Vous êtes sur la page 1sur 183
UNIVERSITE DE LA MANOUBA Institut Supérieur de Comptabilité et d’Administration des Entreprises Commission
UNIVERSITE DE LA MANOUBA
Institut Supérieur de Comptabilité et d’Administration des Entreprises
Commission d’Expertise Comptable
MEMOIRE EN VUE DE L’OBTENTION DU DIPLOME
D’EXPERTISE COMPTABLE
LLAA SSEECCUURRIITTEE DDUU SSYYSSTTEEMMEE DD’’IINNFFOORRMMAATTIIOONN ::
LLEESS EENNJJEEUUXX DDEE LL’’EEXXPPEERRTT CCOOMMPPTTAABBLLEE
PRESENTE PAR :
ENCADRE PAR :
M. Bilel Errahmouni
M. Chiheb Ghanmi
Janvier 2011

DEDICACES

A mes chers parents pour leur soutien;

A ma femme pour ses encouragements, pour son soutien

et son amour envers moi et envers ses enfants;

A mes chers enfants;

A ma belle famille pour son aide précieuse;

Remerciements

Je tiens à exprimer toute ma gratitude et mes sincères remerciements à Monsieur

CHIHEB GHANMI d’avoir aimablement accepté d’encadrer ce travail de recherche, ainsi que

pour les précieux conseils qu’il a bien voulu me prodiguer.

Mes remerciements s’adressent aussi à chacun des membres du jury pour la

confiance dont ils m’ont honorée.

Je remercie également tout le personnel de l’Agence Nationale de Sécurité

Informatique pour l’aide qui m’a été fournie et qui m’a permis de réaliser ce travail, qu’ils

trouvent ici, l’expression de ma reconnaissance.

La sécurité du système d’information : Les enjeux de l’expert comptable

Sommaire

Introduction Générale

11

PREMIERE PARTIE : SECURITE DU SYSTEME D’INFORMATION ; CONCEPTS ET ENJEUX

17

Introduction à la Première Partie

18

Chapitre 1: Les risques du système d’information

20

Introduction:

20

Section 1 : Définition, rôle, objectif, fonctions et organisation d’un système d’information :

20

Section 2: Les menaces et les vulnérabilités des systèmes d’information :

24

Section 3 : Les types des attaques et des agressions :

30

Section 4 : Les systèmes de détection des intrusions

33

Conclusion:

37

Chapitre 2 : Les méthodes d’évaluation du risque

38

Introduction:

38

Section

1: Le management du risque:

38

Section 2: Control Objectives for Information and Technology: COBIT

41

Section 3: La méthode d’analyse des risques informatiques orientée par niveau « MARION » :

43

Section 4: La Méthode Harmonisée d'Analyse de Risques : MEHARI

46

Section 5: Expression des Besoins et Identification des Objectifs de Sécurité : EBIOS

47

Section 6: Critères de choix entre les différentes méthodes

49

Conclusion:

49

Chapitre 3 : La sécurité du système d’information

50

Introduction:

50

Section 1: Définition, concepts et objectifs de la sécurité du système d’information :

50

Section 2 : Les caractéristiques de la sécurité : Confidentialité, Intégrité et

51

Section 3: Les besoins en sécurité :

53

Section 4: la normalisation internationale en matière de

54

Section 5: La sécurité de l’information : une responsabilité du management

59

La sécurité du système d’information : Les enjeux de l’expert comptable

Conclusion:

62

Chapitre 4 : Le management de la sécurité du système d’information (SMSI)

63

Introduction:

63

Section 1 : Définition d’un SMSI :

63

Section 2 : La mise en place d’un SMSI :

64

Section 3 : Le SMSI et Le PDCA d’Edward Deming:

65

Section 4 : La norme ISO 27001 et le SMSI :

67

Conclusion:

68

Conclusion de la Première Partie

69

DEUXIEME PARTIE : AUDIT DE LA SECURITE DU SYSTEME D’INFORMATION

71

Introduction à la Deuxième Partie

72

Chapitre 1 : L’expert comptable et les missions d’audit de la sécurité du système d’information

74

Introduction :

74

Section 1 : La sécurité du système d’information dans le cadre d’une mission d’audit légal:

74

Section 2 : La sécurité du système d’information dans le cadre des autres missions de l’expert comptable :

77

Section 3 : Cadre comptable, fiscal, juridique et règlementaire :

78

Section 4 : Les compétences requises par l’expert comptable:

91

Conclusion:

99

Chapitre 2 : Les étapes d’audit de la sécurité du système d’information

100

Introduction:

100

Section 1: Définitions et objectifs de l’audit de la sécurité du système d’information:

100

Section 2 : Prise de connaissance générale :

102

Section 3: Planification de la mission:

109

Section 4 : Mise en plan du plan de mission :

112

Section 5 : Elaboration du rapport et des recommandations :

117

Conclusion:

120

Chapitre 3 : Démarche d’audit de la sécurité du système d’information basée sur ISO 27002

121

Introduction:

121

La sécurité du système d’information : Les enjeux de l’expert comptable

Section 1: Présentation de la norme «les bonnes pratiques de sécurité» ISO 27002 :

121

Section 2: Audit organisationnel et physique:

123

Section

3 : Audit technique

130

Conclusion :

132

Chapitre 4 : L’audit de la sécurité du système d’information et les normes d’audit financier

133

Introduction :

133

Section 1 : La relation entre les risques de la sécurité de l’information et le risque d’audit:

133

Section 2: La sécurité du système d’information et l’évaluation du système de contrôle interne :

137

Section 3 : La sécurité de l’information et l’hypothèse sous jacente de la continuité d’exploitation :

 

142

Section 4: L’audit externe et le respect de la réglementation en matière de sécurité:

143

Conclusion:

146

Conclusion de la deuxième partie

147

Conclusion Générale

148

ANNEXES

149

BIBLIOGRAPHIE

149

La sécurité du système d’information : Les enjeux de l’expert comptable

LISTE DES ABREVIATIONS

AFAI

ANSI

ANSSI

BS

BSI

Cert-TCC

CISA Certified Information System Auditor CLUSIF Club de la Sécurité des Systèmes d’Information CNCC Compagnie Nationale des Commissaires aux Comptes COBIT Control Objectives for Information and Technology COSO Committee of Sponsoring Organizations CPU Central Processing Unit DCSSI Direction Centrale de la Sécurité des Systèmes d'Information

DDOS Distributed Denial of Service DESS Diplôme d’Etudes Supérieures Spécialisées DNS Domain Name System EBIOS Expression des Besoins et Identification des Objectifs de Sécurité ECR Efficiency Consumer Response EDI Echange de Données Informatisées GED Gestion Electronique de Documents

GMITS

HIDS Host Based Instruction Detection System HTTP HyperText Transfer Protocol

HTTPS

IAA Institut of Internal Auditors

Association Française d’Audit et de Conseil Informatique Agence Nationale de la Sécurité Informatique Agence nationale de la sécurité du système d’information British Standard «Code of practice for information security management » British Standards Institution Computer Emergency Response Team-Tunisian Coordination Center

Guidelines for the management of IT Security

Hypertext Transfer Protocol Secured

IAASB

International auditing and assurance standards board

IAPC

International Auditing Practices Committee

IDS Intrusion Detection Systems (Systèmes de Détection d’Intrusions)

IDSH

Systèmes de Détection d’Intrusions Hybrides

IFAC

International Federation of Automatic Control

IFACI Institut Français de l’Audit et de Contrôle Internes IP Internet Protocol IPS Intrusion Prevention System (Systèmes de Prévention d’Intrusions) IPsec Internet Protocol Security ISA International Standards on Auditing

ISACA

ISO International Standard Organisation ITSEC Information Technology Security Evaluation Criteria

MARION

MEHARI Méthode Harmonisée d'Analyse de Risques NIDS Network Base Instruction Detection System

Information Systems Audit and Control Association

Méthode d’Analyse des Risques Informatiques Orientée par Niveau

La sécurité du système d’information : Les enjeux de l’expert comptable

NIS

OSI

PDCA

PME

POE

POS

PSS

QSSI

RSSI

SAC Report

SAO

SGDT

SI

SIG

SIM

SIS

SMSI

SNMP

SOX

SSI

TEMPEST

TIC

TPE

Network Information Service Interconnexion de Systèmes Ouverts (Open Systems Interconnection) Plan-Do-Check-Act Petites et Moyennes Entreprises Plan Opérationnel d'Entreprise Plans Opérationnels de Sécurité Plan Stratégique de Sécurité Questionnaire Sécurité Système d’Information Responsable Sécurité Système d'Information Systems Auditability and Control Report Statement of applicability Système de Gestion des Données Techniques Système d'Information Système Information de Gestion Système d’Information Mercatique Système d’Information Stratégique

Management de la Sécurité du Système d’Information

Simple Network Management Protocol Sarbanes-Oxley Sécurité du Système d’Information Telecommunications Electronic Material Protected from Emanating Spurious Transmissions Technologies de l’Information et de la Communication Très Petite Entreprise

La sécurité du système d’information : Les enjeux de l’expert comptable

LISTE DES FIGURES

FIGURE 1:

Système d'information

FIGURE 2:

Organisation du référentiel Cobit

FIGURE

3:

Exemple de rosace Marion

FIGURE 4:

Exemple d'histogramme différentiel Marion

FIGURE 5:

Schéma général de la méthode Mehari

FIGURE

6:

Démarche EBIOS globale

FIGURE 7:

Cartographie des principales méthodes SSI dans le monde

FIGURE 8:

Evolution de la norme BS 7799

FIGURE 9:

Relation ISO 27001 et ISO 27002

FIGURE 10:

Système de management de la sécurité de l’information

FIGURE 11:

Les phases où l’expert comptable aborde la SSI

FIGURE 12:

Objectifs de la sécurité du système d’information

FIGURE 13:

Appréciation de la complexité du système d’information

FIGURE 14:

Planification et mise de place du plan de mission

FIGURE 15:

Calendrier de la mission d’audit de sécurité informatique

FIGURE 16:

Structure de la norme ISO 27002

FIGURE 17:

Les composants du risque d’audit

FIGURE 18:

Les risques d’anomalies significatives

FIGURE 19:

Les composantes du contrôle interne

FIGURE 20:

La sécurité du système d’information et l’évaluation du système de contrôle interne

La sécurité du système d’information : Les enjeux de l’expert comptable

Introduction Générale

Le monde des affaires est caractérisé, de nos jours, par l’ouverture des marchés, l’émergence de nouvelles technologies et le développement des moyens de communication ayant conduit à la définition de nouveaux contextes pour l’organisation des entreprises. Dans ce cadre, le système d’information des entreprises, parallèlement à son rôle déterminant dans la conduite des affaires, est considéré désormais, comme un élément stratégique pour les entités soucieuses de se doter d’avantages concurrentiels durables. Il est de plus en plus indispensable pour les entreprises de mesurer la performance de leur système d’information, de veiller à sa cohérence d’ensemble, à sa conformité aux normes et aux critères de qualité et de sécurité qui doivent le caractériser.

L’environnement actuel de l’entreprise est caractérisé par une globalisation des économies qui s’est rapidement concrétisée grâce au développement accéléré des systèmes d’information. En effet, durant les vingt dernières années, ces systèmes ont connu des évolutions exponentielles grâce au développement technologique. Ainsi, nous avons pu observer, notamment, l’explosion des micro-processeurs, le développement des réseaux, l’intégration des systèmes et l’ouverture des systèmes sur les partenaires de l’entreprise.

L’utilisation accrue de l’Internet a accéléré considérablement l’évolution des systèmes d’information, puisque son coût réduit et son utilisation relativement simple ont favorisé sa pénétration, notamment dans les petites et moyennes entreprises. L’économie moderne devient de plus en plus immatérielle. Cette évolution vers la Société de l’Information ne saurait être facilitée que par le développement spectaculaire des technologies de l’information.

Devant le développement des technologies de l’information et l’utilisation sans cesse croissante de l’outil informatique dans le traitement et la production de l’information financière et comptable, la dématérialisation des pièces comptables et la perte des contrôles manuels, le besoin des utilisateurs est devenu de plus en plus croissant pour obtenir une information fiable.

Corrélativement aux améliorations apportées aux entreprises en termes de rapidité de traitement de l’information et d’allègement des charges de travail, le développement intensif du système d’information a généré lieu à une nouvelle catégorie de risques, à savoir la perte de contrôle de la cohérence et de la fiabilité de ce système.

Toutefois, cette évolution a augmenté considérablement la dépendance des entreprises envers leurs systèmes d’information et a affecté leurs procédures de contrôle interne. Nous citons, essentiellement, la dématérialisation tendant à devenir totale « zéro papier » de la transaction

La sécurité du système d’information : Les enjeux de l’expert comptable

et par la suite, de la preuve; absence de documents d’entrée, absence de systèmes de références visibles, absence de documents de sortie visibles.

Parallèlement, à cette évolution, la vulnérabilité du système d'information s’est accrue, ce qui a engendré pour l'entreprise de nouveaux risques inhérents à la sécurité du système d’information qu'elle est appelée à maîtriser.

Aujourd’hui, les systèmes d’information revêtent un caractère stratégique dans le monde des entreprises. En effet, les exigences de l’environnement (marchés financiers, clients,

etc.) imposent à celles-ci la performance et la réactivité. Ceci implique que le traitement de l’information doit être rapide et pertinent.

concurrence

Ainsi, il est primordial que les systèmes d’information permettent à l’entreprise d’une part, d’adapter en permanence sa structure aux exigences de son marché et, d’autre part, d’être en mesure d’augmenter continuellement sa productivité. C’est ainsi que les dirigeants des entreprises s’orientent de plus en plus vers des systèmes ouverts, modulaires, axés sur les besoins des clients et à même de couvrir l’ensemble des préoccupations de leurs entités.

Les évolutions significatives de la réglementation, des référentiels comptables et des modes de fonctionnement des entreprises auxquelles nous avons assistées au cours de ces dernières années, ont fortement influencé la démarche de l’audit comptable et financier.

En effet, l’ouverture des systèmes et leur complexité ont engendré des risques ayant eu des conséquences graves sur le fonctionnement adéquat de l’entreprise.

Afin de répondre aux nouvelles exigences imposées par cet environnement, l’auditeur devra revoir sa méthodologie d’audit et compléter sa formation dans le domaine de l’audit de la sécurité du système d’information de façon à prendre en considération les risques induits par ces systèmes et leur impact sur le dispositif du contrôle interne.

Pour faire face à ce nouveau contexte, les grands cabinets d’audit et de conseil ont adopté de nouvelles démarches d’audit qui reposent largement sur l’évaluation des risques et des contrôles de la sécurité du système d’information. Ces nouvelles approches imposent aux auditeurs de comprendre, évaluer et tester le contrôle interne relatif à l’environnement de la fonction informatique et aux applications traitant des principaux processus des activités de l’entreprise.

Dans ce cadre, les auditeurs financiers ne peuvent plus négliger l’aspect de la sécurité du système d’information des entreprises dont l’examen est devenu de plus en plus complexe. S’ils ont estimé, au départ, qu'il fallait traiter la sécurité du système d’information dans le cadre d’une mission particulière, ils sont convaincus, aujourd'hui, que l’étude de cette sécurité

La sécurité du système d’information : Les enjeux de l’expert comptable

devrait être intégrée dans leur démarche professionnelle et doit faire partie, désormais, de

leurs préoccupations majeures.

Ainsi, l’approche d’audit, que nous avions l’habitude d’adopter dans nos entreprises

tunisiennes, devrait s’adapter à ce nouveau contexte et aux risques liés.

Cette mise à niveau de l’approche d’audit est devenue une préoccupation majeure et

d’actualité des organismes professionnels et des cabinets d’expertise internationaux. C’est

ainsi que les organismes professionnels n'ont pas tardé de concevoir et de mettre à jour les

lignes directrices et les diligences adéquates dans le cadre d’un audit de la sécurité du système

d’information. Il en est de même des cabinets internationaux qui ont vite développé des

méthodologies appropriées et ont réalisé des investissements importants pour adapter les

approches d’audit à un environnement devenu de plus en plus complexe.

Parallèlement à ces nouveaux mécanismes mis en place, la législation, la jurisprudence et la

doctrine à l’échelle internationale se sont enrichies de règles nouvelles destinées à

réglementer et à contrôler certains aspects des systèmes d’information.

Egalement, l’expert comptable, dans le cadre de ses missions de consulting, apporte une aide

principalement en termes de sensibilisation aux risques et menaces qui pèsent sur le système

d’information, des règles d’organisation à respecter et des dispositifs de sécurité qui

permettent de remédier à ces risques.

Face aux multiples risques qui peuvent engendrer des pertes financières considérables et qui menacent la pérennité de l’exploitation suite à l’atteinte à la confidentialité, à l’intégrité et à la disponibilité de l’information, les réglementations nationales et internationales ont pris conscience de ce souci majeur de préserver la sécurité de l’information et de ce fait, nous assistons à l’émergence de lois et de normes ayant pour principal objectif la protection de l’information.

L’expert comptable, à travers sa mission de commissariat aux comptes ou de consulting, et disposant de certains atouts, peut contribuer, dans le cadre de l’audit de la sécurité du système d’information, à l’amélioration de la visibilité des entreprises.

Dans ce contexte, il s’agit de savoir: quels sont les enjeux auxquels est confronté l’expert comptable dans le cadre de l’audit de la sécurité du système d’information?

La problématique, ainsi présentée, nous incite à apporter des éléments de réponse aux

questions suivantes :

Quels sont les menaces et les risques du système d’information ?

