.2 : Conception dtaille
AI2.3 : Contrles applicatifs et auditabilit
AI2.4 : Scurit et disponibilit des applications
AI2.5 : Configuration et implmentation des logiciels applicatifs acquis
AI2.6 : Mise jour majeurs des systmes existants
AI2.8 : Assurance qualit des logiciels
AI3.1 : Plan dacquisition dune infrastructure technique
AI3.2 : Protection et disponibilit des ressources de linfrastructure
AI3.3 : Maintenance de linfrastructure
AI3.4 : Environnement de test et faisabilit
AI4.1 : Planification pour rendre les solutions exploitables
AI4.2 : Transfer de connaissances aux mtiers
AI4.3 : Transfer de connaissances aux utilisateurs finaux
AI4.4 : Transfert de connaissance aux quipes dexploitation et support
AI5.2 : Gestion des contrats fournisseurs
AI5.3 : Choix des fournisseurs
AI5.4 : Acquisition des ressources informatiques
AI6.1 : Standards et procdures de changement
AI6.2 : valuation de limpact, choix des priorits, autorisation
AI6.3 : Modification durgence
AI6.4 : Suivi et compte-rendu des changements
AI6.5 : Clture et documentation des changements
AI7.1 : Formation
AI7.2 : Plan de test
AI7.3 : Plan dimplmentation
AI7.4 : Environnement de test
AI7.5 : Conservation de systme des donnes
AI7.6 : Tests des modifications
AI7.7 : Tests de recettes dfinitives
AI7.8 : Mise en production
AI7.9 : Revue post-implmentation

73

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Dlivrer
et
Supporter
(DS)

Surveiller
et
Evaluer (SE)

Contrles
applicatifs
(CA)

DS1 : Dfinir et grer les niveaux de services

DS1.3 : Contrats ou convention de services (CS)


DS1.5 : Surveillance et comptes rendu des niveaux de services
DS1.6 : Revue des conventions de services et contrats
DS2 : Grer les services tiers
DS2.3 : Gestion du risque fournisseurs
DS2.4 : Surveillance des performances fournisseurs
DS3 : Grer la performance et la capacit x
DS3.4 : Disponibilit des ressources informatiques
DS4 : Assurer un service continu
DS4.1 : Rfrentiel de continuit informatique
(xxx)
DS4.2 : Plans de continuit informatique
DS4.3 : Ressources informatiques critiques
DS4.4 : Maintenance du plan de continuit des SI
DS4.5 : Tests du plan de continuit des SI
DS4.8 : Reprise et redmarrage des services informatiques
DS4.9 : Stockage de sauvegardes hors site
DS5 : Assurer la scurit du systme
DS5.1 : Gestion de la scurit informatique
(xxxxx)
DS5.2 : Plan de scurit informatique
DS5.3 : Gestion des identits
DS5.4 : Gestion des comptes utilisateurs
DS5.5 : Tests de scurit, vigilance et surveillance
DS5.6 : Dfinition des incidents de scurit
DS5.7 : Protection de la technologie de scurit
DS5.8 : Gestion des clefs de chiffrement
DS5.9 : Prvention, dtection et neutralisation des logiciels malveillants
DS5.10 : Scurit des rseaux
DS5.11 : Echange de donnes sensibles
DS9 : Grer la configuration
DS9.1 : Rfrentiel de configuration et configuration de base
(x)
DS9.2 : Identification et maintenance des lments de configuration
DS9.3 : Revue dintgrit des configurations
DS10 : Grer les problmes
DS10.1 : Identification et classification des problmes
DS10.2 : Suivi et rsolution des problmes
DS10.3 : Clture des problmes
DS11 : Grer les donnes
DS11.1 : Exigences des mtiers pour la gestion des donnes
(xx)
DS11.2 : Dispositifs de stockage et de conservation
DS11.3 : Systme de gestion de la mdiathque
DS11.4 : Mise au rebut
DS11.5 : Sauvegarde et restauration
DS11.6 : Exigences de scurit pour la gestion des donnes
DS12 : Grer lenvironnement physique
DS12.1 : Slection de site et agencement
(xxxx)
DS12.2 : Mesures de scurit physiques
DS12.3 : Accs physique
DS12.4 : Protection contre les risques lis lenvironnement
DS12.5 : Gestion des installations matrielles
DS13 : Grer lexploitation
DS13.3 : Surveillance de linfrastructure informatique
(x)
DS13.4 : Documents sensibles et dispositifs de sortie
DS13.5 : Maintenance prventive du matriel
SE1 : Surveiller et valuer la performance du SI
SE1.2 : Dfinition et collationnement des donnes
SE1.4 : Evaluation de la performance
SE1.5 : Comptes rendus destins au CA et la DG
SE1.6 : Actions correctives
SE2 : Surveiller et valuer le contrle interne
SE2.1 : Surveillance de rfrentiel de contrle interne
(xx)
SE2.4 : Autovaluation du contrle
SE2.5 : Assurance du contrle interne
SE2.6 : Contrle interne des tiers
SE3 : Sassurer de la conformit aux obligations SE3.1 : Identification des obligations externes : lois, rglements, contrats
externes
SE3.2 : Optimisation de la rponse aux obligations externes
SE3.3 : Evaluation de la conformit aux obligations externes
SE3.4 : Assurance positive de la conformit
SE4 : Mettre en place une gouvernance des SI
SE4.5 : Gestion des risques
SE4.7 : Assurance indpendante
CA1 : Autorisation et prparation des donnes source
CA2 : Collecte et saisie des donnes source
CA3 : Vrifications d'exactitude, d'exhaustivit et d'authenticit
CA4 : Intgrit et validit du traitement
CA5 : Vrification des sorties, rapprochement et traitement des erreurs
CA6 : Authentification et intgrit des transactions

Remarque :
Les processus en surbrillance sont les processus qualifis de prioritaires (P). Le degr de priorit de chaque processus est calcul selon le
nombre de fois quun processus est impliqu en matire de scurit des SI (voir Figure 27). Ce degr de priorit est mentionn par des
marques (xxx). Les contrles applicatifs (CA) font partie des contrles haut degr de priorit, pour cette mission Audit de la scurit
globale des SI .