Qu’en est-il du développement d’une politique de sécurité du système d’information ?

La sécurité du système d’information : Les enjeux de l’expert comptable

Quel est l’intérêt de l’audit de la sécurité du système d’information pour l’expert comptable? Quelles seront les contributions de l’expert comptable pour l’amélioration de la sécurité du système d’information ? Enfin, quelle est la méthodologie à développer par l’expert comptable pour l’audit de la sécurité du système d’information?

La problématique réside dans le fait que :

L’information comptable et financière est souvent issue des processus hautement informatisés et qu’il est, par conséquent, inconcevable de certifier les comptes sans auditer la sécurité du système d’information. Les nouvelles réglementations exigent des auditeurs d’évaluer et de tester les procédures de contrôle interne y compris celles liées aux systèmes information. 1 Les systèmes d’information induisent des risques spécifiques que l’auditeur doit prendre en considération dans sa démarche d’audit.

En effet, le recours aux technologies de l’information s’accompagne inéluctablement de nouveaux risques, parmi lesquels nous pouvons citer :

L’ouverture des systèmes d’information aussi bien en interne, à travers les outils d’Intranet, qu’en externe, à travers l’Internet ; L’absence de procédures de gestion et de maîtrise des risques liés à l’introduction des nouvelles technologies de l’information peut avoir des conséquences financières préjudiciables pour l’entreprise; L’absence de politiques et de procédures relatives à la sécurité du système d’information ; La dépendance vis-à-vis des fournisseurs de technologie ; La refonte des processus, suite à la mise en place de nouveaux systèmes d’information, peut affecter l’architecture des contrôles et réduire la capacité de l’entreprise à couvrir ses risques.

L’expert comptable sera confronté à la complexité des systèmes d’information et aux risques qui leur sont liés. Il n’est donc plus appelé, seulement, à adapter sa démarche d’audit comptable et financier en fonction du degré d’efficacité du contrôle interne de l’entreprise, mais aussi à conseiller les clients en matière de gestion des risques pouvant affecter l’ensemble de leurs procédures.

1 ISA 315 : « Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives »

La sécurité du système d’information : Les enjeux de l’expert comptable

Les objectifs escomptés par ce mémoire sont les suivants :

Présenter une méthodologie claire permettant d’aider les professionnels à effectuer des missions d’audit de la sécurité du système d’information en se basant sur les bonnes pratiques issues de la norme ISO 27002 ; Présenter les bonnes pratiques en matière d’organisation et de management du système d’information, qui peuvent être utilisées comme un guide par les professionnels dans leurs missions de conseils en gestion des risques ou de mise en place des procédures de contrôle interne ; Elargir davantage les missions de l’expert comptable.

Sur le plan personnel, ce travail nous a permis d’approfondir nos connaissances dans un domaine stratégique qui implique nécessairement une mise à niveau du métier de l’expert comptable. En effet, celui-ci est amené, de nos jours, à développer une expertise dans ce domaine afin d’élargir le champ d’intervention de ses missions à l’audit et au conseil en système d’information et d’être en mesure de certifier les états de synthèse de manière à atteindre les objectifs énoncés ci-dessus avec le maximum d’efficacité et une valeur ajoutée plus importante.

La méthodologie adoptée s’articule sur :

Une démarche pragmatique, qui consiste à présenter une méthodologie pour la conduite des missions d’audit de la sécurité du système d’information, en mettant en évidence les bonnes pratiques en matière de contrôle de ces systèmes issues de la norme ISO 27002. Cette démarche est développée dans le présent mémoire suivant un plan arrêté comme suit:

1 ère Partie: Sécurité du système d’information; Concepts et enjeux:

Dans cette partie, l’attention sera portée sur :

Les risques inhérents au système d’information, en présentant la définition du système, les menaces et vulnérabilités qui peuvent l’affecter, les types des attaques et agressions auxquelles il est exposé et un aperçu sur les systèmes de détection des intrusions ;

La présentation du management du risque du système d’information et des différentes méthodes de son évaluation: COBIT, MARION, MEHARI, EBIOS…

La sécurité du système d’information: définition, caractéristiques et présentation de la normalisation internationale de la sécurité du système d’information et présentation de la sécurité en tant que responsabilité relevant du management.

La présentation du management de la sécurité du système d’information (SMSI)

La sécurité du système d’information : Les enjeux de l’expert comptable

L’objectif de cette partie est de mettre en exergue les menaces et vulnérabilités du système d’information et de montrer l’importance que revêt, désormais, la sécurité de ce système.

2 ème Partie: Audit de la sécurité des systèmes d’information :

Dans cette partie, l’accent sera mis sur :

Le rôle de l’expert comptable dans le cadre des missions d’audit de la sécurité du système d’information ;

Les étapes d’audit de la sécurité du système d’information ;

La démarche d’audit de la sécurité du système d’information basée sur les bonnes pratiques issues de la norme ISO 27002 ;

Présentation de la relation entre l’audit de la sécurité du système d’information et les normes d’audit financier.

L’objectif de cette partie est d’exposer la manière selon laquelle l’audit de la sécurité du système d’information s’intègre dans les différentes étapes de l’audit financier et de développer un guide de méthodologie d’audit en la matière.

PREMIERE PARTIE : SECURITE DU SYSTEME D’INFORMATION ; CONCEPTS ET ENJEUX

PREMIERE PARTIE : SECURITE DU SYSTEME D’INFORMATION ; CONCEPTS ET ENJEUX

La sécurité du système d’information : Les enjeux de l’expert comptable

Introduction à la Première Partie

Le processus de libéralisation et de mondialisation des marchés entraîne une concurrence féroce sur les marchés. Ceci, amène les entreprises à maîtriser, notamment leur système d’information afin d’être réactives et à même de jouer un rôle prédominant dans leurs marchés.

L’évolution des systèmes et leur ouverture sur les partenaires de l’entreprise conduisent à de nouveaux enjeux et entrainent des risques multiples, ce qui augmente la vulnérabilité des systèmes d’information. Par ailleurs, la mise en place des nouveaux systèmes informatiques intégrés et complexes s’accompagne par une refonte des processus de gestion des activités et des procédures de contrôle interne des entreprises.

Les ordinateurs et les réseaux font désormais partie de la vie quotidienne; ces investissements envahissent aussi bien notre vie professionnelle que privée. Cependant, la multiplication des moyens d’accès et l’ouverture des réseaux vers l’extérieur de l’entreprise fragilisent le système d’information de cette dernière. Cette ouverture croissante du système n’est pas sans risques pour l’entreprise qui devient, alors, la cible d’attaques visant non seulement à prendre connaissance ou à modifier l’information mais aussi à paralyser ce système.

Le degré de sophistication de telles attaques est très variable, se manifestant particulièrement par la permanence des violations et des agressions virales qui font de gros dégâts et affectent lourdement le fonctionnement des systèmes. Des faits d’actualité démontrent chaque jour la vulnérabilité des systèmes en l’absence de protections efficaces. De ce fait, il est impératif que le fonctionnement de ces systèmes soit sécurisé.

D’autre part, et en plus des dégâts causés par les intrusions externes, c’est bien de l’intérieur même de l’entreprise que peuvent surgir les attaques les plus dangereuses et les plus répandues. Il est ainsi admis que la cause principale de ces multiples atteintes au système d’information est fermement liée au facteur humain qui constitue souvent le maillon vulnérable du système de sécurité mis en place. Cela tient particulièrement à la sensibilisation, aux modes d’organisation, à l’intégration dans les objectifs et modes de management, et bien sur, au choix de l’investissement.

Pour l’essentiel, la sécurité n’est plus aujourd’hui réservée à la technologie et au domaine informatique, mais elle concerne aussi le système d’information dans sa globalité.

Il est évident que la compréhension de l’organisation et de l’environnement légal de la fonction informatique, des cycles de vie des systèmes et des principaux risques qui y sont liés

La sécurité du système d’information : Les enjeux de l’expert comptable

constituent un préalable nécessaire à l’accomplissement des missions d’audit informatique aussi bien dans le cadre des missions d’audit financier que des missions d’audit spécifique.

Comme indiqué au niveau de l’introduction générale, cette première partie présente les multiples menaces et vulnérabilités du système d’information, les différentes méthodes de leur évaluation et de leur analyse des risques, ainsi que les concepts fondamentaux relatifs à la sécurité du système d’information et le management de cette sécurité.

La sécurité du système d’information : Les enjeux de l’expert comptable

Chapitre 1: Les risques du système d’information

Introduction:

L’étude de la sécurité du système d’information, passe inévitablement par l’examen du système informatique et l’évaluation de sa sécurité. En effet, le système informatique est défini comme étant l’un des principaux moyens techniques pour faire fonctionner un système d’information. 2

Le risque informatique est défini comme étant « la situation constituée d’un ensemble d’évènements simultanés ou consécutifs dont l’occurrence est incertaine et dont la réalisation affecte les objectifs de l’entreprise qui la subit » 3 .

En utilisant l’outil informatique, l’entreprise s’expose à une multitude de risques qui peuvent se traduire par des pannes, vols de matériels, pertes de données, et de productivité, voir même l’atteinte à la continuité de son exploitation. Ces risques varient en fonction de la structure de l’entreprise et de son environnement informatique, d’où la nécessité d’identifier pour chaque entreprise les risques propres auxquels elle s’expose pour pouvoir mettre en place les mesures de sécurité appropriées.

Pour étudier les différents types de risques du système d’information, nous allons commencer par une identification des menaces, et des vulnérabilités des systèmes, pour aborder, ensuite, les types des attaques et des agressions et enfin les systèmes de détection des intrusions.

Section 1 : Définition, rôle, objectif, fonctions et organisation d’un système d’information :

Sous section 1: Définition:

Un système d’information peut être défini comme étant l’ensemble des moyens matériels, logiciels, organisationnels et humains visant à acquérir, stocker, traiter, diffuser de l’information. Cette information est nécessaire pour décider, agir, prévoir, contrôler et effectuer les activités d’une organisation. 4

2 Panorama général des normes et outils d’audit, François VERGEZ – AFAI ESIL année 2010, p 4 www.afai.fr

3 Mickael PLANTEC - « les risques informatiques » - www.XiTi.com 4 www.clusir-est.org/resources/afai.pd

La sécurité du système d’information : Les enjeux de l’expert comptable

d’information : Les enjeux de l’expert comptable Figure 1: Système d’information 5 L'amélioration de

Figure 1: Système d’information 5

L'amélioration de l'efficacité et de l'efficience des organisations est la préoccupation permanente des dirigeants des entreprises. Dans une économie qui se mondialise, où la concurrence devient de plus en plus vive, les organisations cherchent à offrir davantage de services aux clients; l'information est devenue ainsi de plus en plus une variable stratégique, essentielle et primordiale au processus de prise de décision. Le système d'information est aujourd'hui au cœur de la création de valeurs au sein des entreprises et peut constituer un avantage comparatif par rapport à la concurrence.

Sous section 2: Rôle stratégique des systèmes d’information: 6

Aujourd’hui, les systèmes d’information revêtent un caractère stratégique dans le monde des entreprises. En effet, les exigences de l’environnement (marchés financiers, clients,

etc.) imposent à celles-ci d’être performantes et réactivités. Ceci implique que

le traitement de l’information soit rapide et pertinent. Ainsi, il est primordial que les systèmes d’information permettent à l’entreprise d’une part, d’adapter en permanence sa structure aux exigences de son marché et, d’autre part, d’être en mesure, d’augmenter continuellement sa productivité.

concurrence

5 Panorama général des normes et outils d’audit, François VERGEZ – AFAI ESIL année 2010, p 4 www.afai.fr

6 Mr Diemer Arnaud, Partie I : Définition et analyse des entreprises: Approche systémique de l’entreprise, 2009, p 20

La sécurité du système d’information : Les enjeux de l’expert comptable

Sous section 3: Objectif du système d’information: 7

Le système d’information a pour objectif de fournir en permanence à chacun des membres de l’entreprise, les renseignements dont il a besoin pour la prise de décisions, le suivi des actions mises en place et le contrôle de l’organisation. Les finalités essentielles d’un système s’articulent autour du contrôle, la coordination et la décision.

Sous section 4: Les fonctions du système d’information: 8

Pour remplir ces trois objectifs (coordination, contrôle et décision), le système d’information devra assurer différentes fonctions :

La collecte de l’information : l’entreprise doit recueillir de nombreuses données en vue d’une utilisation ultérieure. Celles-ci doivent être classées, codifiées et condensées afin d’en faciliter le stockage et l’utilisation. Le traitement de l’information : la donnée étant un élément brut (on parle d’information de base), il est nécessaire qu’elle soit transformée en donnes utilisables par le décideur. Le traitement se fera par tri, classement, calcul… afin de fournir une base de données synthétique. La mémorisation de l’information : le système d’information est une mémoire collective que forgent les différents acteurs de l’entreprise. Il doit donc stocker en sécurité et durablement les données. Deux procédures principales permettent d’assurer la mémorisation des données : les fichiers et les bases de données. La gestion électronique de documents (GED) permet une informatisation de l’ensemble de la documentation de l’entreprise. La diffusion de l’information : le système d’information doit faire circuler l’information tout en préservant la qualité et la sécurité. La diffusion informatique par les réseaux internes et externes à l’entreprise est de plus en plus développée (réseau internet et intranet). Internet permet d’effectuer des recherches documentaires, de rechercher des partenaires, même à l’étranger, sans se déplacer, de communiquer sans souci de prix d’heure ou de distance, de créer une vitrine commerciale pour diffuser ses produits… Intranet utilise des outils d’internet pour des applications d’entreprises (annuaire interne, courrier interne, saisie des feuilles de temps, documents de travail,…) afin de faciliter le partage d’informations et le travail de groupe. L’échange de données informatisées (EDI) permet un transfert de données commerciales entre clients et fournisseurs se développe, de même que l’ECR (Efficiency Consumer Response).

7 Mr Diemer Arnaud, Partie I : Définition et analyse des entreprises: Approche systémique de l’entreprise, 2009, p16 8 Mr Diemer Arnaud, Partie I : Définition et analyse des entreprises: Approche systémique de l’entreprise, 2009, p 17

La sécurité du système d’information : Les enjeux de l’expert comptable

Sous section 5: L’organisation du système d’information: 9

Le domaine d’un système d’information peut être opérationnel ou stratégique. L’entreprise doit disposer d’un système qui lui fournisse des informations à la fois sur son fonctionnement et son environnement. On distingue ainsi deux sous-systèmes 10 :

Le système d’information de gestion (SIG): Il permet de renseigner sur le fonctionnement de l’entreprise et sur ses résultats. Il est opérationnel en permettant la gestion courante de l’entreprise (Soldes Intermédiaires de Gestion). L’élaboration d’un SIG comporte plusieurs étapes : collecte des informations de base provenant du système opérationnel (état des stocks, factures…), traitement des informations collectées afin d’établir des synthèses destinées aux dirigeants (tableaux de bord), prise de décisions à partir des synthèses. Les informations qu’il traite, concernent l’intérieur de l’entreprise, portent sur son passé. Le système d’information de gestion (SIG) n’est cependant pas suffisant. L’entreprise étant un système ouvert, il est également important pour elle, de déceler les changements et de les anticiper. Le système d’information stratégique (SIS): Il permet à l’entreprise d’être à l’écoute des changements de surveiller les menaces (arrivée de concurrents, nouveaux besoins des clients, …) et de détecter les opportunités tout en favorisant une approche prospective (élaboration de scénarii). Les informations contenues dans le SIS sont nombreuses, diverses, complexes, quantitatives et qualitatives. Le SIS pourra prendre la forme d’un système d’information technique (SGDT: système de gestion des données techniques) ou d’un système d’information mercatique (SIM). Le SGDT aide à fournir à tous les services concernés des données fiables et pertinentes sur les produits. Le SIM traite des informations de type commercial (études de marché, panels,…) en vue de faciliter la prise de décision commerciale.

Ce système d’information est devenu la cible des agresseurs et des attaquants, ainsi les menaces et les vulnérabilités sont diversifiées et la sécurité du système d’information est devenue primordiale afin de sauvegarder et préserver la pérennité et la continuité de la société.

9 Mr Diemer Arnaud, Partie I : Définition et analyse des entreprises: Approche systémique de l’entreprise, 2009 p 19 10 Camille Rosenthal-Sabroux, Americo Carvalho, et Collectif _ Management et gouvernance des SI _ Edition Lavoisier _ 2009 p 40

La sécurité du système d’information : Les enjeux de l’expert comptable

Section 2: Les menaces et les vulnérabilités des systèmes d’information :

Sous section 1: Les menaces:

1-

Origine:

Du temps où l’informatique était centralisée, les menaces « physiques » (pénétration dans les

locaux informatiques sans autorisation, vol, vandalisme,

En ces temps bénis, la protection pouvait se résumer en quelques mesures de contrôle d’accès : grosses serrures, sas et gardiens étaient la panoplie usuelle. La situation est aujourd’hui bien différente. Certes, il y a toujours les vols de matériel, l’utilisation de console maîtresse pour pénétrer un système ou le piégeage d’un réseau pour le mettre « sur écoute ». Mais globalement, le danger de ce type de menaces, dont les remèdes sont connus et éprouvés, est sans commune mesure avec les agressions sur le réseau, qui se réalisent sans la présence physique de l’agresseur. Ces agressions via le réseau ont maintenant atteint un seuil critique et on ne sait pas toujours quelle parade leur opposer. 11

)

représentaient des dangers majeurs.

Les menaces qui pèsent sur les systèmes d’information sont de deux natures: interne et externe. Au-delà de cette évidence, force est de constater que la menace interne représente plus de 70 à 80% 12 des cas connus. Lorsque ce type de menace se concrétise par des attaques ou des fraudes, l’utilisateur, qui possède un accès légitime au système d’information et des services qu’il offre, tente d’obtenir ou de falsifier des informations, de perturber le fonctionnement du système d’information, en abusant de ses privilèges ou en les accroissant. Réciproquement, la menace externe est le fait d’individus qui n’ont pas un accès légitime au système d’information et qui essayent de briser les barrières de sécurité lorsqu’elles existent.

Que la menace soit interne ou externe, l’information et les services fournis par le système d’information peuvent subir des préjudices qui se traduiront par une perte de confidentialité, d’intégrité ou de disponibilité. Il en résulte une divulgation, une modification ou une destruction des données ou encore une impossibilité d’obtenir une information ou un service. Par ailleurs, les effets induits et non directement mesurables peuvent s’avérer catastrophiques pour l’entreprise ou l’organisme victime : atteinte à l’image de marque ou suppression d’emplois si le sinistre touche l’outil de production ou le produit vendu dans le cas d’un service par exemple.

2-

Catégories:

Dans le palmarès de cette « nouvelle délinquance », nous pouvons citer :

11 FILIOL Eric, RICHARD Phillipe _ Cybercriminalité _ Edition DUNOD _ 2007 p 35

12 CLUSIF _ Menaces informatiques et pratiques de sécurité en France _ Edition CLUSIF _ 2010 p 41

La sécurité du système d’information : Les enjeux de l’expert comptable

Tout ce qui porte atteinte à l’intégrité du système :

Le piégeage des systèmes (bombes logiques, cheval de troie, ver, …) afin de nuire à la structure ou de se donner les moyens de revenir plus tard, La modification des informations afin de porter atteinte à l’image de la société (exemple : modification de page Web), Une intrusion en vue « d’attaque par rebond » c'est-à-dire qu’une autre cible est visée, le système servant de « point de passage ». Ce point est alors complice involontaire du piratage. Tout ce qui porte atteinte à la confidentialité des informations :

La récupération d’informations sensibles (mot de passe, données financières avant publications, données personnelles,…), La fouille de messages, des données, des répertoires, des ressources réseaux, L’usurpation d’identité. Tout ce qui porte atteinte à la disponibilité des services La paralysie du système (considéré ensuite comme un exploit par les pirates qui l’ont réalisé), La saturation d’une ressource (serveur, imprimante, …) Les virus et vers informatiques

3-Attaquants: 13

Les motifs de l’agresseur sont nombreux et variés ; ils évoluent dans le temps. Il n’est pas possible de dresser une liste exhaustive des motivations des criminels en col blanc mais quelques exemples permettront de saisir la personnalité de quelques uns d’entre eux. Les actes intentionnels, qui nous intéressent ici, comprennent : l’espionnage, l’appât du gain, la fraude, le vol, le piratage, le défi intellectuel, la vengeance, le chantage, l’extorsion de fonds. Cette liste peut être complétée par celles inhérentes aux actes non intentionnels mais qui constituent une menace pour le système d’information à savoir la curiosité, l’ennui, la paresse, l’ignorance, l’incompétence, l’intention,

Bien qu’il n’y ait pas de portrait robot de l’attaquant, quelques enquêtes ont montré que les criminels en informatique étaient majoritairement des hommes ayant un travail peu gratifiant mais avec d’importantes responsabilités et un accès à des informations sensibles. L’avidité et l’appât du gain sont les motifs principaux de leurs actes, mais il apparaît que les problèmes personnels ainsi que l’ego jouent un rôle primordial en influant sur le comportement social.

13 CLUSIF _ Menaces informatiques et pratiques de sécurité en France _ Edition CLUSIF _ 2010 p 45

La sécurité du système d’information : Les enjeux de l’expert comptable

4-Technique d’attaques:

Tout logiciel comporte des bogues dont certains sont des trous de sécurité, des anomalies qui permettent de violer le système sur lequel tourne le programme. Si c’est un programme d’application réseau, ces trous peuvent être exploités à distance via Internet. Les pirates recherchent systématiquement les sites mal administrés en procédant à un balayage de l’internet avec des programmes appelés « scan ». Ces programmes découvrent à distance toutes les stations du réseau local et testent la présence de « vielles versions » des logiciels réseau sur ces stations avec des trous de sécurité connus. Les vielles versions de « sendmail », le serveur de courriers électroniques sont les plus testés. Une fois le site mal administré est repéré, l’exploitation des vulnérabilités est à la portée de n’importe quel malfrat : on trouve sur internet des sites proposant des programmes tout prêts accompagnés de toutes les explications détaillées pour pénétrer les systèmes utilisant les trous de sécurité connus. 14

Des méthodes essentiellement des programmes sont très connues pour perturber fortement les systèmes et les réseaux pour:

Bloquer un système (par exemple en ouvrant à distance un grand nombre de connexions en émettant certains messages, « pings longs »), Surcharger la liaison d’accès à l’Internet d’un site (jusqu’à le bloquer) en envoyant des messages (echo broadcast) auxquels toutes les stations locales répondent engendrant ainsi un surcroît de trafic très volumineux.

Un autre type de délit consiste à utiliser le serveur de messagerie d’un site pour envoyer des messages souvent publicitaires à un grand nombre de destinataires, en cachant son identité. Ce site sert alors de « relais » et sans avoir donné son nom apparaît dans l’origine des messages. Cette attaque bloque la messagerie du site utilisé à son insu, surcharge des files d’attente dans le serveur et nuit à l’image de l’entreprise. Cela engendre des centaines de messages de protestation provenant des victimes de ces publicités et peut provoquer la mise en cause de la responsabilité de l’entreprise. Cette utilisation détournée est en très forte hausse ces derniers temps, du fait de la facilité de sa mise en œuvre et de l’anonymat qu’elle assure. 15

Pour prendre le contrôle d’un système, les agresseurs doivent commencer par s’y introduire. Il faut donc que quelqu’un (ou « quelque chose ») leur ouvre la porte :

Un identificateur (mot de passe) a été « prêté » ou « récupéré » (vol,…), Un compte a été laissé à l’abandon (sans mot de passe par exemple),

14 David Autissier, et Valérie Delaye _ Mesurer la performance du système d'information _ Edition

15 FILIOL Eric, RICHARD Phillipe _ Cybercriminalité _ Edition DUNOD _ 2007 p 54

2008, p 39

La sécurité du système d’information : Les enjeux de l’expert comptable

Une application réseaux installée a été mal maîtrisée (configuration mauvaise ou trop ouverte), Une ancienne version d’un logiciel dont les failles de sécurité ont été publiées est encore en service sur une machine, Un logiciel installé « en mode debug », ce mode ouvre béant un trou de sécurité, Un utilisateur interne a aidé volontairement l’agresseur.

Sous section 2: Les vulnérabilités: 16

Un système d’informations est composé de manière indissociable de personnels et de matériels, effectuant des traitements donnés sur les informations, selon des règles d’organisation prédéfinies. Chacune de ces composantes possède intrinsèquement des vulnérabilités, dont la connaissance est indispensable pour imaginer les parades nécessaires à la réduction du risque qu’elles engendrent. Il est à noter que le succès d’une nécessite souvent l’exploitation en série de plusieurs vulnérabilités : l’attaquant devra, par exemple, tirer parti d’une faille de l’organisation du système avant de pouvoir utiliser les vulnérabilités des traitements.

1-Logiciels et matériels:

Les matériels utilisés par le système sont techniquement vulnérables à certains événements, parmi lesquels il convient de citer :

Mauvaise conception ou industrialisation des composants du système, non- respect du cahier des charges, Perturbations dues à la présence d’ondes électromagnétiques dans le milieu ambiant (radars, radio,…) Emission de signaux parasites compromettants par des matériels ne respectant par les normes dites « TEMPEST 17 », Des matériels (dispositifs d’enregistrement ou de réémission des données), Piégeage, Modification ou substitution des composants du système, Incendie, destruction mécanique, inondation, Défaillances de l’alimentation électrique, de la climatisation,

Lorsque, parmi les traitements appliqués aux informations, des transferts ont lieu à travers des lignes de télécommunications, les vulnérabilités du système sont bien évidemment accrues.

16 Arturo Hernandez _ Sécurité des systèmes d'information des PME/PMI - Guide de réalisation d'un diagnostic stratégique _ Edition Arttesia _ 2009 p 61

17 TEMPEST est l’acronyme officiel de Telecommunications Electronic Material Protected from Emanating Spurious Transmissions. Il désigne les techniques et les contre-mesures de sécurité ainsi que les standards visant à protéger ou masquer les signaux et ayonnements électromagnétiques émis par les appareils électriques, y compris les ordinateurs.

La sécurité du système d’information : Les enjeux de l’expert comptable

Suivant le type de support utilisé, elles peuvent être quelque peu différentes, mais certaines sont constantes et existent encore:

Ecoute sur la ligne de télécommunication, Rejeu d’informations déjà transmises, Brouillage ou saturation de la ligne de télécommunication, Intrusion active par usurpation d’identité du destinataire ou de l’expéditeur d’informations, Destruction physique ou logique de la ligne de transmission.

2-Personnels : 18

Les matériels et logiciels de sécurité aussi sophistiqués soient-ils, ne font qu’écarter la menace extérieure, mais nullement les malveillances internes. Car ce sont bien des employés ou partenaires peu scrupuleux qu’émane le danger le plus sérieux pour les ressources stratégiques de l’entreprise, bien souvent concentrées dans quelques silos d’informations mal protégés. 19

Un système d’information est toujours servi par des hommes et pour des hommes. Que ceux- ci aient accès aux informations pour les créer, les manipuler, les détruire, ou au système pour le concevoir, permettre son exploitation, l’utiliser, ils présentent tous un risque potentiel élevé. Outre les erreurs involontaires qu’ils peuvent également se prêter à des actions de malveillance, soit de leur propre fait, soit suite à une incitation extérieure, leurs faiblesses naturelles pouvant être mises à profit par un agresseur éventuel. On peut, dans ce cadre, citer :

Les erreurs commises par excès de routine, le laxisme, la fatigue, le manque de conscience professionnelle ou de formation. Ces erreurs peuvent intervenir lors de la conception du système ou pendant sa phase opérationnelle, La divulgation d’informations sensibles ou de renseignements sur le système par bavardage inconsidéré, vantardise, provocation, au cours de réunions professionnelles, familiales, …, ou par des personnels licenciés ou démissionnaires, Les actions diverses entreprises sous la pression (menaces, chantage,…), par idéologie politique ou volonté de nuire, sous l’effet de produits divers (alcool, drogues,…), Les perturbations diverses en cas de mouvements sociaux …

3-Structurels:

La structure et les procédures de tous ordres qui existent dans l’organisme abritant le système ont une influence directe sur celui-ci. Des déficiences en ce domaine peuvent entrainer des

18 Arturo Hernandez _ Sécurité des systèmes d'information des PME/PMI - Guide de réalisation d'un diagnostic stratégique _ Edition Arttesia _ 2009 p 81

19 Michelle Gillet, et Patrick Gillet _ SIRH : Système d'information des ressources humaines _ Edition DUNOD _ 2010 p 43

La sécurité du système d’information : Les enjeux de l’expert comptable

défauts de fonctionnement du système et des fautes exploitables par un agresseur éventuel, nous citerons:

La mauvaise connaissance des textes légaux ou règlementaire en vigueur, L’absence de références hiérarchiques définies, L’extension abusive des privilèges, par laxisme ou complaisance, allant au-delà du besoin d’en connaitre Les procédures inefficaces ou inapplicables, Les pertes de compétences ou de savoir-faire, suite au départ de personnels cumulant diverses fonctions « stratégiques ».

Sous section 3: Les conséquences en résultant:

La dernière phase du scénario de sinistre est celle où l’entreprise va, d’une part constater le sinistre et les dégâts correspondants, et d’autre part, entreprendre des actions pour revenir à son état d’origine et retrouver un fonctionnement habituel. Tout ceci va entraîner des impacts de différentes natures. 20

1- Impacts internes:

Les impacts internes sont souvent faciles à identifier et à évaluer. Nous pouvons citer :

Les pertes de fonds, Les pertes de valeurs liées à des immobilisations: bâtiment et locaux, matériels informatiques et péri-informatiques, armoires gaines et câbles, télécommunications, climatisation, énergie, stocks et autres immobilisations, y compris immatérielles, Les pertes de valeurs liées aux petits matériels, micros et équipements de bureaux et les fournitures diverses, Les pertes de valeurs liées aux supports et à leur contenu : bandes, disquettes, listings,… Arrêts de l’activité provisoire ou définitive, Le cas échéant, les pertes humaines.

1-Impacts externes :

Les impacts externes sont souvent plus difficiles à identifier et à évaluer. Nous pouvons citer néanmoins : 21

La perte d’image de marque due à la notoriété du sinistre, La perte de confiance des partenaires,

20 Arnaud Deslandes, J-C Grosjean, Médéric Morel, et Guillaume Plouin _ Le poste de travail Web : Portail d'entreprise et accès au système d'information _ Edition DUNOD _ 2010 p 81

21 Arnaud Deslandes, J-C Grosjean, Médéric Morel, et Guillaume Plouin _ Le poste de travail Web : Portail d'entreprise et accès au système d'information _ Edition DUNOD _ 2010 p 87

La sécurité du système d’information : Les enjeux de l’expert comptable

La perte de parts de marchés avec les clients pendant le temps du sinistre, La perte de compétitivité, Les préjudices, pertes ou surcoûts causés à des tiers du fait d’un sinistre dans l’entreprise.

2-Répercussions financières :

Il s’agit là des frais de toute nature que l’entreprise va devoir engager pour remédier aux détériorations subies par ses ressources ; Il s’agit donc de réparer ou de reconstruire les ressources matérielles, de reconstituer les bases de données, les fichiers de données ou les informations, ou de corriger les programmes. Les pertes sont les suivants :

Les frais de ressaisie ou de reconstitution d’informations perdues, détruites ou dégradées, Les coûts directs de réparation, s’ils ne sont pas couverts par un contrat de maintenance, Les frais directs après sinistre (délaiement,…), Les pertes d’exploitation dues à des décalages de chiffre d’affaires ou de dépenses, Les pertes d’exploitation dues à des pertes d’affaires, de clientèles ou de parts de marché, Les pertes d’exploitation induites (paiement d’heures supplémentaires, de sous-traitance, d’intérimaires), Les frais supplémentaires liés à la poursuite de l’activité, occasionnés par le mode d’activité dégradée, ou le passage en fonctionnement de secours : paiement d’heures supplémentaires, de sous-traitance, d’intérimaires, de frais de transport et de convoyage, coûts d’usage d’autres matériels ou logiciels (secours), Les frais supplémentaires pour restaurer la situation antérieure ou une situation stable acceptable, Les coûts extraordinaires (location de matériels, de locaux, frais d’expertises).

Avant de clore le bilan du sinistre, il reste encore une action à faire pour minimiser le préjudice subi : il s’agit en effet de récupérer une partie des pertes sur des tiers, en en recourant éventuellement à l’assurance ou l’agresseur, action pénale. Le bilan final que l’on pourra alors faire du sinistre donnera les pertes résiduelles.

Section 3 : Les types des attaques et des agressions :

Sous section 1: Les familles des attaques: 22

Les hackers 23 utilisent plusieurs techniques d'attaques. Ces attaques peuvent être regroupées en trois familles différentes :

Les attaques directes,

23 Hacker: Synonyme de Cyber-terroriste ou pirate. Personne ayant de bonnes connaissances informatiques dont l’objectif est de concevoir des virus ou de pénétrer dans les systèmes d’information des entreprises, des administrations,…

La sécurité du système d’information : Les enjeux de l’expert comptable

Les attaques indirectes par rebond, Les attaques indirectes par réponse.

a- Les attaques directes:

C'est la plus simple des attaques. Le hacker attaque directement sa victime à partir de son ordinateur. La plupart des "script kiddies 24 " utilisent cette technique. En effet, les programmes de hack qu'ils utilisent ne sont que faiblement paramétrables, et un grand nombre de ces logiciels envoient directement les packets à la victime.

b- Les attaques indirectes par rebond:

Cette attaque est très prisée des hackers. En effet, le rebond a deux avantages :

Masquer l'identité (l'adresse IP 25 ) du hacker. Eventuellement, utiliser les ressources de l'ordinateur intermédiaire car il est plus puissant

(CPU 26 , bande passante

) pour attaquer.

Le principe en lui même, est simple : Les packets d'attaque sont envoyés à l'ordinateur intermédiaire, qui répercute l'attaque vers la victime. D'où le terme de rebond.

c- Les attaques indirectes par réponse :

Cette attaque est un dérivé de l'attaque par rebond. Elle offre les mêmes avantages, du point de vue du hacker. Mais au lieu d'envoyer une attaque à l'ordinateur intermédiaire pour qu'il la répercute, l'attaquant va lui envoyer une requête. Et c'est cette réponse à la requête qui va être envoyée à l’ordinateur victime.

Sous section 2: Attaques sur les mots de passe:

Les mots de passe constituent des éléments clés de l’utilisation des systèmes informatiques, en limitant l’accès aux seules personnes autorisées. Ces clés doivent être protégées contre les tentatives de détection des mots de passe.

Notons, à cet effet, les deux méthodes suivantes:

L'attaque par dictionnaire : le mot de passe est testé dans une liste prédéfinie contenant les mots de passe les plus courants et aussi des variantes de ceux-ci (à l’envers, avec un chiffre à la fin, etc.). Ces listes sont généralement dans les langues les plus utilisées, elles contiennent des mots existants ou des diminutifs….