74

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Dcoupage de la mission Audit de la scurit globale des SI en sous-missions


spcifiques
La mission type choisi pour ce cas dtude stend sur le large des SI impliquant presque toutes les
ressources matrielles, logicielles, humaines ainsi que les informations et les procdures, et touche
les dimensions stratgiques et managriale des SI qui peuvent prsenter des risques et des problmes
de scurit.
Comme discut dans la section prcdente il sera alors plus judicieux de dcouper cette mission en
sous-missions daudit traitant chacune un besoin bien dtermin en scurit. Ainsi cette mission
Audit de la scurit globale des SI pourra tre considre au niveau de la phase de planification
comme un cadre pluriannuel ou annuel traitant la scurit des SI.
Une premire ide de dcoupage de cette mission gnrale consiste sinspirer du modle processus
de cadre de rfrence Cobit4.1, et cela en traitant tous les objectifs de contrle identifis soit par
domaine ou par processus. Un tel dcoupage savre confus, en faite ce modle fait interconnecter
plusieurs processus de diffrents domaines fin doprer ensemble dans le but datteindre un objectif
informatique bien dtermin, ce qui rend cette ide de dcoupage non pratique. Plusieurs autres
modles de dcoupage peuvent tre tablis, comme :
le dcoupage par structure
le dcoupage par fonction
le dcoupage par ressource
le dcoupage par thme
Le dcoupage le plus adapt cette mission sera celui par thme en raison des spcificits des SI, et
de la nature de la mission. Ce mode de dcoupage permet aussi dintgrer toutes les diffrentes
missions daudit de la scurit des SI que les auditeurs informatiques de la STEG ont eu
gnralement lhabitude excuter, sans tomber dans un dcoupage par processus trop spcifique et
non adapt.
Parmi les nombreuses publications de lISACA tournant tout autour du cadre de rfrence Cobit4.1,
un guide du management, le Cobit Security Baseline , fournit des conseils aux responsables et aux
conseills en scurit

afin dimplmenter des dispositifs de contrles permettant dassurer la

protection des SI de tous risques. Ces conseils et directives sont labors sur la base des pratiques
de contrles associes aux diffrents objectifs de contrle Cobit.

75

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

En se rfrant ce guide et en ltudiant on a pu ainsi ventailler la mission Audit de la scurit


globale des SI en un nombre de sous-mission tout en spcifiant les objectifs de contrle propres
chacune (voir Tableau 18). Ces sous-missions sont :
Audit du management de la scurit des SI : cette mission consiste vrifier la stratgie
scuritaire mise en place par la direction, lorganisation des SI et les responsabilits ainsi que
le processus de communication en matire de la scurit.
Audit des risques informatiques : cette mission consiste vrifier le processus de gestion des
risques informatiques et lexistence dun plan daction pour faire face aux risques potentiels.
Audit des risques associs au personnel : cette mission consiste vrifier le degr
dimplication du personnel dans la politique scuritaire de lentreprise.
Audit de la scurit des applications et infrastructures : cette mission consiste vrifier la
scurit des ressources logiciels et matriels ds leurs acquisitions (ou dveloppements pour le
cas des applications et systmes) jusqu leurs implmentations et leurs mises en uvre.
Audit de la scurit des changements : cette mission consiste vrifier la scurit des systmes
et applications lors des diffrents changements apports ceux-ci.
Audit de la scurit des services fournis par des tiers : cette mission consiste vrifier que les
services offerts par des tiers respectent les politiques et les procdures de lentreprise.
Audit de la scurit des services internes : cette mission consiste vrifier que les services
internes fournis par les SI de lentreprise sont toujours disponibles, fiables, rcuprables en cas
dchec protgs contre toute violation de la scurit.
Audit de la scurit des donnes et transactions : cette mission consiste vrifier que les
contrles mis en place pour assurer lintgrit, laccessibilit et la lisibilit des donnes et que
ceux assurant la conformit des transactions aux rgles et procdures de lentreprise, existent et
quils sont efficaces.
Audit de la scurit physique : cette mission consiste vrifier la scurit physique des
quipements matriels, des installations, des constructions et tous les biens informatiques de
lentreprise.
Audit de la gouvernance des dispositifs de scurit : cette mission consiste vrifier la
performance des dispositifs de scurit mis en place, lexistence dune assurance indpendante
des mesures de scurit tablies et la conformit rglementaire des politiques et procdures de
scurit avec les normes et lois en vigueur.

76

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation
Tableau 18 : Dcoupage de la mission Audit de la scurit globale des SI en sous-missions spcifiques(27)
Type de mission daudit
Audit du management de la
scurit des SI

Audit des risques informatiques

Audit des risques associs au


personnel en matire de la
scurit des SI
Audit de la scurit des
applications et infrastructures

Audit de la scurit des


installations et des changements

Audit de la scurit des services


fournis par des tiers
Audit de la scurit des services
internes

Audit des donnes et des


transactions

Audit de la scurit physique


Audit de la gouvernance des
dispositifs de scurit

(27)

Objectifs de contrle
PO1 : 1.2, 1.4, 1.6
PO2 : 2.2, 2.3
PO3 : 3.4
PO4 : 4.8, 4.9, 4.10, 4.11, 4.15
PO6 : 6.2, 6.3, 6.4, 6.5
PO7 : 7.3
AI5 : 5.2
DS1 : 1.3, 1.5, 1.6
DS2 : 2.4
DS5 : 5.1, 5.2
PO2 : 2.3
PO7 : 7.4
PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6
AI1 : 1.1, 1.2
PO4 : 4.13
PO7 : 7.1, 7.2, 7.5, 7.6, 7.7
AI4 : 4.1, 4.2, 4.3, 4.4
AI7 : 7.1
PO8 : 8.3
AI1: 1.1, 1.2, 1.3
AI2 : 2.2, 2.3, 2.4, 2.5, 2.6, 2.8
AI3 : 3.1, 3.2, 3.3, 3.4
AI4 : 4.1, 4.4
AI5: 5.2, 5.3, 5.4
AI6 : 6.1
DS5 : 5.9
DS9 : 9.1, 9.3
PO8 : 8.3
AI2: 2.8
AI3: 3.4
AI6: 6.1, 6.2, 6.3, 6.4, 6.5
AI7: 7.2, 7.4, 7.6, 7.7, 7.8, 7.9
AI5 : 5.3
DS2 : 2.3, 2.4
SE2 : 2.6
PO2: 2.3
PO9: 9.3, 9.4
DS4: 4.1, 4.2, 4.3, 4.4, 4.5, 4.8, 4.9
DS5: 5.2, 5.3, 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 5.10, 5.11
DS10: 10.1, 10.2, 10.3
DS11 : 11.5, 11.6
DS12: 12.3, 12.5
DS13 : 13.4
AC6
DS4 : 4.9
DS5: 5.11
DS11: 11.2, 11.4, 11.6
AC1
AC2
AC3
AC4
AC5
AC6
DS12: 12.1, 12.2, 12.3, 12.4, 12.5
PO3 : 3.3
SE1: 1.2, 1.4, 1.5, 1.6
SE2: 2.1, 2.4, 2.5
SE3 : 3.1, 3.2, 3.3, 3.4
SE4 : 4.7