24 Script kiddies : ce sont des pirates informatiques

25 L’Internet Protocol, généralement abrégé IP, est un protocole de communication de réseaux informatiques. IP est le protocole d'Internet.

26 Le processeur, ou CPU (de l'anglais Central Processing Unit, « Unité centrale de traitement »), est le composant de l'ordinateur qui exécute les programmes informatiques. Avec la mémoire notamment, c'est l'un des composants qui existent depuis les premiers ordinateurs et qui sont présents dans tous les ordinateurs. Un processeur construit en un seul circuit intégré est un microprocesseur.

La sécurité du système d’information : Les enjeux de l’expert comptable

L’attaque par force brute : toutes les possibilités sont exploitées dans l’ordre jusqu’à trouver la bonne solution, par exemple de “AAAAAA” jusqu'à “ZZZZZZ”, pour un mot de passe composé strictement de six caractères alphabétiques.

Sous section 3: Programmes malveillants:

Un programme malveillant (malware en anglais) est un logiciel développé dans le but de nuire à un système informatique 27 . Il en est ainsi des programmes suivants:

Le virus: programme capable de s’incruster dans d’autres programmes, toute utilisation des programmes « infectés » déclenche la recopie de virus. La propagation du virus se fait par l’utilisation d’un support physique infecté ou à travers les réseaux informatiques; Le ver (Worm en anglais) : programme qui se duplique lui-même en installant des copies de lui-même sur d’autres machines à travers un réseau; Le cheval de Troie (Trojan en anglais) : programme à apparence légitime qui exécute des routines nuisibles sans l'autorisation de l'utilisateur; il permet de créer artificiellement une faille de sécurité dans les systèmes facilitant l’intrusion de pirates ou de virus; La porte dérobée (Backdoor en anglais) : programme visant à détourner les fonctionnalités d’un service ou d’un système en ouvrant des canaux d’accès masqués; Le logiciel espion (spyware en anglais) : logiciel ou partie de logiciel dont le but est de collecter des informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et de les envoyer à son insu à l’éditeur du logiciel.

Sous section 4 : Attaques par messagerie:

En dehors des nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques à celle-ci. Nous pouvons citer dans ce cadre: 28

Le pourriel (spam en anglais) : un courrier électronique non sollicité, la plupart du temps de la publicité, encombrant le réseau, et faisant perdre du temps à ses destinataires ; L'hameçonnage (phishing en anglais) : un courrier électronique dont l'expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de lui fournir des informations confidentielles ; Le canular informatique (hoax en anglais) : un courrier électronique qui incite l'utilisateur à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).

27 Patrick Boulet _ Plan de continuité d'activité : Secours du système d'information _ Edition Lavoisier _ 2008 p 52

28 BLOCH Laurent, WOLFHUGEL Christophe _ Sécurité informatique, principe et méthode _ Edition

2007 p 48

La sécurité du système d’information : Les enjeux de l’expert comptable

Sous section 5: Les attaques sur le réseau:

Sont présentés dans ce paragraphe les principales techniques d'attaques qui visent à nuire à la sécurité de tout le réseau informatique et non seulement à celle d’un poste de travail isolé:

Le sniffing : un logiciel sniffer permet de récupérer toutes les informations transitant sur un réseau tels que les mots de passe des applications, l’identification des machines qui communiquent sur un réseau… ; La mystification (en Anglais spoofing) : technique consistant à prendre l'identité d'une autre personne ou d'une autre machine pour récupérer des informations sensibles, que l'on ne pourrait pas avoir autrement ; Le déni de service : Le "Distributed Denial of Service" (DDoS) consiste à rendre une ressource inaccessible par saturation ou par destruction. Cette attaque est souvent réalisée par un envoi massif de requêtes; il s’agit d’une technique qui vise à générer des arrêts de service et d’empêcher ainsi le bon fonctionnement d’un système.

Section 4 : Les systèmes de détection des intrusions 29

Afin de détecter les attaques que peut subir un système, il est nécessaire d’avoir un logiciel spécialisé dont le rôle serait de surveiller les données qui transitent sur ce système et qui serait capable de réagir si des données semblent suspectes. Plus communément appelés IDS (Intrusion Detection Systems), les systèmes de détection d’intrusions conviennent parfaitement à la réalisation de cette tâche. 30

A l’origine, les premiers systèmes de détection d’intrusions ont été initiés par l’armée américaine, puis par des entreprises. Plus tard, des projets open-source ont été lancés et certains furent couronnés de succès, comme par exemple Snort et Prelude que nous détaillerons ultérieurement. Parmi les solutions commerciales, on retrouve les produits des entreprises spécialisées en sécurité informatique telles qu’Internet Security Systems, Symantec, Cisco Systems,

Sous section 1: Les différents types d'IDS 31 :

Comme nous l’avons vu, les attaques utilisées par les pirates sont très variées. Certaines utilisent des failles réseaux et d’autres des failles de programmation. Nous pouvons donc facilement comprendre que la détection d’intrusions doit se faire à plusieurs niveaux.

Ainsi, il existe différents types d’IDS dont nous détaillons ci-dessous les caractéristiques principales.

29 Les systèmes de détection d'intrusions, http://dbprog.developpez.com, http://krierjon.developpez.com

30 Claudine CHASSAGNE _ Manager un systeme d'information - guide pratique du dsi _ Edition Territorial _ 2009 p 31

La sécurité du système d’information : Les enjeux de l’expert comptable

1-Les systèmes de détection d’intrusions (IDS): 32

Définition : Ensemble de composants logiciels et matériels dont la fonction principale est de détecter et d’analyser toute tentative d’effraction.

Fonctions : Détection des techniques de sondage (balayages de ports, fingerprinting), des tentatives de compromission de systèmes, d’activités suspectes internes, des activités virales ou encore audit des fichiers de journaux (logs). Il s’agit d’un système capable de détecter tout type d’attaque.

Certains termes sont souvent employés quand on parle d’IDS :

Faux positif: une alerte provenant d’un IDS mais qui ne correspond pas à une attaque réelle, Faux négatif: une intrusion réelle qui n’a pas été détectée par l’IDS.

1.1- Les systèmes de détection d’intrusions « réseaux » (NIDS):

Objectif : Analyser de manière passive les flux en transit sur le réseau et détecter les intrusions en temps réel.

Les NIDS étant les IDS les plus intéressants et les plus utiles du fait de l’omniprésence des réseaux dans notre vie quotidienne; Ce document se concentrera essentiellement sur ce type d’IDS.

1.2- Les systèmes de détection d’intrusions de type hôte (HIDS):

Un HIDS se base sur une machine unique; L’analyse ne porte plus cette fois sur le trafic réseau, mais sur l’activité se passant sur cette machine. Il analyse en temps réel les flux relatifs à une machine ainsi que les journaux.

Un HIDS a besoin d’un système sain pour vérifier l’intégrité des données. Si le système a été compromis par un pirate, le HIDS ne sera plus efficace. Pour parer à ces attaques, il existe des KIDS (Kernel Intrusion Detection System) et KIPS (Kernel Intrusion Prevention System) qui sont fortement liés au noyau. Ces types d’IDS sont décrits un peu plus loin.

1.3- Les systèmes de détection d’intrusions « hybrides »:

Généralement utilisés dans un environnement décentralisé, ils permettent de réunir les informations de diverses sondes placées sur le réseau. Leur appellation « hybride » provient du fait qu’ils sont capables de réunir aussi bien des informations provenant d’un système HIDS que d’un NIDS.

32 David Burgermeister, Jonathan Krier _ Les systèmes de détection d'intrusions _ Edition Developpez.com _ 2006 p 12

La sécurité du système d’information : Les enjeux de l’expert comptable

1.4- Les systèmes de prévention d’intrusions (IPS 33 ):

Ensemble de composants logiciels et matériels dont la fonction principale est d’empêcher toute activité suspecte détectée au sein d’un système.

1.5- Les systèmes de prévention et d’intrusions « Kernel 34 » (KIDS/KIPS):

Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il détecte un balayage automatisé, les IPS peuvent bloquer les ports automatiquement. Ils peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100% et risquent même en cas de faux positif de bloquer du trafic légitime.

1.6- Les firewalls: 35

Les firewalls ne sont pas des IDS à proprement parler, mais ils permettent également de stopper des attaques. Nous ne pouvions donc pas les ignorer.

Les firewalls sont basés sur des règles statiques afin de contrôler l’accès des flux. Ils travaillent en général au niveau des couches basses du modèle OSI 36 (jusqu’au niveau 4), ce qui est insuffisant pour stopper une intrusion. Par exemple, lors de l’exploitation d’une faille d’un serveur Web, le flux HTTP 37 sera autorisé par le firewall puisqu’il n’est pas capable de vérifier ce que contiennent les paquets.

Il existe trois types de firewalls :

Les systèmes à filtrage de paquets sans état : analyse les paquets les uns après les autres, de manière totalement indépendante. Les systèmes à maintien d’état (stateful) : vérifient que les paquets appartiennent à une session régulière. Ce type de firewall possède une table d’états où est stocké un suivi de chaque connexion établie, ce qui permet au firewall de prendre des décisions adaptées à la situation. Ces firewalls peuvent cependant être outrepassés en faisant croire que les paquets appartiennent à une session déjà établie.

33 Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque.

34 Un noyau de système d’exploitation, ou simplement noyau, ou kernel (de l'anglais), est la partie fondamentale de certains systèmes d’exploitation. Il gère les ressources de l’ordinateur et permet aux différents composants — matériels et logiciels — de communiquer entre eux. http://fr.wikipedia.org/wiki/Noyau_de_syst%C3%A8me_d'exploitation

35 Les systèmes de détection d'intrusions ; David Burgermeister, Jonathan Krier 2006 (Dvelopper.com) p 15

36 Le modèle

de

normalisation). Il décrit les fonctionnalités nécessaires à la communication et l'organisation de ces fonctions. 37 L'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP, littéralement le « protocole de transfert hypertexte », est un protocole de communicationclient-serveur développé pour le World Wide Web. HTTPS (avec S pour secured, soit « sécurisé ») est la variante du HTTP sécurisée par l'usage desprotocoles SSL ou TLS.

d'interconnexion

en réseau des systèmes ouverts est un modèle de

OSI (de

l'anglais Open

Systems

Interconnection,

communications

« Interconnexion

de

systèmes

ouverts »)

entre ordinateurs proposé par l'ISO

(Organisation internationale

La sécurité du système d’information : Les enjeux de l’expert comptable

Les firewalls de type proxy : Le firewall s’intercale dans la session et analyse l’information afin de vérifier que les échanges protocolaires sont conformes aux normes.

1.7- Les technologies complémentaires

Les scanners de vulnérabilités : systèmes dont la fonction est d’énumérer les vulnérabilités présentes sur un système. Ces programmes utilisent une base de vulnérabilités connues (exemple : Nessus).

Les systèmes de leurre : le but est de ralentir la progression d’un attaquant, en générant des fausses réponses telle que renvoyer une fausse bannière du serveur Web utilisé.

Les systèmes de leurre et d’étude (Honeypots) : le pirate est également leurré, mais en plus, toutes ses actions sont enregistrées. Elles seront ensuite étudiées afin de connaître les mécanismes d’intrusion utilisés par le hacker. Il sera ainsi plus facile d’offrir des protections par la suite.

Les systèmes de corrélation et de gestion des intrusions (SIM – Security Information Manager) : centralisent et corrèlent les informations de sécurité provenant de plusieurs sources (IDS, firewalls, routeurs, applications, …). Les alertes sont ainsi plus faciles à analyser.

Les systèmes distribués à tolérance d’intrusion : l’information sensible est répartie à plusieurs endroits géographiques mais des copies de fragments sont archivées sur différents sites pour assurer la disponibilité de l’information. Cependant, si un pirate arrive à s’introduire sur le système, il n’aura qu’une petite partie de l’information et celle-ci lui sera inutile.

Sous section 2: Les méthodes de détection:

Pour bien gérer un système de détection d’intrusions, il est important de comprendre comment celui-ci fonctionne. Une question simple se pose alors : comment une intrusion est-elle détectée par un tel système ? Quel critère différencie un flux contenant une attaque d’un flux normal ?

Ces questions nous ont amenés à étudier le fonctionnement interne d’un IDS. De là, nous en avons déduit deux techniques mises en place dans la détection d’attaques. La première consiste à détecter des signatures d’attaques connues dans les paquets circulant sur le réseau. La seconde, consiste quant à elle, à détecter une activité suspecte dans le comportement de l’utilisateur. 38

38 Chantal Morley _ Management d'un Projet Systeme d'Information - Principes, techniques, mise en oeuvre et outils _ Edition DUNOD _ 2008 p 131

La sécurité du système d’information : Les enjeux de l’expert comptable

Ces deux techniques, aussi différentes soient-elles, peuvent être combinées au sein d’un même système afin d’accroître la sécurité.

Conclusion:

Pour un système d’information donné, la menace n’est unique mais le plus souvent composite du fait de la diversité des systèmes et des informations gérées. Il en va de même pour les attaques. Un agresseur utilisera généralement plusieurs techniques, ou des combinaisons, pour arriver à ses fins en exploitant les vulnérabilités d’un système d’information.

De son côté, le défenseur doit être capable de déterminer ce qu’il veut protéger et contre qui. Connaissant ses propres vulnérabilités, une analyse de risque lui permettra d’identifier les scénarios d’attaques réalistes et par conséquent, de mettre en place les parades nécessaires à la protection de ses informations.

La sécurité du système d’information : Les enjeux de l’expert comptable

Chapitre 2 : Les méthodes d’évaluation du risque

Introduction:

Plusieurs sont les méthodes qui permettent de fournir une évaluation globale de la sécurité et

des risques informatiques au sein de l’entreprise. Dans ce qui suit, nous allons exposer cinq

méthodes d’évaluation de risques les plus utilisées.

Section 1: Le management du risque:

Sous section 1: Définition du Risque:

En fait, il y a deux approches d’estimation du niveau de risque 39 :

Quantitative : cette méthode exprime le risque en termes financiers et de fréquence.

Qualitative : cette méthode exprime le risque en termes d’impact potentiel et de probabilité de

survenance.

De point de vue quantitatif, il existe une équation reine qui définit la notion de risque comme

suit : Risque = Vulnérabilité * Menace * Impact.

D’autre part, le concept de risque peut être exprimé ainsi:

Menaces*Vulnérabilités

Risque =

Contres mesures Les menaces désignent l'ensemble des éléments pouvant atteindre les ressources d'une

* impact.

organisation. Elles peuvent être intentionnelles ou accidentelles.

Les vulnérabilités expriment toutes les faiblesses des ressources qui pourraient être

exploitées par des menaces, dans le but de les compromettre.

L'impact est le résultat de l'exploitation d'une vulnérabilité par une menace et peut prendre

différentes formes : perte financière, affectation de l'image de marque, perte de

crédibilité

Les contre-mesures : se sont les mesures et les dispositifs de sécurité mises en place afin

d’atténuer le niveau de risque à un niveau résiduel.

La combinaison des ces éléments fonde la notion de risque, qui permet notamment de mesurer

l'impact financier et la probabilité de survenance d'un évènement indésirable 40 .

En ce qui concerne l’approche qualitative, la notion de risque peut être exprimée par une

évaluation probabiliste 41 : Risque =

Pa*(1-Pi)*C.

39 Thierry RAMARAD _ Quelle méthode d’analyse des risques ? Panorama des solutions et méthodes _ Edition DUNOD _ 2005 p 89 40 Jean-Philipe Jouas et Albert Harari _ Le Risque Informatique » 2SI-sécurité des systèmes d’information _ Edition Arttesia _ 1999 p 73

La sécurité du système d’information : Les enjeux de l’expert comptable

Pa : probabilité de l’attaque. Pi : efficacité des contre-mesures C : conséquences de la perte de la ressource considérée.

Sous section 2: Identification, Évaluation et Management de risque :

En effet, toute unité doit être en mesure d’identifier, d’évaluer l’impact et de gérer d’une manière convenable les risques auxquels elle est exposée.

Identification des risques : L’identification des risques, c’est être capable de recenser avec une manière aussi exhaustive que possible les risques associés à un système d’information 42 . Évaluation des risques : C’est un processus qui combine l’identification des ressources ou des biens vitaux de l’entreprise, leur valorisation et la détermination des risques de violation de sécurité 43 . Management de risque: C’est une approche systémique permettant de déterminer les mesures de sécurité appropriées pour l’entreprise. Il s’agit, en fait, de savoir comment résoudre les problèmes de sécurité, à quel endroit les résoudre, quels types et niveaux de contrôles de sécurité faut-il appliquer, ce qui nécessite une préparation adéquate et minutieuse 44

Sous section 3: Les méthodes de management de risque :

Il convient, à ce niveau, de faire un aperçu historique et de présenter les principales méthodes d’évaluation et de management de risque.

1- Genèse des méthodes de management de risque:

Dans les années 80 à 90, il y a eu l’apparition des méthodes « Marion » issues du Clusif et « Melisa » destinées à l’évaluation des risques des centraux (mainframes) et de leur environnement. En raison du fait que les réseaux étaient basés sur des protocoles propriétaires, la sécurité était réservée aux très grandes entreprises et administrations. 45

Par la suite, il y a eu l’émergence des méthodes actuelles comme (Mehari, Ebios, Octave, Cobit, Cramm) qui font la distinction entre la notion d’actifs informationnels de l’organisation et les vulnérabilités techniques. Cependant, la plupart reste orientée aux grandes entreprises 46 .

41 Nicolas Dubée _ Analyse des risques sécurité SI _ Edition Economica _ 2001 p 42

42 Jean-François Carpentier _ La gouvernance du Système d'Information dans les PME - Pratiques et évolutions _ Edition ENI _ 2010 p 73

43 Jean-François Carpentier _ La gouvernance du Système d'Information dans les PME - Pratiques et évolutions _ Edition ENI _ 2010 p 75

44 Jean-François Carpentier _ La gouvernance du Système d'Information dans les PME - Pratiques et évolutions _ Edition ENI _ 2010 P 78

45 Frédéric Georgel, et Thierry Chamfrault _ IT gouvernance : Management stratégique d'un système d'information _ Edition DUNOD _

2009 p 98

46 Yosecure « Sécurité de l’information et gestion des risques informatique », 2002.

La sécurité du système d’information : Les enjeux de l’expert comptable

La méthode Octave existe dans une déclinaison pour petites entreprises (inférieur à 100 personnes). En effet, avec le déploiement des systèmes d’information sophistiqués et l’ouverture croissante des réseaux, les entreprises sont exposées aux multiples dangers, et ce quelque soit la taille ou l’activité. De ce fait, tous les organismes sont concernés par l’évaluation de risques et la mise en place des dispositifs de sécurité 47 .

D’autre part, la norme ISO 27 002 qui peut intéresser toutes les entités, quelque soit leur secteur, propose une évaluation de risques, sans pour autant imposer une méthode concrète pour identifier, gérer et réduire les risques.

Le tableau ci-dessous présente un aperçu historique sur les méthodes les plus connues 48 .

L’état du marché

Méthode

Aperçu

 

COBIT Control Objectives for Information and related Technology Angleterre (ISACA)

-Développée depuis 1996

- Compatible avec ISO 27 002

- Langue Anglaise

- Cible : Grandes entreprises.

MARION

- Développée depuis 1980

Méthodes issues

Angleterre

- Langue Française

du monde

(CLUSIF)

- Cible : Grandes entreprises & PME-PMI.

associatif

 

- Développée depuis 1995

- les bases de connaissances a 500$

MEHARI thode Harmonisée d'Analyse de Risques France (CLUSIF)

- Logiciel RISICARE (Société BUC SA)-

9200$

- Compatible avec ISO 27 002

- Langue Française

 

- Cible : Grandes entreprises & PME-PMI

 

EBIOS Expression des Besoins et Identification des Objectifs de Sécurité France (DCSSI)

- Développée depuis 1995

Méthodes

- Logiciel EBIOS disponible gratuitement

gouvernementales

- Compatible avec ISO 27 002

ou d’Etats

- Langue Française

- Cible : Grandes entreprises.

47 Olivier. Luxereau « ISO 17799/IEC la sécurité et la norme » l’informatique professionnelle n 220, Janvier 2004.

48 Thierry RAMARAD « Quelle méthode d’analyse des risques ? Panorama des solutions et méthodes » D’Ageris Consulting, Paris, Mai

2005

La sécurité du système d’information : Les enjeux de l’expert comptable

2- Présentation des méthodes de management de risque :

En effet, il y a un panorama de techniques, une panoplie de solutions et une variété de méthodes permettant de mettre en évidence les risques relatifs à la sécurité du système d’information.

Chaque méthode d’analyse des risques est un outil de management, de sensibilisation et de pilotage, qui a pour objectif de « cartographier l’ensemble des risques pesant sur l’entreprise afin de prendre les décisions stratégiques adaptées » 49 .

Par abus de marketing, ces méthodes sont communément appelées «méthodes d’audit, Cependant, il s’agit des méthodes d’évaluation des risques qui peuvent soutenir la démarche d’audit en tant qu’indicateur de gestion rigoureuse de risque.

Plusieurs sont les méthodes qui permettent de fournir une évaluation globale de la sécurité des systèmes d’information au sein de l’entreprise. Dans ce qui suit, nous allons exposer cinq méthodes d’évaluation de risques, tout en signalant que l’évaluation numérique du risque informatique ne relève pas des diligences requises au cours d’une mission d’audit de la sécurité informatique.

Section 2: Control Objectives for Information and Technology: COBIT 50

Le COBIT est une méthode publiée par l'ISACA 51 aux Etats-Unis et traduite par l’association française d’audit et de conseil informatique (AFAI). Le COBIT permet de comprendre et de gérer les risques liés aux technologies de l’information. Pour ce faire, il retient quatre domaines fonctionnels : la planification et l’organisation, l’acquisition, la distribution, le support et la surveillance. Il découpe ces domaines en 34 processus; pour chaque processus, il fournit un modèle de maturité permettant d'apprécier le niveau sur une échelle de 0 (inexistant) à 5 (optimisé) et des facteurs clés de succès correspondant aux actions à déployer pour l’améliorer. Le guide de management ainsi constitué est orienté vers l’action pour :

1. Déterminer les contrôles informatiques : qu’est ce qui est important ?

2. Sensibiliser: où est le risque ?

3. Comparer : que font les autres ?

Cette méthode ne permet pas de quantifier les risques, mais elle présente à partir de l’évaluation des 34 processus liés aux technologies de l'information par rapport aux meilleures pratiques, les éléments et la démarche nécessaires à la mise en œuvre de tableaux de bord

49 Thierry RAMARAD _ Quelle méthode d’analyse des risques ? Panorama des solutions et méthodes _ Edition Economica _ 2005 p 61

50 Dominique Moisand, Fabrice Garnier de Labareyre, et Bruno Ménard Broché _ CobiT : Pour une meilleure gouvernance des systèmes

d'information _ Edition

51 ISACA: Information Systems Audit and Control Association www.isaca.org

2010 p 83

La sécurité du système d’information : Les enjeux de l’expert comptable

équilibrés. Cette méthode est d’avantage assimilée à une méthode de gouvernance des systèmes d’information.

COBIT concourt à la gouvernance des SI en aidant à s’assurer que:

Les SI sont alignés sur le métier de l'entreprise, Les SI apportent un plus au métier, et maximisent ses résultats, Les ressources des SI sont utilisées de façon responsable, Les risques liés aux SI sont gérés comme il convient.

Les risques liés aux SI sont gérés comme il convient. Figure 2 : Organisation du référentiel

Figure 2 : Organisation du référentiel Cobit 52

52 DOMINIQUE MOISAND FABRICE GARNIERDEL ABAREYRE Préface de Didier Lambert Avec la collaboration de J.-M. Chabbal, T. Gasiorowski, F. Legger et L. Vakil _ Cobit, Pour une meilleure gouvernance des systèmes d’information _ Edition DUNOD _ 2009.

La sécurité du système d’information : Les enjeux de l’expert comptable

COBIT retient 34 processus regroupés en 4 domaines qui correspondent au cycle de vie des SI et à leur maîtrise : Planifier et Organiser (10 processus), Acquérir et Implémenter (7 processus), Délivrer et Supporter (13 processus), Surveiller et Evaluer (4 processus).

Chaque processus met en œuvre des ressources informatiques (applications, informations, infrastructures et personnes au sens compétences), fournit une information destinée à satisfaire les besoins métiers exprimés sous forme de critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité) et concerne un ou plusieurs domaines de la gouvernance des systèmes d’information (alignement stratégique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance).

Section 3: La méthode d’analyse des risques informatiques orientée par niveau « MARION » : 53

Marion « Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux» a été développée par le CLUSIF dans les années 1980 mais a été abandonnée en 1998 au profit de la méthode Mehari. C'est une méthode d'audit de la sécurité d'une entreprise, elle ne permet pas de mettre en œuvre une politique de sécurité en tant que telle. A base d'un questionnaire, elle donne une évaluation chiffrée du risque informatique.

Marion repose sur l'évaluation des aspects organisationnels et techniques de la sécurité de l'entreprise à auditer.

Elle utilise 27 indicateurs classés en 6 thématiques. Chaque indicateur se voit attribuer une note entre 0 (insécurité) et 4 (excellent), la valeur 3 indiquant une sécurité correcte.

Sous section 1: Thématiques des indicateurs de la méthode Marion:

Sécurité organisationnelle Sécurité physique Continuité Organisation informatique Sécurité logique et exploitation Sécurité des applications

Sous section 2: Phases de la méthode Marion:

La méthode se déroule en 4 phases :

1. Préparation

2. Audit des vulnérabilités

53 Frantz Rowe, et Rolande Marciniak _ Systèmes d'information, dynamique et organisation _ Edition Economica _ 2008 p 119

La sécurité du système d’information : Les enjeux de l’expert comptable

3. Analyse des risques

4. Plan d'action

La phase de préparation permet de définir les objectifs de sécurité à atteindre ainsi que le champ d'action de l'audit et le découpage fonctionnel du système d’information à adopter pour simplifier la réalisation de l'étude.

L'audit des vulnérabilités consiste à répondre aux questionnaires. Ces réponses données vont permettre de recenser les risques du système d’information et les contraintes de l'entreprise. A l'issu de cet audit, sont construits une rosace et un diagramme différentiel représentant respectivement la note attribuée à chacun des indicateurs et les facteurs de risques particulièrement importants.

et les facteurs de risques particulièrement importants. Figure 3 : Exemple de rosace Marion 5 4

Figure 3 : Exemple de rosace Marion 54

La rosace présente dans un cercle la valeur de chacun des 27 indicateurs. Elle est un moyen de visualiser rapidement les points vulnérables du système d’information qui doivent être mieux protégés.

système d’information qui doivent être mieux protégés. Figure 4 : Exemple d'histogramme différentiel Marion 5

Figure 4 : Exemple d'histogramme différentiel Marion 55

La sécurité du système d’information : Les enjeux de l’expert comptable

L'histogramme différentiel est construit avec des barres représentant l'éloignement de chaque valeur d'indicateur à la valeur de référence 3. Cet éloignement est pondéré avec l'importance donnée au facteur mesuré. Les indicateurs de valeur égale ou supérieure à 3 ne sont pas représentés. On visualise ainsi les vulnérabilités du SI en fonction de leurs criticités relatives.

L'analyse des risques permet de classer les risques selon leurs criticités (en classes : Risques Majeurs et Risques Simples). Elle procède au découpage fonctionnel du système d’information pour une analyse détaillée des menaces, de leur impact respectif et de leur probabilité. La méthode Marion définit 17 types de menaces :

Sous section 3: Types de menaces Marion: 56

Accidents physiques Malveillance physique Carence du personnel Carence du prestataire Panne du SI Interruption de fonctionnement du réseau Erreur de saisie Erreur de transmission Erreur d'exploitation Erreur de conception / développement Détournement de fonds Détournement de biens Vice caché d'un progiciel Copie illicite de logiciels Indiscrétion / détournement d'information Sabotage immatériel Attaque logique du réseau

Le plan d'action propose les solutions à mettre en œuvre pour élever la valeur des 27 indicateurs à la valeur 3 (niveau de sécurité satisfaisant) de l'audit des vulnérabilités et atteindre les objectifs fixés en préparation. Le coût de la mise à niveau est évalué et les tâches à réaliser pour y parvenir sont ordonnancées.

Cette méthode par questionnaire est assez simple à mettre œuvre et est bien rodée du fait de son âge. Son pouvoir de comparaison des entreprises auditées est un plus indéniable.

56 Frantz Rowe, et Rolande Marciniak _ Systèmes d'information, dynamique et organisation _ Edition Economica _ 2008 p 142

La sécurité du système d’information : Les enjeux de l’expert comptable

La méthode Mehari qui lui succède va plus loin en proposant la création complète de la politique de sécurité.

Section 4: La Méthode Harmonisée d'Analyse de Risques : MEHARI

Mehari (MEthode Harmonisée d'Analyse de RIsques) est développée par le CLUSIF depuis 1995, elle est dérivée des méthodes Melisa et Marion. Existant en langue française et en anglais, elle est utilisée par de nombreuses entreprises publiques ainsi que par le secteur privé.

Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des risques basé sur la méthode Mehari. 57

La démarche générale de Mehari consiste en l'analyse des enjeux de sécurité : quels sont les scénarios redoutés ?, et en la classification préalable des entités du système d’information en fonction de trois critères de sécurité de base: confidentialité, intégrité, disponibilité. Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activité de l'entreprise. Puis, des audits identifient les vulnérabilités du système d’information. Et enfin, l'analyse des risques proprement dite est réalisée.

l'analyse des risques proprement dite est réalisée. Figure 5 : Schéma général de la méthode Mehari

Figure 5 : Schéma général de la méthode Mehari 58

Mehari s'articule autour de 3 types de livrables :

1. Le Plan Stratégique de Sécurité (PSS)

2. Les Plans Opérationnels de Sécurité (POS)

3. Le Plan Opérationnel d'Entreprise (POE)

57 François-Xavier de Vaujany _ Les grandes approches théoriques du système d'information de François-Xavier _ Edition Lavoisier _ 2009 p 93

La sécurité du système d’information : Les enjeux de l’expert comptable

Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs.

Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et auditent les services du système d’information. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protection nécessaires. Enfin, une planification de la mise à niveau de la sécurité du système d’information est faite.

Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir.

Des bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios de risques, proposent des liens entre menaces et parades

Mehari apporte une démarche centrée sur les besoins de continuité d'activité de l'entreprise et fournit des livrables types aidés d'un guide méthodologie. Les audits qu'elle propose permettent la création de plans d'actions concrètes. Cette méthode permet donc, de construire une politique de sécurité destinée à pallier les vulnérabilités constatées lors des audits du Plan Opérationnel de Sécurité et d'atteindre le niveau de sécurité correspondant aux objectifs fixés dans le Plan Stratégique de Sécurité.

Section 5: Expression des Besoins et Identification des Objectifs de Sécurité : EBIOS 59

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'identifier les risques d'un SI et de proposer une politique de sécurité adaptée aux besoins de l'entreprise (ou d'une administration). Elle a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information), du Ministrère de la Défence (France). Elle est destinée avant tout aux administrations françaises et aux entreprises. 60

La méthode EBIOS se compose de cinq guides (Introduction, Démarche, Techniques, Outillages) et d'un logiciel permettant de simplifier l'application de la méthodologie explicitée dans ces guides. Le logiciel libre est gratuit (les sources sont disponibles) permet de simplifier l'application de la méthode et d'automatiser la création des documents de synthèse. La DCSSI

60 François-Xavier de Vaujany _ Les grandes approches théoriques du système d'information de François-Xavier _ Edition Lavoisier _ 2009 p 132

La sécurité du système d’information : Les enjeux de l’expert comptable

possède un centre de formation où sont organisés des stages à destination des organismes publics français. Un club d'utilisateurs EBIOS a été créé en 2003 et constitue une communauté d’experts permettant le partage des expériences. Une base de connaissances à laquelle se connecte le logiciel EBIOS permet d'avoir un accès à la description d'un ensemble de vulnérabilités spécifiques, de contraintes de sécurité, de méthodes d'attaques. Elle peut être enrichie via le logiciel.

La méthode EBIOS est découpée en cinq étapes : 61

1. Etude du contexte

2. Expression des besoins de sécurité

3. Etude des menaces

4. Identification des objectifs de sécurité

5. Détermination des exigences de sécurité

de sécurité 5. Détermination des exigences de sécurité Figure 6 : Démarche EBIOS globale 6 2

Figure 6 : Démarche EBIOS globale 62

L'étude du contexte permet d'identifier le système d'information cible par l'étude. Cette étape délimite le périmètre de l'étude : présentation de l'entreprise, architecture du système d'information, contraintes techniques et réglementaires, enjeux commerciaux. Les équipements, les logiciels et l'organisation humaine de l'entreprise sont également étudiés.

L'expression des besoins de sécurité permet d'estimer les risques et de définir leurs critères. Les utilisateurs du système d’information expriment durant cette étape leurs besoins de sécurité en fonction des impacts qu'ils jugent inacceptables.

L'étude des menaces permet d'identifier les risques en fonction non plus des besoins des utilisateurs mais en fonction de l'architecture technique du système d'information. Ainsi, la liste des vulnérabilités et des types d'attaques est dressée en fonction des matériels, de

61 Robert Reix _ Systèmes d'information et management des organisations _ Edition Vuibert _ 2004 p 74

La sécurité du système d’information : Les enjeux de l’expert comptable

l'architecture réseau et des logiciels employés et ce, quelles que soient leurs origines (humaine, matérielle, environnementale) et leur cause (accidentelle, délibérée).

L'identification des objectifs de sécurité confronte les besoins de sécurité exprimés et les menaces identifiées afin de mettre en évidence les risques contre lesquels le système d’information doit être protégé. Ces objectifs vont former un cahier des charges de sécurité qui traduira le choix fait sur le niveau de résistance aux menaces en fonction des exigences de sécurité.

La détermination des exigences de sécurité permet de déterminer jusqu'où on devra aller dans les exigences de sécurité. Il est évident qu'une entreprise ne peut faire face à tout type de risques, certains doivent être acceptés afin que le coût de la protection ne soit pas exorbitant. C'est notamment la stratégie de gestion du risque tel que cela est défini dans un plan de risque qui sera déterminé ici : accepter, réduire ou refuser un risque. Cette stratégie est décidée en fonction du coût des conséquences du risque et de sa probabilité de survenance. La justification argumentée de ces exigences donne l'assurance d'une juste évaluation.

EBIOS fournit donc, la méthode permettant de construire une politique de sécurité en fonction d'une analyse des risques qui repose sur le contexte de l'entreprise et des vulnérabilités liées à son système d’information.