Voir Annexe2 pour une description plus dtaille de lobjectif et du primtre de chacune de ses sous-mission.

77

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

b) Implmentation de la carte de correspondance Missions - Objectifs de contrle


Les besoins de la STEG en missions daudit des SI sont nombreux, vu la diversification des activits
de sa DSI et les diffrentes contraintes qui lui font face : contraintes de scurit, de qualit, de cots,
contraintes environnementales et autres. Dans ce prsent travail on a choisi comme mission type
Audit de la scurit globale des SI fin de mettre en uvre lapproche Cobit4.1 en matire
daudit des SI et de prsenter un exemple suivre pour les auditeurs de la STEG. En fait le produit
de ce travail (le gnrateur de guides daudit) est un outil qui va permettre dautomatiser la phase de
cadrage de la dmarche daudit Cobit4.1 au moyen de la carte de correspondance Missions Objectifs de contrle et de fournir en rsultat des Frameworks (en forme de questionnaires
spcifiques et des tables de mappage correspondant) pour diffrentes missions daudit.
Cette carte cl sera implmente en un ficher Excel prsentant tous les objectifs de contrle Cobit4.1
organise par processus et domaines (tel le modle de processus Cobit4.1), et comportera une liste
qui regroupera tous les travaux de cadrage, celui ralis pour le cas de cette mission type et ceux qui
seront la charge des auditeurs de la STEG par la suite. Cette liste organisera lensemble des
missions daudit en une hirarchie de missions et de sous-missions qui en dcoulent (voir Figure 28).
Le rle de cette carte sera de prsenter aux auditeurs des pistes suivre dans leurs missions en leur
offrant des correspondances entre des missions daudit (organises par thme et sous thmes) et les
objectifs de contrle Cobit4.1 relatifs chacune. Elle prsentera ainsi des modles de cadrage pour
un ensemble de missions daudit et permettra de gnrer des questionnaires daudit spcifiques en
fonction de type de mission fix (voir Tutoriel Annexe 3).
Ce travail formera une base partir de quelle sera tablie une carte plus labore, pouvant contenir
plusieurs autres missions daudit telles que :
Audit des projets informatiques
Audit des services informatiques
Audit des applications informatiques
Audit de la performance des SI
Audit de la qualit des SI
Audit de la gouvernance des SI
remarquer que tous ces missions peuvent tre dcoupes en sous-missions comme ctait fait pour
le cas de la mission Audit de la scurit globale des SI , permettant ainsi de former une hirarchie
de guides daudit structurs, cohrents, complmentaires et uvrant dans une mme logique.
78

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Figure 28 : La carte de correspondances Missions - Objectifs de contrle (28)


(28)

Un tutoriel de cette application est prsent en Annexe3.

79

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Exemple 1 : Objectifs de contrle correspondant la mission gnrale Audit de la scurit globale


des SI .

Figure 29 : La carte de correspondance Audit de la scurit globale des SI - Objectifs de contrle (Exemple1)

80

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Exemple 2 : Objectifs de contrle correspondant la sous-mission Audit de la scurit des services


internes .

Figure 30 : La carte de correspondance Audit de la scurit des services internes - Objectifs de contrle
(Exemple2)

81

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

4) Les tables de mappage


Une des particularits de cadre de rfrence Cobit4.1, cest quil organise, unie et favorise la
convergence dun grand nombre de bonnes pratiques issues de plusieurs standards et normes
internationales, lui valant ainsi le titre dun cadre fdrateur par excellence. Cet alignement de
Cobit4.1 sur des rfrentiels plus spcifiques permet de mettre en place un ensemble hirarchis de
guides daudit bien labors, traitant les SI de plus haut niveau stratgique et managriale jusquau
niveau oprationnel et purement technique. Le produit de ce prsent travail : le Gnrateur de
guides daudit cherche implmenter lapproche Cobit au moyen de tous ses sous-produits : la
plateforme des questionnaires daudit, la carte de correspondance Missions Objectifs de
contrle et notamment des tables de mappage (qui font liens entre les objectifs de contrle
Cobit4.1 et les bonnes pratiques des autres standards et normes).
En matire de la scurit des SI Cobit4.1 fait rfrence via ses objectifs contrle aux bonnes
pratiques de plusieurs standards et normes internationales traitant ce mme thme, on note
particulirement :
le cadre de rfrence ITIL
la norme ISO 13335
la norme ISO 15408
la norme ISO 20000 (inspire des bonnes pratique de cadre de rfrence ITIL)
la norme ISO 27002 (volue partir de la norme ISO 17799)
.

Figure 31: Les principaux standards et normes informatiques qui traitent la scurit des SI

82

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Pour le cas de la mission type fixe pour ce travail, la mission d Audit de la scurit globale des
SI , le standards ou la norme la plus adapte au sujet trait est essentiellement la norme ISO/CEI
27002 : 2005 de la famille des normes ISO 2700X (voir Figure 32). Cette norme est en fait un code
de bonnes pratiques pour la gestion de la scurit de l'information qui prsente trente-neuf objectifs
de contrle qui se dclinent eux-mmes en cent-trente-trois mesures ou bonnes pratiques destines
tre implmentes par le management au moyen dun Systme de Management de la Scurit de
l'Information (SMSI).

Figure 32 : La famille des normes ISO 2700X

Cette norme dfinie la scurit de l'information comme la prservation de la confidentialit, de


l'intgrit et de la disponibilit , ainsi on remarque la forte similitude entre cette dfinition et
lapproche Cobit4.1 concernant la scurit des SI.
Cet alignement entre Cobit et la norme ISO 27002 : 2005 permettra aux auditeurs de se rfrer via
une table de mappage (Tableau 19) pour chacune des sous-missions de la mission gnrale Audit
de la scurit globale des SI lensemble des bonnes pratiques de cette norme internationale afin
dapprofondir leurs missions et de dtailler leurs investiguassions.
remarquer que cette table de mappage a t dresse par rfrence au guide de scurit des
informations ( Cobit Security Baseline ) tablie par lISACA. Plusieurs autres tables de mappage
peuvent tre aussi dresses, alignant ainsi les objectifs de contrles Cobit4.1 identifis pour la
mission gnrale Audit de la scurit des SI et ses sous-missions drives avec les bonnes
pratiques des autres rfrentiels concerns, tel que : ITILV3, ISO 13335, ISO 15408, ISO 20000

83

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation
Tableau 19 : Table de mappage Cobit 4.1 - ISO/CEI 27002
Type de mission daudit

ISO/CEI 27002 : 2005

Objectifs de contrle
Cobit 4.1
PO1 : 1.2, 1.4, 1.6
PO2 : 2.2, 2.3
PO3 : 3.4
PO4 : 4.8, 4.9, 4.10, 4.11, 4.15
PO6 : 6.2, 6.3, 6.4, 6.5
PO7 : 7.3
AI5: 5.2
DS1 : 1.3, 1.5, 1.6
DS2 : 2.4
DS5 : 5.1, 5.2
PO2 : 2.3
PO7 : 7.4
PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6
AI1 : 1.1, 1.2

8.1, 8.2
10.1

PO4 : 4.13
PO7 : 7.1, 7.2, 7.5, 7.6, 7.7
AI4 : 4.1, 4.2, 4.3, 4.4
AI7 : 7.1

9.2
11.4, 11.5
12.1, 12.2, 12.4, 12.5,
12.6

PO8: 8.3
AI1: 1.1, 1.2, 1.3
AI2: 2.2, 2.3, 2.4, 2.5, 2.6, 2.8
AI3: 3.1, 3.2, 3.3, 3.4
AI4: 4.1, 4.4
AI5: 5.2, 5.3, 5.4
AI6: 6.1
DS5: 5.9
DS9: 9.1, 9, 9.3

Audit de la scurit des installations


et des changements

10.1, 10.3
12.5

Audit de la scurit des services


fournis par des tiers
Audit de la scurit des services
internes

Audit des donnes et des transactions

6.2
10.2
15.2
4.1, 4.2
6.2
7.2
9.2
10.1, 10.3, 10.4, 10.5,
10.8, 10.9, 10.10
11.1, 11.2, 11.4
12.3, 12.4
13.1, 13.2
14.1
7.2
9.2
10.7, 10.8
11.2, 11.6
15.2

9.1, 9.2
12.3, 12.5
4.1
10.10
15.1, 15.2, 15.3

PO8: 8.3
AI2: 2.8
AI3: 3.4
AI6: 6.1, 6.2, 6.3, 6.4, 6.5
AI7: 7.2, 7.4, 7.6, 7.7, 7.8, 7.9
AI5 : 5.3
DS2 : 2.3, 2.4
SE2 : 2.6
PO2: 2.3
PO9: 9.3, 9.4
DS4: 4.1, 4.2, 4.3, 4.4, 4.5, 4.8, 4.9
DS5: 5.2 ,5.3, 5.4, 5.5, 5.6, 5.7, 5.8,
5.9, 5.10, 5.11
DS10: 10.1, 10.2, 10.3
DS11: 11.5, 11.6
DS12: 12.3, 12.5
DS13: 13.4
AC6
DS4: 4.9
DS5: 5.11
DS11: 11.2, 11.4, 11.6
AC1
AC2
AC3
AC4
AC5
AC6
DS12: 12.1, 12.2, 12.3, 12.4, 12.5

PO3: 3.3
SE1: 1.2, 1.4, 1.5, 1.6
SE2: 2.1, 2.4, 2.5
SE3: 3.1, 3.2, 3.3, 3.4
SE4: 4.7

Audit du management de la scurit


des SI

4.1, 4.2
5.1
6.1, 6.2
7.1
10.1, 10.2, 10.8
15.2

Audit des risques informatiques

4.1, 4.2
6.1
8.2

Audit des risques associs au


personnel en matire de la scurit
des SI

Audit de la scurit des applications


et infrastructures

Audit de la scurit physique


Audit de la gouvernance des
dispositifs de scurit

84

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Conclusion

La fonction daudit interne est dune importance cruciale, elle permet de garantir le bon
fonctionnement de lensemble des activits de lentreprise en vrifiant les diffrents dispositifs de
contrle interne mis en place par le management. Cette vrification a pour but de dcerner les
faiblesses de ces dispositifs et didentifier les risques potentiels qui peuvent mettre en pril la
prennit de lentreprise. Vu la position quoccupent les SI au centre de lorganisation de lentreprise
et leur rle mergeant en tant que un levier de croissance contributif la cration de la valeur et
afin de mieux les matriser, des audits portant sur ces SI sont de plus en plus exigs. Ainsi la
direction daudit interne doit perptuellement amliorer ses approches, mthodes et outils daudit
pour faire face un environnement trop changeant en matire des SI et les technologies associes.
Ce prsent travail stablait dans le cadre dun stage effectu au sein de la direction daudit interne
de la STEG pour lobtention du diplme de master en Audit Interne et Audit des Systmes
dInformation . Ma mission tait dlaborer un ensemble de guides daudit pour vrifier les
diffrentes activits des SI et daider lvolution des mthodes et outils du dpartement daudit
informatique. Ce stage tait une bonne occasion pour mettre en application les savoirs et les
connaissances thoriques que jai acquis lors de mes tudes et de dvelopper mes comptences
professionnelles et techniques via un cas pratique.
Pour rpondre la tche qui ma t confi jai trouv judicieux et mthodologique de faire une
tude de ltat des lieux de la STEG en matire de management et daudit des SI afin de choisir la
bonne solution mettre en place. Cette tude qui sest base sur lensemble des rapports annuels de
la STEG couvrant la priode entre lanne 2007 et lanne 2011, a montr que le volume des
activits de la DSI de lentreprise daccueil est trop important et sans cesse en volution et que ces
activits se dploient sur tout lensemble de lorganisation. Les responsables de la STEG pour
assister cette volution, nont cess de chercher continuellement amliorer les approches, mthodes
et les structures garantissant le bon fonctionnement de lentreprise, cest dans cette vision quun
systme de management de la qualit (SMQ) bas sur la norme internationale ISO 9001 a t mis en
place ainsi quune cellule Risk Management et aussi pour cette vocation qua t cre

la

direction daudit interne et ses quatre divisions antrieurement.