Section 6: Critères de choix entre les différentes méthodes

Il existe de nombreuses méthodes d'analyse des risques, certaines sont simples à utiliser. D'autres sont réservées à des grands comptes du fait de leur complexité et des ressources humaines impliquées. Il reste à choisir la méthode qui s'applique le mieux à chaque entreprise ou organisme public.

Conclusion:

Les méthodes d’évaluation du risque du système d’information sont nombreuses, une identification claire des risques est nécessaire pour asseoir une politique de protection adéquate et mettre en place en conséquence les mesures qui s’imposent.

La sécurité du système d’information : Les enjeux de l’expert comptable

Chapitre 3 : La sécurité du système d’information

Introduction:

La revue de la littérature relative au système d’information fait apparaître une certaine confusion qui s’accentue davantage par l’aspect sécuritaire, ce qui est du au fait que le concept de sécurité du système d’information se prête à la fois aux volets pratique, théorique, technique et organisationnel. En effet, le vocable sécurité du système d’information « peut éveiller dans nos esprits deux types de réaction fortement opposées. Pour certains, il sera synonyme de sécurité du système informatique, d’ordinateurs. D’autres y verront une notion abstraite amalgamant tous les mécanismes de gestion d’une organisation» 63 .

Section 1: Définition, concepts et objectifs de la sécurité du système d’information :

Sous section 1 : Définition de la sécurité :

La sécurité regroupe deux domaines fondamentaux qu’il convient de dissocier l’un de l’autre:

La sûreté de fonctionnement (safety) : « concerne l’ensemble des mesures prises et des moyens utilisés pour se prémunir contre les dysfonctionnements du système » 64 . De ce fait, la sûreté est une combinaison de méthodes et de moyens mis en œuvre pour éviter les défaillances « naturelles » dont les effets ont un caractère catastrophique.

La sécurité (security), proprement dite, « regroupe tous les moyens et les mesures prises pour mettre le système d’information à l’abri de toute agression » 65 . Il s’agit donc de l’ensemble des méthodes et moyens mis en œuvre pour se protéger contre les défaillances résultant d’une action intentionnelle.

Brièvement, la sécurité permet de se protéger des malveillances, alors que la sûreté permet de faire face aux incidents. Cependant, en pratique, la distinction n’est pas aussi nette et le responsable de la sécurité du système d’information (RSSI) est souvent confronté aux deux aspects à la fois 66 . De ce fait, au niveau de notre démarche d’audit, le concept de sécurité est primordial.

63 Ziadi jameledine _ SI, TIC, ERP, vers une approche de e-management _ Centre de Publication Universitaire _ 2004

64 Servin Claud _ Réseaux et télécoms _ Edition DUNOD _ 2003

65 Servin Claud _ Réseaux et télécoms _ Edition DUNOD _ 2003

66 Longeon Robert _ Sécurité des systèmes d’information, Sûreté de fonctionnement : Convergence et Divergence _ Atelier ssi _ 2004 p 33

La sécurité du système d’information : Les enjeux de l’expert comptable

Sous section 2 : La sécurité du système d’information (SSI) :

La première expression, de la SSI née au milieu des années 80, désigne l’ensemble des techniques propres à garantir les informations traitées ou transmises par un système d’information, au sens large, en termes de confidentialité, d’authenticité, d’intégrité et de disponibilité.

La sécurité du système d’information « c’est l’art de combiner un ensemble de mesures préventives et curatives, à la fois au plan technique et organisationnel, en vue de faire face aux menaces que l’on aura pris soin, au préalable, d’identifier et de hiérarchiser » 67 .

L’objectif central de la sécurité des systèmes d’information est de garantir qu’aucun préjudice ne puisse mettre en péril la pérennité de l’entreprise. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements induits en agissant sur les vulnérabilités des systèmes, et à autoriser le retour à un fonctionnement normal en cas de sinistre à des coûts et dans des délais acceptables.

En fait, la sécurité ne permet pas directement de gagner de l’argent mais évite d’en perdre. Ce n’est rien qu’une stratégie préventive qui s’inscrit dans une approche globale de la sécurité de système d’information 68 .

Section 2 : Les caractéristiques de la sécurité : Confidentialité, Intégrité et disponibilité.

La sécurité informatique peut être définie comme étant l’ensemble de moyens de prévention

et de détection mis en place par une société pour garantir un niveau de risque acceptable.

Selon la norme ISO 27002 69 « la sécurité du système d’information est l’état qui permet d’assurer la disponibilité, l’intégrité et la confidentialité d’un système d’information par la mise en place des mécanismes de prévention, de protection et de détection des incidents ».

A ces objectifs, il convient d’ajouter celui du non répudiation qui a vu le jour essentiellement

avec les échanges de données informatisées.

Sous section 1: La disponibilité:

La disponibilité est l’aptitude des systèmes à remplir une fonction dans des conditions prédéfinies d’horaires, de délais et de performances. Il s’agit de garantir la continuité et la permanence du service d’un ordinateur ou d’un réseau, assurer les objectifs de performance, respecter les dates et heures limites de traitement, et permettre ainsi de garantir la continuité

67 GDI Jeans-Louis Desvignes _ GDI Jeans-Louis Desvignes « les enjeux de la sécurité des systèmes d’information _ SSTIC _ 2003

68 Solange Ghernaouti-Hélie Claud « sécurité Internet ; Stratégies et technologies», Dunod, octobre 2000 _ Sécurité Internet ; Stratégies et technologies _ Edition DUNOD _ 2000

69 ISO 27002 « Technologies de l’information, code pratique pour la gestion de sécurité de l’information »

La sécurité du système d’information : Les enjeux de l’expert comptable

des échanges d’information c’est à dire de pouvoir disposer, chaque fois que le besoin se fait sentir, des possibilités de réception et de transfert.

Assurer la disponibilité de l’information, nécessite des procédures appropriées de couverture contre les accidents ainsi que des contrôles de sécurité afin de se protéger contre les suppressions inattendues ou intentionnelles des fichiers.

La disponibilité des traitements vise, quant à elle, à garantir la continuité de service des traitements, c’est à dire de pouvoir disposer des ressources en matériels et logiciels nécessaires à l’ensemble des services et utilisateurs des traitements.

Sous section 2: La confidentialité:

La confidentialité est la propriété de garder secrètes les informations avec accès aux seules entités autorisées, par la mise en place de moyens de prévention contre la divulgation non autorisée de l'information. Cela revient à empêcher un utilisateur de consulter directement une information qu'il n'est pas autorisé à connaître. Le terme information doit être pris au sens le plus large, il recouvre aussi bien les données elles mêmes que les flux d'informations et la connaissance de l'existence des données ou des communications.

D’une manière générale, assurer la confidentialité revient à assurer qu’une information n’est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés.

La sécurité de la confidentialité des systèmes d’information contre les risques de divulgation non autorisée nécessite la mise en place des actions suivantes : 70

Mettre en place un système d’authentification des utilisateurs, c'est à dire réserver l’accès aux données aux seuls utilisateurs habilités en fonction de la classification des données et des niveaux d’habilitation de chacun d’eux. La protection des informations peut se faire également au moyen de mots de passe associés à chaque objet. Garantir le secret des données échangées par deux correspondants sous forme de messages ou de fichiers. Cet objectif est en général plus recherché en cas d’échange d’informations sensibles et qui, une fois interceptées par une personne autre que le récepteur dédié, pourraient nuire aux intérêts de la société.

Sous section 3: L’intégrité:

L’intégrité est la qualité qui assure que les données ne sont ni créées, ni altérées, ni détruites de manière non autorisée. L'intégrité peut être définie comme étant la capacité du système à

70 Yves Chevalier _ Système d'information et gouvernance _ Edition DUNOD _ 2008 p 58

La sécurité du système d’information : Les enjeux de l’expert comptable

empêcher la corruption d'informations par les fautes accidentelles ou intentionnelles, et à garantir leur mise à jour correcte. 71

Selon la norme ISO 13-335-1 72 , l’intégrité est la propriété de non altération ou de non destruction de tout ou partie du système d’information de façon non autorisée. Il s’agit de garantir l’exhaustivité, l’exactitude et la validité des informations et d’éviter les modifications, faites par erreur, des informations.

Assurer l’intégrité des données, consiste à établir des contrôles aussi bien sur les entrées que sur les traitements des transactions et à sécuriser les fichiers des données cumulées de toute modification non autorisée.

L’intégrité est destinée à garantir la fiabilité et l’exhaustivité des échanges d’informations, c'est à dire garantir que les données ne subissent aucune altération ou destruction volontaire ou accidentelle durant tout le processus de transport par voie électronique, de saisie, de traitement et de conservation, en faisant en sorte que les données soient reçues comme elles ont été émises et d’avoir les moyens de les vérifier.

Dans le cas de la sécurité des systèmes de télécommunication, les menaces à l’intégrité peuvent entraîner les anomalies suivantes :

L’inintelligibilité des messages émis suite à des opérations de brouillage ; L’altération du sens du message ; La perte de l’ordre d’une suite de messages ; L’inexistence ou la non exhaustivité des messages transmis (en plus ou en moins).

Section 3: Les besoins en sécurité :

L’importance du patrimoine matériel ou informationnel pour l’organisation justifie une protection adéquate. Cependant, si la valeur pécuniaire est évidente, les informations stockées ou traitées sont encore plus précieuses pour les raisons suivantes :

Sous section 1: Importance stratégique de l’information:

L’information est la ressource la plus importante qui est devenue le facteur décisif de succès et susceptible de renforcer la compétitivité de l’organisation, notamment avec l’émergence des sociétés d’information, d’autant plus que le spectre des dommages possibles s’étend de la simple perte de données à la disparition de l’avantage concurrentiel à la suppression ou la falsification des données personnelles et à la ruine de l’entreprise 73 .

71 Yves Chevalier _ Système d'information et gouvernance _ Edition DUNOD _ 2008 p 93

72 ISO 13-335-1 « concepts et modèles pour le management de la sécurité des TIC »

73 L’Institut Français des Auditeurs Consultants Internes en collaboration avec IBM et Price Waterhouse « Module 8 : Sécurité » SAC Report, Février 1993.

La sécurité du système d’information : Les enjeux de l’expert comptable

Sous section 2: Dépendance de la prise de décision par rapport aux informations:

Tout le processus décisionnel est alimenté par les informations qui sont censées guider et orienter les décideurs tout au long de ce processus 74 .

Sous section 3: Exigences formulées par des tiers:

Les partenaires de l’entreprise, les clients, les fournisseurs, le personnel, le public sont en droit d’exiger d’une organisation le respect de la confidentialité des informations 75 .Notamment avec l’apparition des entreprises étendues marquées par la dépendance accrue de l’entreprise vis-à-vis de ses partenaires 76 .

Sous section 4: Les enjeux juridiques:

Parmi les trois dossiers juridiques jugés prioritaires par les responsables de la sécurité, il y a lieu de citer l’archivage et la conservation des données, la responsabilité des hébergeurs et des prestataires techniques, la gestion des données personnelles des clients. D’autres dossiers sont jugés également importants : le cyber surveillance des salariés, la signature électronique 77 .

A l’heure actuelle, la réglementation en vigueur en Tunisie concernant la sécurité de

l’information est en perpétuelle évolution, les principaux textes sont :

La loi n° 2004-5 février 2004, relative à la sécurité informatique. Le décret n° 2004-1248 du 25 mai 2004, fixant l’organisation administrative et financière et les modalités de fonctionnement de l’Agence Nationale de la Sécurité Informatique. Le décret n° 2004-1249 du 25 mai 2004, fixant les conditions et les procédures de certification des experts auditeurs dans le domaine de la sécurité informatique. Le décret n° 2004-1250 du 25 mai 2004, fixant les systèmes informatiques et les réseaux des organismes soumis à l’audit périodique obligatoire de la sécurité informatique et les critères relatifs à la nature de l’audit et à sa périodicité et aux procédures de suivi de l’application des recommandations contenues dans le rapport d’audit.

Section 4: la normalisation internationale en matière de sécurité.

Concernant la genèse du concept de sécurité, il faut remonter au début des années 80 lorsque

la sécurité a concerné en premier lieu le domaine informatique, en se manifestant par la

publication des travaux Américains « Orange Book » publié en 1983 et utilisé par le Département de la Défense Américain qui a établi des critères permettant de classer les

74 O’Brien J « Introduction aux systèmes d’information : un outil essentiel pour l’entreprise branchée » Cheneliere/Mc Graw-Hill 2001

75 Jackson, Carl B. “The Need for Security” Datapro Reports on Information Security: Concepts and Issues. Delran, NJ: Datapro Research, October 1990.

76 Dominique George _ Etude mondiale Ernest&Young sur la sécurité des systèmes d’information en 2004 _ Ernest&Young _ 2004.

77 Buffart P, Amilhat. B, _ Sécurité des systèmes d’information : Quelle politique globale de gestion des risques ? _ Edition CIGREF _

2002

La sécurité du système d’information : Les enjeux de l’expert comptable

systèmes informatiques selon le niveau de confiance qui leur est accordé 78 . Par la suite, quatre pays européens ont décidé d’harmoniser leurs critères par la publication des ITSEC 79 .

Pour aboutir à la convergence américano-européenne dans ce domaine, des « critères communs » furent publiés en 1999 et un accord de reconnaissance mutuelle fut alors signé entre six pays : ces critères allaient ensuite être adoptés en tant que une norme ISO 15408 » 80 .

Pour mettre en œuvre de bonnes pratiques de gestion de la sécurité de l’information dans le sens le plus large et mettre sur pied une politique de sécurité, la norme BS 7799 / ISO 27002 a été publiée depuis l’année 2000 pour servir de référence en tant que norme internationale reconnue dans le domaine de la sécurité des systèmes d’information, et largement utilisée à travers le monde 81 .

Sous section 1: Direction centrale de la sécurité des systèmes d’information (DCCI):

Plusieurs typologies des normes et méthodes de sécurité des systèmes d’information peuvent être dressées. À titre d’exemple, nous citerons la classification construite par la DCSSI (Direction centrale de la sécurité des systèmes d’information).

La DCSSI distingue d’un côté les « catalogues SSI » et de l’autre, les « méthodes SSI ».

1- Catalogues SSI:

Le terme « catalogue SSI » est employé pour tous les recueils de mesures, d’exigences, de vulnérabilités ou autres éléments sans démarche méthodologique. Parmi ceux-ci, nous pouvons citer:

Les bonnes pratiques et mesures de sécurité : IT Baseline Protection Manual (BSI allemand), ISO 17799, ISO 13335, ACSI 33 (DSD australien), CM 5515 (Otan) ; La politique de sécurité : PSI (DCSSI), ISPME (CSE canadien), RFC 1244 (IETF) Les catalogues pour l’évaluation de produits : TCSEC (DoD américain), ITSEC (CEE), ISO 15408… Les catalogues spécifiques : sécurité des réseaux : MG-1 (CSE canadien), sécurité des sites: RFC 2196 (IEFT), sécurité des interconnexions : AC35-D/1027 (OTAN), modèle de maturité SSI : SSE-CMM (ISSEA) ;

78 Bauknecht. K _ Information Security Mnangement _ Solms & Eloff _ 2000 79 ITSEC «Information Technology Security Evaluation Criteria». Juin 1991.

80 GDI Jeans-Louis Desvignes _ Les enjeux de la sécurité des systèmes d’information _ Edition SSTIC _ 2003

81 Yosecure _ Norme de sécurité internationale ISO/IEC 17799 : V 2000. Code de bonne pratiques pour la sécurité de l’information _ Yosecure _ 2003

La sécurité du système d’information : Les enjeux de l’expert comptable

2- Méthodes SSI:

Le terme de « méthode SSI » désigne quant à lui les démarches de sécurité reposant sur une méthode. Parmi celles-ci, nous pouvons citer : 82

Les méthodes contribuant à la gestion du risque SSI : Ebios (DCSSI), Marion, Mehari (Clusif), MV3 (CF6), Cramm (CCTA anglais), Ninah (XP CONSEIL), Risk Management Guide, MG-2 (CSE canadien), SP800-30 (NIST), IAM (NSA), Buddy System (Countermeasures Corp.) Les méthodes d’audit ou contrôle interne SSI : Massia (DGA), ERSI (Forum des compétences), IPAK (CSI), SP800-26 (NIST) Les méthodes d’intégration de la SSI dans les projets : DSIS (DCSSI), Incas (Clusif), Orion (Cersiat) Les méthodes globales incluant des aspects SSI : Cobit… Les guides de rédaction : Feros, SSRS, SP800-18… Les autres méthodes : Domaines spécifiques : Messedi, Muse…

Sous section 2: Les normes de sécurité du système d’information :

Parmi les normes, nous pouvons distinguer :

Les normes internationales organisationnelles : les GMITS, Guidelines for the management of IT Security, (ISO/IEC TR 13335) la norme ISO 27002 (Code of practice for information security management) en phase de révision, issu de la norme britannique BS 7799 Part 1 – 1999 ; Les normes internationales techniques : la norme ISO/IEC 15408 (Evaluation criteria for IT security) (cette norme est tirée des « common criteria »), ISO/IEC WD 15947 (norme en cours de discussion, portant sur le cadre des détections d’intrusions) ; Les normes internationales de diagnostic et de qualité : ISO/IEC 19011 (Audit), ISO 9004 (Qualité) ; Les normes nationales organisationnelles : BS 7799-1 (Code of practice for information security management, élaborée par le British Standard Institute, à l’origine de la norme) ; ISO 27002 ; Les normes nationales d’évaluation : BS 7799-2 (Specification for information security management systems, élaborée par le British Standard Institute). Le schéma ci-dessous dresse le panorama des méthodes développées et normalisées à travers le monde en matière de sécurité soit par les gouvernements et les associations, ou les entreprises:

82 Patrick Boulet _ Plan de continuité d'activité : Secours du système d'information _ Edition Lavoisier _ 2008

La sécurité du système d’information : Les enjeux de l’expert comptable

d’information : Les enjeux de l’expert comptable Figure 7:Cartographie des principales méthodes SSI dans le

Figure 7:Cartographie des principales méthodes SSI dans le monde 83

Sous section 3 : Présentation de la BS 7799 et ISO 27002 :

La norme BS 7799 se présente en deux parties 84 :

ISO 27002. Code de bonnes pratiques relatif à la gestion de la sécurité d’information. BS 7799.Part 2: Spécifications relatives au Système de management de la Sécurité de l’Information SMSI.