85

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Dans cette logique globale damlioration continue, que sinstalle la fonction audit interne et son
disciple laudit des SI. Les auditeurs informatiques de la direction daudit interne de la STEG se
rfrent dans leurs travaux un ventail de rfrentiels et standards pour mener des missions daudits
spcifiques traitant des lments particulires selon les besoins et en rponse aux demandes de la
direction gnrale et des mtiers. Nanmoins il manquait un cadre globale daudit des SI afin
dorganiser et de structurer les diffrentes missions dans une logique cohrente et complmentaire.
La solution tait dlaborer un gnrateur de guides daudit hirarchiss sur la base dun cadre de
rfrence qui pourra combler ce manquement. Ainsi le choix stait fix sur le cadre de rfrence
fdrateur Cobit4.1.
Le cadre de rfrence Cobit4.1 se distingue par un nombre davantages par rapport aux autres
standards, particulirement par son modle processus qui considre toutes les ressources des SI et
couvre les diffrentes activits de la DSI donnant ainsi une vision complte de la fonction
informatique.. Un autre avantage de Cobit4.1 cest quil intgre au moyen de ces objectifs de
contrle plusieurs dmarches et bonnes pratiques de plusieurs rfrentiels et normes internationales,
tels que : ITIL, CMMi, PMBOK, PRINCE2, TOGAF, COSO, ValIt, RiskIt, ISO 9001, ISO 20000,
la srie ISO 27000, ainsi Cobit4.1 est considr comme un cadre intgrateur et harmonisateur des
standards informatique. Pour le volet audit, lapproche Cobit4.1 tourne tout autour dun lment
axial : les objectifs de contrles qui dfinissent les exigences minimales pour garantir un contrle
efficace de chaque processus et qui sont la base de toute valuation lors des missions daudit
selon cette approche. Aussi Cobit4.1 offre au moyen dun guide daudit tabli par des experts dans le
domaine et ses diffrents lments une dmarche daudit bien labore permettant ainsi aux auditeurs
informatiques de mieux planifier et excuter leurs missions.
Le produit de ce prsent travail le Gnrateur de guides daudit imite intgralement lapproche
audit de cadre de rfrence Cobit4.1. Ce gnrateur se compose dun guide gnrique (en forme
dune plateforme de questionnaires daudit base sur les objectifs de contrle), une carte de
correspondance Missions-Objectifs de contrle (qui se prsente comme une cl permettant de et
de gnrer des questionnaires spcifiques correspondant des missions bien dtermines) et dun
ensemble de tables de mappage (faisant rfrence aux principaux normes et standards SI afin
denrichir les missions et approfondir les investigations des auditeurs). Ainsi les auditeurs auront
leur disposition via ce produit une hirarchie de guides daudit cohrents, complmentaires, uvrant
dans une mme logique, bass sur une mme approche, couvrant lintgralit de la fonction des SI,
aligns sur les besoins des mtiers et sur les bonnes pratiques des diffrents standards informatiques.
86

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Reste que dans ce cas de stage on sest focalis seulement sur le volet audit de cadre de rfrence
Cobit4.1, ce qui ne reflte pas ses autres incarnations. En ralit Cobit4.1 offre un systme global de
contrle, de management et de gouvernance des SI. Il considre les exigences des mtiers au niveau
le plus gnral en alignant les objectifs informatiques sur les objectifs mtiers dans le cadre dune
gouvernance des SI qui sharmonise avec la gouvernance gnrale de lentreprise. Cest encore au
moyen des objectifs de contrle que cet ajustement prendra sa forme entre les cinq domaines de
gouvernance des SI et les activits de contrle dfinis par le cadre gnrale de contrle interne
COSO. Cobit permettra aussi via un langage commun et ses multiple lments de management, de
gouvernance et daudit, dtablir une plateforme de communication entre les diffrents intervenants :
dirigeants, managers, oprationnels et auditeurs afin de mieux matriser les SI et daccentuer leur
rle mergeant en tant que crateur de valeur .
Sur ce, une recommandation que je propose aux responsable de la STEG, cest dessayer
dimplmenter ce cadre fdrateur de contrle et daudit afin de mieux gouverner leurs SI en raison
de prcdents avantages cits et aussi pour que le produit de ce prsent travail uvrera dans un
contexte appropri.

87

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Bibliographie

Renard, J. (2010). Thorie et pratique de laudit interne. Eyrolles.


Garnier, F., Moisand D. (2009). Cobit pour une meilleure gouvernance des SI. Eyrolles.
Champlain J. (2003). Auditing Information Systems. John Wiley, Sons Inc.
Gigref. (2009). Les rfrentiel de la DSI Etats de lart usage et bonnes pratiques.
Afai. (2008). Contrle interne et systme d'information. 2me dition.
Afai. (2007). Cobit 4.1 Cadre de rfrence.
Afai. (2007). Guide daudit des systmes dinformation Utilisation de Cobit.
Itgi. (2007). Cobit security baseline. 2nd edition.
Isaca. (2010). IT Standards, Guidelines, Tools and Techniques for Audit, Assurance and Control
Professionals.
Rapports annuels de la STEG des annes 2007, 2008, 2009, 2010, 2011.
Leblanc, N., Rochier, D. (2005). Impact des rfrentiels SOX et LSF sur les systmes dinformation.
changes dexprience 217 : 46-47.

88

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Annexes

89

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Annexe 1 : Tables et illustrations de cadre de rfrence Cobit4.1

Table des relations Objectifs mtier - Objectifs informatiques

90

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Table des relations Objectifs informatiques - Processus informatiques

91

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Table des liens entre les activits de laudit des SI et les composants Cobit4.1

92

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Correspondances entre les phases daudit Cobit 4.1 et ceux de l IAASB Assurance
Framework

93

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Alignement des processus Cobit4.1 avec les principaux standards et normes informatiques

94

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Annexe 2 : Tableau descriptif des sous-missions de la mission gnrale


Audit de la scurit globale des SI
Type de mission daudit
Audit du management de la
scurit des SI

Audit des risques


informatiques

Audit des risques associs


au personnel en matire de
la scurit des SI

Description
Objectifs de contrle
Cette mission consiste vrifier :
La stratgie de scurit et larchitecture de linformation, c.--d. :
que les donnes, les services et les transactions critiques (en se basant
sur les exigences et les risques mtiers) sont bien identifis et
PO1 : 1.2, 1.4,
considres dans la stratgie de scurit de lentreprise
1.6
que les exigences de scurit (telles que : lauthenticit, la
PO2 : 2.2, 2.3
confidentialit, la disponibilit, la limitation daccs, la validit, le
PO3 : 3.4
sauvegarde et la rcupration) des donnes sont prises en compte
PO4 : 4.9
dans ltablissement de la stratgie globale de scurit des SI

DS5 : 5.1, 5.2


que des investissements de scurit (matriels et logiciels) sont
tudis et pris en compte
Lorganisation des SI et les responsabilits en matire de scurit c.--d. :
que les responsabilits sont assignes, communiques et bien

PO4 : 4.8, 4.10,


apprhendes
4.11, 4.15
le niveau de risque

PO7 : 7.3
que les responsabilits ne sont pas attribuer une seule personne
que les ressources ncessaires pour exercer les responsabilits sont
disponibles et efficaces
La communication des objectifs et les orientations de gestion en matire de
scurit c.--d. :
que les rgles de base rpondant aux exigences et aux incidents de

PO6 : 6.2, 6.3,


scurit sont bien communiques aux employs et que ces derniers
6.4, 6.5
adhrent aussi bien aux politiques de lentreprise en ce qui concerne

DS5 : 5.2
la scurit des SI
que les directives de scurit sont en ligne avec les objectifs de
l'entreprise
La scurit des diffrents niveaux de service : c.--d. :

AI5: 5.2
que des exigences de scurit et des revus rguliers de la conformit
DS1 : 1.3, 1.5,
des niveaux de services internes et les services fournis par des tiers
1.6
sont tablis et respects

DS2 : 2.4
Cette mission consiste vrifier :
le processus de gestion des risques informatiques de lentreprise et les
mesures envisages par la direction de lentreprise
lexistence dun plan daction afin de rpondre aux risques potentiels
le niveau dimplication du personnel dans le processus de gestion des
risques des SI
Cette mission consiste vrifier :
le degr dimplication du personnel aux politiques de scurit tablies par
la direction
les comptences du personnel en matire de scurit gnrale des SI
quaucune tache cl de scurit ne soit attribue une seule personne

Audit de la scurit des


applications et
infrastructures

que les membres du personnel savent intgrer la scurit dans les

procdures quotidiennes
quune documentation et des formations sont fournies aux membres du

personnel en matire de la scurit


Cette mission a pour but de vrifier :
lexistence des valuations de scurit lors de lacquisition des nouvelles

applications

que les dveloppeurs et les fournisseurs dapplications ou infrastructures


prennent en compte les exigences de lentreprise en matire de scurit,
et que lentreprise dployer tous les moyens pour les faire adhrer ses
politiques de scurit

que les solutions informatiques acquises sont fonctionnels et que les


exigences de scurit sont spcifies et compatibles avec les systmes

PO2 : 2.3
PO7 : 7.4
PO9 : 9.1, 9.2,
9.3, 9.4, 9.5, 9.6
AI1 : 1.1, 1.2
PO4 : 4.13
PO7 : 7.1, 7.2,
7.5, 7.6, 7.7
AI4 : 4.1, 4.2,
4.3, 4.4
AI7 : 7.1

AI1: 1.1, 1.2, 1.3


AI5: 5.2, 5.3
AI1: 1.1, 1.2
AI2: 2.2, 2.4
AI4: 4.1, 4.4
AI5: 5.3, 5.4
PO8: 8.3
AI2: 2.3, 2.4, 2.5,
2.6, 2.8
AI3: 3.1, 3.4

95

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Audit de la scurit des


installations et des
changements

lexistence et lefficacit des patchs de scurit pour linfrastructure


que des mesures additionnelles ncessaires pour maintenir la scurit de
linfrastructure sont documentes
que des mises jour rgulires et des inventaires complets des
configurations des applications et du matriel sont excuts
que tous les logiciels installs sont lgales, autoriss (possdent des
licences dutilisation)
Cette mission consiste vrifier :
les impacts des changements (correctifs inclus) sur lintgrit des
donnes (perte des donnes), la disponibilit des services et la validit
des transactions

Audit de la scurit des


services internes

AI3: 3.2, 3.3


AI6: 6.1
DS5: 5.9

DS9: 9.1, 9, 9.3

que tous les changements, y compris les correctifs et les


modifications d'urgence sont documents et autoriss

AI2: 2.8
AI3: 3.4
AI6: 6.1, 6.2
AI7: 7.2, 7.4, 7.6
AI6: 6.2, 6.3, 6.4,
6.5

que les systmes nouvellement installs et les diffrents changements


ont t objet des tests de scurit

PO8: 8.3
AI3: 3.4
AI7: 7.2, 7.4, 7.6,
7.8

Audit de la scurit des


services fournis par des
tiers

que les rsultats des tests faits rpondent aux exigences mtiers et aux
politiques et procdures de lentreprise en matire de scurit des SI
Cette mission consiste vrifier :
que les fournisseurs de services tiers respectent les politiques de
scurit de lentreprise et emploient des personnes qualifis
la dpendance aux fournisseurs des services tiers est bien gre par
les politiques et les procdures de scurit de lentreprise
que les contrats avec les fournisseurs de services tiers permettent
dexcuter des missions daudit et des revues (SysTrust, SAS70,
ISA402)
Cette mission consiste vrifier :