BS 7799 BS 7799-1 Code de bonnes pratiques pour la gestion de la sécurité d’information.
BS 7799
BS 7799-1 Code de bonnes pratiques
pour la gestion de la sécurité
d’information.
BS 7799-2 :2002 Système de
management de la sécurité de
l’information
ISO 17799/IEC : 2000
ISO 27001/IEC : 2005
ISO 17799/IEC : 2005
ISO 27002 : 2007

Figure 8: Evolution de la norme BS 7799

83 www.cigref.fr , Sécurité des systèmes d’information, Quelle politique globale de gestion des risques ?

84 Olivier. Luxereau « ISO 17799/IEC la sécurité et la norme » l’informatique professionnelle n 220, Janvier 2004.

La sécurité du système d’information : Les enjeux de l’expert comptable

1- ISO 27002 « Gestion de la sécurité d'information - Code Pratique pour la gestion de la sécurité d'information »:

Il s’agit de la première partie de la norme BS 7799-1: ISO 27002 est une émanation de la norme BS 7799-1 apparue en 1995, finalisée en 1999 et élaborée par l’organe de normalisation britannique le BSI (British Standards Institution). La norme ISO 27002 est un ensemble de règles ou de recommandations décrivant les meilleures pratiques en matière de sécurité d’information. C’est un guide de bonnes pratiques de sécurité, dans une acception très large du terme.

2- La seconde partie : BS 7799-2:

BS 7799-2 fournit les exigences portant sur la mise en œuvre d’un système de management de la sécurité de l’information et sert ainsi de cadre à la mise en œuvre de la BS 7799-1. Elle recommande une analyse des risques et l’identification des principales règles à contrôler. Le schéma de certification autour de cette norme (BS 7799-2) a été mis en place en 1998.

3- Complémentarité d’ISO 27002:

« Le succès de la norme ISO 27002 s’explique en partie par sa flexibilité et sa complémentarité avec les autres normes existantes en sécurité de l’information et des technologies de l’information » 85 .

La norme ISO 13335, appelé aussi GMITS (Guidelines for the management of IT Security), aborde les aspects technologiques liés au traitement de l’information et apporte une valeur ajoutée à l’approche d’évaluation des risques. Il est d’ailleurs recommandé d’utiliser le quatrième guide (Part 4 : Selection of safeguards) proposé dans ISO 13335 pour enrichir les contrôles suggérés dans l’ISO 27002 86 .

D’autre part, il existe une forte complémentarité avec la norme ISO 15408, mieux connue sous le nom « critères communs », qui permet de durcir la technique, tandis qu’ISO 27002 couvre davantage les aspects organisationnels de la sécurité de l’information.

En résumé, ISO 15408 peut aider à respecter ISO 27002 87 .

D’autres liens de complémentarité existent entre l’ISO 27002 et les autres normes telles que: 88

ISO 15947 : Cadre de détection des intrusions.

85 Jean-Damien RUBAL _ Mise en œuvre d’un SMSI et déploiement de politique de sécurité BS 7799/ ISO 27002 _ Callio Technologies Europe _ 2004

86 Bauknecht. K _ Information Security Mnangement _ Solms & Eloff _ 2000.

87 Daniel Marc _ Sécurité du système d’information _ Ecole Supérieur d’ingénieurs de Luminy _ 2004

88 Eloff, Frangopoulos _ A Comparative Study of Standards and Practices Related to Information Security Management _ Department of computer science and Information Systems UNISA _ 2003

La sécurité du système d’information : Les enjeux de l’expert comptable

ISO 18043 : directives pour l’implémentation, exploitation et gestion de système de détection des intrusions ISO 18044 : Gestion des incidents. ISO 17944 : Systèmes financiers. ISO 18028 : Gestion des communications. ISO 14516 : Sécurité dans le e-commerce. ISO 19790 : Exigences de la sécurité pour les modules cryptographiques. ISO 19791 : Evaluation de la sécurité des systèmes d’exploitation. ISO 19792 : Cadre pour l’évaluation et l’essai de la technologie biométrique.

De surcroît, ISO 27002 propose une harmonisation avec d’autres normes, comme ISO 9000 :2000 concernant le système de management de la qualité et ISO 14001, 1996 relative au système de management de l’environnement.

Section 5: La sécurité de l’information : une responsabilité du management

La sécurité des systèmes d’information est une discipline transversale qui couvre des aspects très variés. Elle est donc la responsabilité des généralistes qui sont polyvalents et ont su acquérir plusieurs spécialités adaptées concrètement au domaine dont ils ont la responsabilité.

Ces généralistes spécialisés ne peuvent mener à bien leur mission qu’avec le soutien sans faille et l’engagement de leur directeur. En effet, « le directeur doit être informé des risques et des vulnérabilités de son système d’information. Il doit être conscient des enjeux pour qu’il puisse, avec l’aide de ces hommes de l’art, définir la politique de sécurité» 89 .

La sécurité des systèmes d’information est une fonction de direction, les aspects techniques ne venant qu’en second lieu. En effet, le responsable de la sécurité doit être en mesure d’apprécier les risques et de les gérer, d’organiser la mise en œuvre des dispositifs de sécurité, s’appuyer sur des normes et des méthodes, identifier les coûts et prévoir le retour en investissement.

Certes, la sécurité coûte cher si l’entreprise choisit des mesures de sécurité (technologie très sophistiquée) sans se poser la question de leur efficacité vis-à-vis des scénarios de risques réels. Par contre, la sécurité ne coûte pas cher quand elle est corrélée à des risques réels et spécifiques à l’entreprise qui ont des impacts financiers. 90

En fait, l’évaluation du retour sur investissement des dépenses consacrées à la sécurité n’est pas une chose aisée. Il est difficile de quantifier le coût d'un sinistre sur des éléments intangibles tels que la perte d'image ou la réputation, ou encore de valoriser les informations

89 Longean R, et Archimbaud J _ Guide de la sécurité des systèmes d’information à l’usage des directeurs _ CNRS _ 1999

90 Longean R, et Archimbaud J _ Guide de la sécurité des systèmes d’information à l’usage des directeurs _ CNRS _ 1999

La sécurité du système d’information : Les enjeux de l’expert comptable

perdues pour estimer le coût des sinistres. 91 Ainsi, l’absence d’enregistrement des incidents de sécurité, la justification des mesures de sécurité, restent encore compliquées.

Cependant, le coût de la sécurité doit être inférieur au coût potentiel de l’insécurité. L’aspect potentiel de l’insécurité rend les prises de décision difficiles. Donc, la sécurité a un coût élevé, à maîtriser et à accepter. 92

Certains pensent ainsi que la sécurité de l’information est assurée par la protection des réseaux et de l’infrastructure informatique et par la mise en œuvre des dernières solutions technologiques. De ce fait, la sécurité est une problématique technique, appelant en réponse un produit ou un service. Les perceptions restrictives de la sécurité informatique ont conduit certains à imaginer qu'il s'agit là d'une "affaire" strictement placée sous le contrôle des seuls spécialistes informatiques. 93

Alors que les questions sécuritaires sont d'abord -et avant tout- conceptuelles, stratégiques, globales pour devenir des préoccupations techniques, opérationnelles et analytiques, 94 la sécurité est un processus métier transverse, qui doit soutenir toutes les activités, notamment les activités stratégiques de l’entreprise.

La sécurité de l'information est un concept à 80% d'ordre organisationnel et à 20% technologique. Il faut savoir comprendre et gérer les risques spécifiques, organiser un projet sécurité, s'appuyer sur des normes et des méthodes, identifier les coûts et les gains. Il en résulte, que le problème de sécurité est d’autant plus organisationnel que technique. 95

Pour certains, la sécurité relève de la responsabilité du directeur des systèmes d’information ou encore le directeur informatique. 96 Certes, ces directions traitent certains aspects cruciaux de la sécurité tels que le contrôle d’accès, la gestion des mots de passe, l’anti-virus….

Mais l’inconvénient réside dans le fait qu’elles agissent dans le sens de dimension outils et techniques. 97

La sécurité est un concept plus large et concerne tout le système du contrôle interne. De ce fait, il faut impliquer et responsabiliser tout le personnel dans le processus de sécurité.

91 Geyres Stéphane _ La sécurité des systèmes d’information dans les entreprises Française en 2003 : un zoom _ Ernest&Young _ 2003

92 Daniel Marc _ Sécurité du système d’information _ Ecole Supérieur d’ingénieurs de Luminy _ 2004

93 Geyres Stéphane _ La sécurité des systèmes d’information dans les entreprises Française en 2003 : un zoom _ Ernest&Young _ 2003

94 Kamoun, M _ Audit de la sécurité du système d’information et de communication : sécurité informatique, un nouvel avantage

concurrentiel _ Economiste Magrébin _ 2003

95 Yosecure _ Norme de sécurité internationale ISO/IEC 17799 : V 2000. Code de bonne pratiques pour la sécurité de l’information _ Yosecure _ 2003

96 Geyres Stéphane _ La sécurité des systèmes d’information dans les entreprises Française en 2003 : un zoom _ Ernest&Young _ 2003

97 AFAI «Enquête : le management de la sécurité informatique» www.afai.fr

La sécurité du système d’information : Les enjeux de l’expert comptable

D’autre part, certains mythes autour de la sécurité laissent penser que les menaces venant de l’extérieur sont la plus large source de risques. Pour assurer la sécurité, il convient donc de procéder périodiquement à des tests d’intrusions et à la mise en place des firewalls.

Ce constat découle du fait qu’il est plus facile pour une entreprise d’avouer qu’elle s’est faite piratée de l’extérieur plutôt que de l’intérieur. Mais les enquêtes approfondies ont démontré que plus de 70% des attaquants faisaient partie de l’entreprise. 98

En effet, les attaques venant de l'intérieur peuvent représenter le danger le plus important aux entreprises (vol d'informations critiques, détournement de fonds, sabotage, dénigrement

d'image de l'entreprise,

).

Sous section 1: Implication de la direction :

La direction doit fournir la preuve de son implication dans l’établissement, la mise en œuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l’amélioration du SMSI, par :

L’établissement d’une politique relative au SMSI, L’assurance que des objectifs et des plans pour le SMSI sont établis, La définition des rôles et des responsabilités pour la sécurité de l’information, La sensibilisation de l’organisme à l’importance de satisfaire aux exigences relatives à la sécurité de l’information et de respecter la politique en matière de sécurité de l’information, à ses responsabilités au titre de la loi et à la nécessité d’une amélioration continue, La fourniture de ressources suffisantes pour l’établissement, la mise en œuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l’amélioration du SMSI La détermination des critères d’acceptation des risques et des niveaux de risque acceptables, L’assurance que des audits internes du SMSI sont menés La réalisation de revues de direction du SMSI.

Sous section 2: Management des ressources :

1- Mise à disposition des ressources :

L’organisme doit déterminer et fournir les ressources nécessaires pour :

Etablir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer un SMSI, Assurer que les procédures de sécurité de l’information soutiennent les exigences métier.

98 Dominique George «Etude mondiale Ernest&Young sur la sécurité des systèmes d’information en 2004» Ernest&Young, Novembre 2004

La sécurité du système d’information : Les enjeux de l’expert comptable

Identifier et traiter les exigences légales et réglementaires, ainsi que les obligations de sécurité contractuelles, Maintenir une sécurité adéquate par une application correcte de toutes les mesures mises en œuvre, Effectuer des réexamens si nécessaire, et réagir de manière appropriée aux résultats de ces réexamens, Améliorer, le cas échéant, l’efficacité du SMSI.

2- Formation, sensibilisation et compétence :

L’organisme doit s’assurer que le personnel à qui a été affecté les responsabilités définies dans le SMSI, a les compétences nécessaires pour exécuter les tâches requises, en :

Déterminant les compétences nécessaires pour le personnel effectuant un travail ayant une incidence sur le SMSI Fournissant la formation ou en entreprenant d’autres actions pour satisfaire ces besoins, Evaluant l’efficacité des actions entreprises, Conservant les enregistrements concernant la formation initiale et professionnelle, le savoir-faire l’expérience et les qualifications.

L’organisme doit également s’assurer que tout le personnel approprié a conscience de la pertinence et de l’importance de ses activités liées à la sécurité de l’information et de la façon dont ces dernières contribuent à l’atteinte des objectifs du SMSI.

Conclusion:

De plus en plus le Système d'Information (SI) devient «la pierre angulaire» de tout organisme, de part le fait que l’information en elle-même est une des ressources stratégiques. Il est alors plus aisé d’en admettre l’importance, d’en organiser sa protection. Ainsi, la sécurité du système d’information est devenue une responsabilité de management.

La sécurité du système d’information : Les enjeux de l’expert comptable

Chapitre 4 : Le management de la sécurité du système d’information (SMSI)

Introduction:

Le système d’information est un ensemble de moyens humains, logiciels et matériels permettant d’assurer la saisie, le stockage, le traitement et la diffusion de l’information. Ainsi est-il considéré comme étant la préoccupation majeure de l’entreprise? Cependant, il est devenu la cible de ceux qui convoitent l’information. De ce fait, il est nécessaire de mettre en place les dispositifs permettant la protection de l’information, et les mesures adéquates se matérialisant par un Système de Management de la Sécurité de l’Information SMSI.

Section 1 : Définition d’un SMSI :

« Un SMSI est un ensemble d’éléments interactifs permettant à un organisme d’établir une politique et des objectifs en matière de sécurité de l’information, d’appliquer la politique, d’atteindre ces objectifs et de contrôler l’atteinte des objectifs ». 99

En effet, le SMSI est un ensemble de mesures organisationnelles et techniques qui sert à: 100

Assurer la sécurité d’une manière permanente et régulière ; Rendre véritable de façon formelle cette sécurité ; Fournir la confiance aux parties prenantes et partenaires économiques.

Le SMSI doit être établi, documenté, mis en œuvre et entretenu. Basé sur une approche de risque d’affaires, son efficacité et son efficience sont mesurées par rapport aux objectifs de l’entité, et cette mesure permet d’améliorer en permanence le SMSI.

De surcroît, le SMSI est en cohérence et compatible avec les autres systèmes de management de l’entité, notamment avec le système de management de la qualité, de la sécurité des conditions de travail, et de l’environnement. 101

Le SMSI comporte essentiellement: 102

La documentation et les références en matière de sécurité telles que l’élaboration d’une politique, la description des objectifs, d’une charte, ou une cartographie des processus, la détermination des activités et des mesures de sécurité, etc…;

99 CLUSIF « Management de la sécurité d’information. Une approche normative : BS7799-2 », Paris, Décembre 2004

100 Fernandez Alexandre «Pourquoi et Comment lancer un projet 7799» HSC Hervé Schauer Consultants. 2004

101 Huynh. Frédéric « La certification sécurité des entreprises : enjeux des normes ISO 17799 et BS 7799-2» Colloque EPF, Ernest&Young

2004

102 Carlson Tom, « Information Security Management: Understanding ISO 17799 » Lucent Technologies Worldwide Services. September

2001

La sécurité du système d’information : Les enjeux de l’expert comptable

La description de la méthode d’évaluation et de management de risque adoptée par l’organisme ; Les processus impliqués dans la mise en œuvre de la sécurité d’information ; Les responsabilités et l’attribution des devoirs et obligations relatifs à la sécurité de l’information ; L’allocation adéquate des ressources et des moyens nécessaires à sa mise en œuvre ; Les activités relatives à la sécurité de l’information ; Les enregistrements et les comptes rendus issus des activités relatives à la sécurité de l’information ; Les actions relatives à l’amélioration continue de la sécurité de l’information.

En fait, l’instauration d’un SMSI dans l’organisme offre une assurance raisonnable et renforce la confiance dans le mode de gestion de la sécurité de l’information.

Section 2 : La mise en place d’un SMSI :

La décision de mise en place d’un SMSI est stratégique pour chaque entité. En effet, sa conception et son organisation, sa mise en place dépendent des spécificités et des besoins propres de chaque organisme. Ces besoins sont eux-mêmes fonction du métier de l’organisme et des exigences de sécurité qui en résultent.

Cependant, il y a une démarche normative pour initialiser le SMSI au sein de toute organisation qui consiste à: 103

Déterminer le périmètre concerné (fonctionnel, organisationnel, géographique, etc.) ; Identifier parmi les processus de ce périmètre, ceux qui sont concernés par la sécurité de l’information, et leurs risques associés ; Déterminer les exigences (objectifs, référentiels, méthodes, etc.) nécessaires pour assurer la sécurité des processus ; Définir les mesures de sécurité nécessaires pour se conformer aux exigences exprimées.

Il en résulte que le processus nécessaire pour l’instauration d’un SMSI doit comporter essentiellement; 104

Les activités de management ; La mise à disposition des ressources et moyens requis ; La réalisation des produits et des services ; Les mesures et l’amélioration continue.