AI7: 7.7, 7.8, 7.9

AI5 : 5.3
DS2 : 2.3, 2.4
SE2 : 2.6

que des fonctions, des informations et des ressources critiques sont


disponible pour maintenir la continuit des services offerts en cas
dun incident de scurit

l'existence et la fiabilit des mesures durgence afin de rtablir le


service en chec et de rpondre aux besoins des fournisseurs et clients
que les lments de rcupration des services (informations,
documentation et ressources critiques) sont bien sauvegarder dans des
sites de sauvegarde et sont bien scuriss, utilisables et recouvrables
que les accs et les privilges daccs (pour afficher, ajouter, modifier
ou supprimer les informations et les transactions) sont bass sur les
besoins particuliers des utilisateurs
que les droits d'accs des prestataires de services, fournisseurs et
clients sont contrls
que les responsabilits pour grer les comptes utilisateurs et les jetons
de scurit (tel que : mots de passe, cartes daccs ) et que ces
mesures sont bien identifies, documentes et rvises
priodiquement
que les violations de scurit des services (tel que : accs non permis
des rseaux et systmes, virus, logiciels malveillants .) sont
toujours enregistres et reportes immdiatement aux responsables de
lentreprise
que les consignes de scurit avec les partenaires commerciaux sont
adquates et conforme aux obligations contractuelles afin de garantir
lauthenticit des transactions lectroniques
que des mesures de protection contre les virus et les logiciels espions
sont tablis et efficaces et mises jour
que les mesures de scurit des rseaux se conforment aux politiques
de lentreprise en matire dchange des informations
que les supports lectroniques permettant cet change sont bien
scuriss et les incidents sont dtects et suivis

PO2: 2.3
PO9: 9.3, 9.4
DS4: 4.1, 4.3
DS5: 5.6
DS10: 10.1, 10.2,
10.3
DS12: 12.5

DS4: 4.2, 4.4, 4.8

DS4: 4.5, 4.9


DS11: 11.5, 11.6

DS5: 5.3, 5.4

DS5: 5.4, 5.7, 5.8


DS13: 13.4

DS5: 5.5, 5.6, 5.9


DS10: 10.1

DS5: 5.11
AC6

DS5: 5.9

DS5: 5.2, 5.10,


5.11
DS12: 12.3

96

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Audit des donnes et des


transactions

Cette consiste vrifier :


que les contrles mis en place pour assurer lintgrit des donnes
(exactitude, l'exhaustivit et la validit) lors des oprations de saisie,
de traitement, de sauvegarde ou de la distribution existent et sont
efficaces
que les contrles mis en place pour assurer lauthenticit et le non
rejet des transactions existent et sont efficaces
que les donnes sensibles ne sont pas communiques aux personnes
non autorises

DS5: 5.11
DS11: 11.6
AC1, AC2
AC3, AC4
AC5, AC6

DS11: 11.6
AC5
AC6

DS11: 11.2, 11.4

DS4: 4.9
DS11: 11.2

DS12: 12.1, 12.2,


12.3, 12.4, 12.5

DS12: 12.2,

SE1: 1.2, 1.4, 1.5,


1.6
SE2: 2.1, 2.4

SE2: 2.5
SE4: 4.7

PO3: 3.3
SE3: 3.1, 3.2, 3.3,
3.4

Audit de la scurit
physique

Audit de la gouvernance
des dispositifs de scurit

que les priodes de rtention, les mesures darchivage et les


conditions de stockage de la documentation, donnes et applications
se conforment aux exigences des utilisateurs et des rglementations
en vigueur
que l'intgrit, l'accessibilit et la lisibilit des donnes sont assures
lors de lopration de sauvegarde
Cette mission consiste vrifier :
que les installations et des biens informatiques (salles des serveurs
ou de stockage des donnes) exposs des risques levs sont bien
scuriss contres des dommages physiques
que les ordinateurs, quipements informatiques sont bien protgs
contre les dommages physiques et la perte des donnes
Cette mission consiste vrifier :
La performance des dispositifs de scurit mises en place c.--d. :
quel point les contrles de scurit rpondent aux exigences dfinis
et remdient aux vulnrabilits des SI en matire de scurit
que les mcanismes de scurit fonctionnent efficacement et que des
mesures de dtection des faiblesses de ces mcanismes sont prvues
et excutes (telles que la dtection d'intrusion, les tests de
pntration et le stress, et l'essai des plans d'urgence)
que toutes les violations et les exceptions sont documentes et suivies
conformment aux politiques de scurit de lentreprise
que contrles cls de scurit sont toujours surveills aux exigences
et politiques
Lexistence dune assurance indpendante c.--d. :
que des valuations indpendantes (de la part des experts en la
matire) sont prvues pour vrifier les mesures de scurit tablies et
le niveau de ladquation de ceux-ci avec les lois, rglementations et
les obligations contractuelles
La conformit rglementaire des politiques et dispositifs de scurit avec les
normes et lois en vigueur c.--d. :
que des tches et des activits sont tablies pour garantir la
conformit des dispositifs de scurit avec les rglementations en
vigueur
que le personnel adhre aux politiques de lentreprise en matire de
la scurit et est sensibles aux obligations scuritaires

97

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Annexe 3 : Tutoriel de lapplication Gnrateur des guides daudit

Prsentation :
Ce produit (le gnrateur de guide daudit) prsente une implmentation de lapproche Cobit4.1 en matire daudit des
SI. Cest un outil qui permet dautomatiser certains des travaux et tches des auditeurs des SI en leur proposant des
modles de cadrage des missions et la possibilit de gnrer des guides (questionnaires) daudit spcifiques bases sur les
conseils et les procdures dvaluation Cobit. Il offre aussi des tables de mappages permettant dlargir les champs des
investigations par rfrence un ensemble de standards informatiques et normes internationales.

Barre de navigation :

Cette barre permet de naviguer entre les diffrents composants de gnrateur de guides daudit :

La carte des correspondances Missions Objectifs de contrle (lment 1)


Le guide gnrique ou la plateforme des questionnaires daudit groups par domaine : PO, AI, DS, SE et CA
(lment 2)

Le questionnaire (guide) gnr (lment 3)


Les tables de mappage sous forme dannexes (lment 4)

98

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Mode d'emploi :
Le point dentre afin de gnr un guide daudit (un questionnaire) spcifique une mission bien dtermine cest la
cart cl ou la carte des correspondances Missions - Objectifs de contrle . Cette carte prsente lensemble des
objectifs de contrles Cobit groups par processus et domaine (en reproduction au modle processus de Cobit4.1).

Cette carte offre au moyen dune liste droulante un ensemble de missions organises hirarchiquement (des missions
traitant la scurit des SI, un thme choisi lors de ce stage titre dexemple afin dlaborer ce gnrateur de guides
daudit). Dans cette premire version, cette liste comporte cet ensemble rduit de missions, cependant elle peut tre
largie ultrieurement suite des travaux de cadrage portant sur dautres thmes ou lments des SI.

99

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Cette carte cl offre des modles de cadrage, comme pour le cas de lexemple choisi Sous-mission : Audit de la scurit
des applications et infrastructures . Le processus de cadrage selon lapproche daudit du cadre de rfrence Cobit4.1
consiste dterminer pour chaque mission les objectifs de contrles Cobit les plus critiques, dont les valuations vont
permettre de dcerner les faiblesses des dispositifs de contrle mis en place et associes au lment dtude ainsi que les
risques potentiels correspondant. Ces modles offrent aux auditeurs des SI des pistes suivre, nanmoins ceux-ci peuvent
les affiner en fonction de leurs besoins en audit et les ressources de lentreprise dployes.

Lavantage de cette application, ne sarrte pas au fait doffrir des modles de cadrage des missions daudit, mais aussi
de gnrer des guides daudit sous forme de questionnaires spcifiques selon la mission slectionne. Ces questionnaires
vont tre gnrer partir du guide gnrique (la plateforme dcrite auparavant).

100

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Les questionnaires ainsi gnrs vont prsenter aux auditeurs un ensemble des valuations sous forme de questions
inspirs des diffrents conseils et procdures dvaluation de guide daudit Cobit4.1 et qui ont t tablis par des experts
en matire des SI. Ces questionnaires vont assister les auditeurs lors de leurs activits dinvestigation tout en leur offrant
plusieurs indices et conseils issus des diffrents lments de cadre de rfrence Cobit4.1 et ses divers publications, tels
que : les descriptions des processus et des leurs objectifs de contrle correspondant, les responsables cls des processus
concerns par la mission en cours, des conseils et des mthodes daudit ( titre indicatif)

En plus des questionnaires gnrs sur la base des modles de cadrage prdfinis, un ensemble de tables de mappage
seront aussi prsents afin de donner aux auditeurs la possibilit dapprofondir leurs investigations en se rfrant des
standards et normes plus dtaills. En fait le cadre de rfrence Cobit est un cadre fdrateur qui harmonie et unie un
ensemble de bonnes pratiques dautres rfrentiels au moyen de ses objectifs de contrle.

101

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Table des matires

Remerciements

Sommaire

Table des figures

Liste des tableaux

Introduction

Partie 1 : Fondements thoriques

Chapitre 1 : Laudit des systmes dinformation au cur de la fonction daudit interne

I. Le systme dinformation
1) Notion de systme dinformation

9
9

2) Primtre du systme dinformation

10

3) La mutation de la fonction informatique

11

4) Systme dinformation et contrle interne

12

II. Le mtier daudit interne.

14

1) Notion de laudit interne

14

2) Conduite dune mission daudit : dmarche gnrale

16

3) La bote outils de lauditeur

20

a) Les outils dinvestigation

20

b) Les outils de description

22

III. Laudit des systmes dinformation.

24

1) Porte de laudit des systmes dinformation

24

2) Types de missions daudit des systmes dinformation

25

3) Rfrentiels daudit des systmes dinformation

26

Chapitre 2 : Cobit 4.1 un cadre fdrateur daudit des systmes dinformation .


I. LISACA et ses principales contributions en matire daudit des systmes dinformation

30
30

1) Prsentation de lISACA

30

2) Chronologie des variantes Cobit

30

II. Prsentation du cadre de rfrence Cobit 4.1

32

1) Description gnrale

32

2) Les principaux lments de Cobit 4.1

35

3) Documentation et publications de Cobit 4.1

37

III. Lapproche Cobit 4.1 en matire daudit des systmes dinformation

39

1) Les objectifs de contrle : un lment axial dans lapproche Cobit 4.1

39

2) La conduite dune mission daudit selon lapproche Cobit 4.1

42

a) La phase de planification

43

b) La phase de cadrage

44

c) La phase dexcution

47

102

Mmoire de stage pour lobtention du diplme de Mastre Professionnel


Audit Interne et Audit des Systmes dInformation

Partie 2 : Partie pratique

51

Chapitre 3 : Contexte du stage - Prsentation de la STEG et de sa direction daudit interne

52

I. Prsentation de la STEG

52

1) Historique et volution

52

2) Chiffres cls

53

3) Organigramme

55

II. La direction daudit interne de la STEG

55

1) Historique et volution de la fonction daudit interne de la STEG

55

2) Activits de la direction daudit interne

57

3) Problmatique et mission du stage

58

Chapitre4 : laboration dun gnrateur de guides daudit sur la base de lapproche Cobit 4.1

59

I. tats des lieux de la STEG en matire de management et daudit des systmes dinformation

59

1) Activits de la direction des systmes dinformation de la STEG

59

2) Lapproche de la direction daudit interne de la STEG en matire daudit des systmes dinformation

61

II. laboration du gnrateur des guides daudit : dmarche et rsultats

63

1) Prsentation gnrale

63

2) Le guide gnrique (la plateforme de questionnaires daudit)

64

3) La carte de correspondance Missions - Objectifs de contrle

68

a) Etude de cas : Audit de la scurit globale des SI

68

Approche Cobit4.1 en matire de la scurit des systmes dinformation

68

Cadrage de la mission Audit de la scurit globale des SI

70

Dcoupage de la mission Audit de la scurit globale des SI en sous-missions spcifiques 75


b) Implmentation de la carte de correspondance Missions - Objectifs de contrle
4) Les tables de mappage

78
82

Conclusion

85

Bibliographie

88

Annexes

89

Annexe 1 : Tables et illustrations de cadre de rfrence Cobit4.1

90

Annexe 2 : Tableau descriptif des sous-missions de la mission gnrale Audit de la scurit globale des SI

95

Annexe 3 : Tutoriel de lapplication Gnrateur des guides daudit

98

Table des matires.

102

103