103 CLUSIF « Management de la sécurité d’information. Une approche normative : BS7799-2 », Paris, Décembre 2004

104 Eloff Jan, Eloff Mariki “Information Security Management- A New Paradigm” 2003. University of South Africa

La sécurité du système d’information : Les enjeux de l’expert comptable

Eventuellement, si l’organisme en question recourt à l’externalisation d’un processus ayant des répercussions sur la sécurité, il doit prévoir dans le SMSI les moyens de maîtrise nécessaires

Toutefois, il est admis que le SMSI varie d’une organisation à l’autre, mais une sensibilisation

à la sécurité est fondamentale. Il serait illusoire de chercher à mettre en place un SMSI, s’il n’y a pas préalablement une forte culture de sécurité, qui se traduit par une assistance permanente entre les managers et le personnel pour l’adaptation et l’amélioration du SMSI. Il

y aura collaboration, concertation et donc efficacité du SMSI. Finalement, il n’est pas permis de parler de SMSI sans évoquer le BS7799-2 ou encore ISO 27001.

Section 3 : Le SMSI et Le PDCA d’Edward Deming: 105

L’ISO 27001 « Exigences pour les systèmes de gestion de la sécurité de l’information » a été établie afin d’assister les managers et l’ensemble de personnel, en proposant un modèle pour une mise en œuvre permettant de gérer d’une manière efficace et efficiente le système de management de la sécurité d’information.

L’ISO 27001 s’appuie sur une approche processus. Dans ce sens, P. Lorino définit « le processus comme un ensemble d’activités reliées entre elles par des flux d’informations ou de matières significatives et qui se combinent pour fournir un produit matériel ou immatériel important et bien défini » 106 .

ou immatériel important et bien défini » 1 0 6 . Figure 9: Relation ISO 27001

Figure 9: Relation ISO 27001 et ISO 27002 107

Cette approche est basée sur une version transversale pour « définir, implémenter, mettre en fonction, maîtriser et améliorer l’efficacité de l’organisation d’un SMSI». 108

105 Matthieu Bennasar, Alain Champenois, Patrick Arnould, et Thierry Rivat _ Manager la sécurité du SI :

Planifier, déployer, contrôler, améliorer _ Edition DUNOD _ 2007

106 Philippo. Lorino « Le déploiement de la valeur par processus » Revue Française de Gestion, Juin-Juiellet-Août, 1995

107 Cours Mme Olya Bahloul université TIME

La sécurité du système d’information : Les enjeux de l’expert comptable

En effet, la démarche du British Standard suit le modèle « Plan, Do, Check, ACT » (PDCA), connu aussi sous le nom de « Roue de Deming » ; l’approche processus met ainsi l’accent sur l’importance des étapes suivantes : Planifier, implémenter, contrôler et améliorer : 109

Planifier, implémenter, contrôler et améliorer : 1 0 9 Figure 10: Système de management de la

Figure 10: Système de management de la sécurité de l’information

Première étape : Planifier « Plan » : Une bonne compréhension en matière de sécurité de l’information au regard du business est nécessaire pour l’élaboration de SMSI qui se traduit par la définition de la politique de sécurité, des processus et des procédures relevant de la gestion de la sécurité, ainsi que les objectifs de sécurité qui sont en harmonie avec la politique générale de l’organisme, cette étape comporte essentiellement: 110

Identification du périmètre de SMSI ; Identification et évaluation des risques ; Etablissement du plan de gestion des risques ; méthode choisie pour gérer le risque ; contrôle mis en place ; traitement de risque (acceptation, transfert, réduction de risque à un niveau acceptable) ; L’établissement d’une déclaration d’applicabilité (Statement of applicability SAO) ; L’établissement d’un document obligatoire en vue d’une certification ;

Deuxième étape : Implémenter « Do » : il s’agit de la mise en œuvre et du fonctionnement du SMSI dans un contexte de management de l’ensemble des risques de l’organisation ; en

108 CLUSIF, 2010 Menaces Informatiques et Pratiques de Sécurité en France Edition 2010 www.clusif.asso.fr

109 Norme ISO 27001 : 2005

110 Fernandez Alexandre «Pourquoi et Comment lancer un projet 7799» HSC Hervé Schauer Consultants. 2004

La sécurité du système d’information : Les enjeux de l’expert comptable

d’autres termes, la mise en œuvre de la politique de sécurité, des mécanismes, des processus, des procédures, et des contrôles se traduit par :

Une allocation des ressources (personnels, temps, argent). La rédaction de la documentation. La formation du personnel concerné. La gestion du risque.111 Pour les risques acceptés : Rien à faire.

Pour les risques transférés : Assurances, partenariats etc.

Pour les risques à réduire :-

Implémenter les contrôles identifiés dans la phase précédente,

- Assignation des responsabilités,

- Identifier les risques résiduels.

Troisième étape : Contrôler et Réviser « Check » : Evaluer, selon des critères de mesure, les performances de la politique de sécurité par rapport aux objectifs et aux bonnes pratiques. Il s’agit de la surveillance et de la révision des performances et de l’efficacité du SMSI :

Vérification de routine. Apprendre des autres. Audits périodiques du SMSI:

Conduit à la constatation que les contrôles ne réduisent pas de façon effective les risques pour lesquels ils ont été mis en place. Identification de nouveaux risques non traités. Tout autre type d’inadaptation de ce qui est mis en place.

Quatrième étape : Maintenir et Améliorer « Act » : Réalisation des actions préventives et correctives, visant à l’amélioration permanente du système de management de la sécurité de l’information.

Prendre les mesures résultant des constatations faites lors de la phase de vérification. Actions correctives et préventives

Section 4 : La norme ISO 27001 et le SMSI :

A l’instar de la norme BS7799-2, l’ISO 27001 est une référence de base permettant la mise en œuvre du système de management de la sécurité d’information. Il convient ainsi, de décrire son champ d’application et sa structure. L’ISO 27001 définit les exigences pour planifier, mettre en place, contrôler et améliorer un SMSI. Elle est universelle, s’applique à tout

111 Fernandez Alexandre «Pourquoi et Comment lancer un projet 7799» HSC Hervé Schauer Consultants. 2004

La sécurité du système d’information : Les enjeux de l’expert comptable

organisme, mais aussi à toute unité opérationnelle, toutes divisions au sein d’une entreprise ou tout site géographique. 112

Au sein de l’organisme, la norme concerne aussi bien le système informatique que les aspects organisationnels (humains et physiques), les processus d’affaires.

La norme est structurée en deux parties distinctes :

Sous section 1: La première partie :

Concerne le corps du document qui définit les concepts de SMSI, ainsi, le modèle de « Plan, Do, Check, ACT » (PDCA) et insiste sur les tâches, l’implication et le soutien ferme et permanent du management.

Dans cette partie, la norme aborde les thèmes suivants :

La notion de SMSI au travers de l’approche « processus » et du modèle PDCA. La complémentarité entre le SMSI et les autres systèmes de management tels que la qualité, l’environnement. Les taches et les jalons de la dynamique d’un SMSI. Les implications et les responsabilités du management relatives à un SMSI. L’amélioration continue du SMSI.

Sous section 2: La seconde partie comporte les annexes (ABCD):

L’annexe A est normative, signifie qu’elle est d’application obligatoire pour se conformer à la norme BS7799-2. Elle présente les objectifs de maîtrise de la sécurité en reprenant les thèmes directeurs de tous les chapitres du document ISO27002.

Quant aux annexes B, C, et D, elles sont informatives. Concernant l’annexe B, elle présente d’une manière générique les actions à mettre en place à chaque phase du cycle PDCA. L’annexe C établit respectivement les convergences entre les différents systèmes de management (ISO 9001 :2000, ISO 14001 :1996, BS7799-2 :2002). Enfin, l’annexe D présente les évolutions et les restructurations survenues sur les versions antérieures de la norme dans BS7799-2 :2002.

Conclusion:

L’objectif central du SMSI est précisément de définir un processus qui aboutit à l’amélioration constante de la sécurité de l’entreprise face aux risques. Pour que le management de la sécurité soit pertinent, il faut commencer par une véritable gestion de risque qui doit être mise en place par l’entité.

112 Huynh. Frédéric « La certification sécurité des entreprises : enjeux des normes ISO 17799 et BS 7799-2» Colloque EPF, Ernest&Young

2004

La sécurité du système d’information : Les enjeux de l’expert comptable

Conclusion de la Première Partie

Les systèmes d’information sont composés de plusieurs modules, sous-systèmes ou applications et des infrastructures permettant de recueillir (collecter et saisir), traiter, stocker, prendre et véhiculer l’information. Ils sont de plus en plus intégrés, ouverts et complexes et permettent de prendre en charge la majorité des processus de l’entreprise ou de l’organisation.

Dans une économie de plus en plus mondialisée et libéralisée, les systèmes d’information sont devenus un levier stratégique pour les entreprises et pourront constituer un avantage concurrentiel s’ils sont gérés d’une manière efficace et efficiente.

Face à ce nouvel environnement contraignant, l’organisation de la fonction informatique dans les entreprises performantes a été repensée de façon à être réactive et en adéquation avec la stratégie de l’entreprise.

Au cours de cette partie, nous avons exposé les menaces, les vulnérabilités, les attaques et les agressions du système d’information ainsi que les méthodes d’évaluation du risque auquel il est exposé.

Par ailleurs, nous avons souligné que l’évolution, la complexité et l’ouverture des systèmes d’information sur les partenaires de l’entreprise s’accompagnent le plus souvent par de nouveaux risques. Ces derniers, qui sont liés à l’environnement et à l’organisation de l’entreprise, rendent les systèmes d’information vulnérables. En effet, s’ils ne sont pas bien encadrés par le dispositif du contrôle interne, ils peuvent engendrer de lourdes conséquences pour les entreprises. Les facteurs de ces risques ont été synthétisés dans cette première partie du mémoire.

Au cours de cette même partie, nous avons défini la notion de la sécurité du système d’information et énuméré ses caractéristiques. Egalement, nous avons présenté les normes internationales en matière de sécurité tout en signalant que la sécurité du système d’information est une responsabilité de management. Et enfin, nous avons exposé le management de la sécurité du système d’information (SMSI) à partir du modèle de gestion de la qualité Roue de Deming ou le PDCA (Plan, Do, Check, Act) d’Edward Deming.

La mission de l’audit financier, qui repose aujourd’hui largement sur le contrôle interne des entreprises, devra être adaptée et complétée de façon à prendre en considération les risques et les contraintes imposés par le nouvel environnement des entreprises.

En effet, dans un milieu informatisé, il est devenu très difficile de certifier les états de synthèse sans auditer préalablement les systèmes d’information.

La sécurité du système d’information : Les enjeux de l’expert comptable

Les menaces, les vulnérabilités, les attaques et les agressions du système d’information sont illimitées, et sont difficiles à gérer. Le souci majeur de chaque organisation est de mettre sur pied les dispositifs et les mesures de sécurité afin de protéger la confidentialité et l’intégrité des informations et assurer leur disponibilité en temps opportun. Il convient donc de mettre le système d’information à l’abri de toute agression pouvant affecter le fonctionnement normal ou menacer la pérennité de l’organisation.

L’objectif de sécurité ne peut être atteint qu’avec l’instauration d’une véritable stratégie de sécurité du système d’information qui porte sur les aspects organisationnels et techniques.

En effet, les organisations doivent savoir identifier, évaluer, gérer et maîtriser les risques auxquels elles sont exposées en se basant sur les méthodes de management de risques les plus adéquates. Ainsi, elles doivent mettre en place une politique de sécurité permettant de déterminer les objets à sécuriser, identifier les menaces à prendre en compte, définir le périmètre de sécurité, spécifier l’ensemble des lois, règlements en se référant aux bonnes pratiques, aux normes et aux standards internationaux. Il en découle que, toute organisation doit recourir à un audit de sécurité de son système d’information permettant de mettre en œuvre d’une manière permanente la meilleure stratégie de sécurité.

Face à ce nouveau contexte d’intervention, caractérisé entre autres, par la dématérialisation des informations et l’automatisation des contrôles, il est de plus en plus difficile pour l’auditeur financier de forger son opinion sans concevoir une approche approfondie de la sécurité du système d’information.

Il devient impératif pour l’expert comptable d’examiner la sécurité du système d’information en vue d’émettre une opinion sur la régularité et la sincérité des états financiers. Ainsi, l’audit de la sécurité du système d’information s’avère une nécessite dans le processus de l’audit financier. De même, cet audit peut être réalisé par l’expert comptable dans le cadre de ses travaux de conseil et d’organisation auprès des entreprises.

Aussi, la deuxième partie de ce mémoire sera-t-elle consacrée à l’examen de l’audit de la sécurité du système d’information dans l’objectif de proposer une démarche d’audit correspondante à mettre à la disposition des experts comptables.

DEUXIEME PARTIE : AUDIT DE LA SECURITE DU SYSTEME D’INFORMATION

La sécurité du système d’information : Les enjeux de l’expert comptable

Introduction à la Deuxième Partie

Après avoir exposé les menaces qui pèsent sur le système d’information, et énuméré les vulnérabilités et les attaques dont il peut faire l’objet et leurs répercussions sur l’entreprise et sur l’audit financier, il apparaît clairement que l’audit de la sécurité du système d’information est devenu un élément nécessaire dans une mission d’audit financier et un nouveau créneau pour l’expert comptable dans le cadre des missions de conseil et d’organisation.

Dans le contexte actuel, l’environnement de l’audit financier a fortement changé et il se caractérise ainsi par:

La complexité des modes de fonctionnement des entreprises qui deviennent de plus en plus dépendantes des nouvelles technologies; L’évolution de la réglementation et des référentiels comptables (Sarbanes Oxley, Loi sur la sécurité financière, IFRS,…etc.); L’exigence croissante des marchés financiers en ce qui concerne la qualité de l’information financière produite par les sociétés cotées.

Ainsi, les cabinets d’audit ont dû revoir leur méthodologie de façon à répondre aux exigences des marchés et de la réglementation, d’une part, et d’améliorer la qualité de l’audit comptable et financier, d’autre part.

Les nouvelles démarches d’audit adoptées reposent largement sur la compréhension des risques inhérents au business et à l’organisation des entreprises ainsi que sur la qualité de contrôle interne de ces dernières.

Compte tenu du fait que les entreprises sont devenues hautement informatisées, l’évaluation des systèmes d’information devient un axe central dans la démarche de l’audit financier.

L’objectif privilégié est la recherche de la fiabilité des informations financières produites par les entités, l’efficacité et l’efficience du système de contrôle interne exigé par l’audit financier ou par des conventions dans le cadre des autres missions de conseil et d’organisation. Dans ce

cadre, l’expert comptable, principal conseiller de l’entreprise, est amené au cours de sa mission d’audit financier, à examiner la sécurité du système d’information au niveau de l’évaluation du système de contrôle interne en vue de s’assurer de la régularité et de la sincérité des états comptables générés par les traitements automatisés et de la continuité d’exploitation de l’entreprise.

D’autre part, une nouvelle opportunité de conseil et d’assistance aux entreprises dans le cadre des autres missions spéciales, est offerte à l’expert comptable en termes de sensibilisation à l’audit de la sécurité du système d’information, de mise en place d’une politique de sécurité

La sécurité du système d’information : Les enjeux de l’expert comptable

pour protéger ce système, de l’évaluation de cette politique et la recommandation des solutions de sécurité à mettre en place.

La deuxième partie de ce mémoire est ainsi consacrée à la proposition d’une démarche d’audit de la sécurité du système d’information par l’expert comptable, assortie de la présentation d’un ensemble de bonnes pratiques de sécurité, qui peuvent contribuer à la réalisation de telles missions.

Le premier chapitre traite de la présentation des cas d’intervention de l’expert comptable dans les missions d’audit de la sécurité du système d’information ainsi que de la définition du cadre juridique règlementaire et des compétences requises pour mener à bien ses missions d’audit de la sécurité de ce système.

Le deuxième chapitre traite quant à lui des étapes d’audit de la sécurité du système d’information. Le troisième chapitre propose une démarche d’audit de la sécurité du système d’information comme guide pour l’expert comptable, inspirée des bonnes pratiques de sécurité selon ISO 27002 113 pouvant être exploitées par le professionnel dans le cadre de ses interventions d’audit et de conseil en vue d’accroître aussi bien la valeur ajoutée de sa mission à la conviction des clients. Le quatrième chapitre présente la relation entre l’audit de la sécurité du système d’information et les normes d’audit financier.

113 Norme ISO 27002 « Technologies de l’information- Techniques de sécurité- Code de bonne pratique pour la gestion de la sécurité de l’information »

La sécurité du système d’information : Les enjeux de l’expert comptable

Chapitre 1 : L’expert comptable et les missions d’audit de la sécurité du système d’information

Introduction :

L’expert comptable est considéré comme étant le partenaire principal des chefs d’entreprises dans les domaines de gestion comptable, fiscal, social, sécurité des systèmes d’information, etc… Ces domaines d’intervention sont variés et évoluent dans le temps, exigeant ainsi de la part de l’expert comptable, non seulement des connaissances continuellement à jour en termes de gestion des entreprises, mais également des nouvelles compétences et de nouveaux savoirs ciblés vers les systèmes d’informations et les mécanismes de sécurité associés.

Ce nouveau cadre d’intervention fait l’objet d’une étude détaillée dans les sections qui suivent.

Section 1 : La sécurité du système d’information dans le cadre d’une mission d’audit légal:

L’auditeur doit planifier et réaliser l’audit financier de manière à ramener le Risque d’Audit à un niveau suffisamment faible en concevant et en mettant en œuvre des procédés d’audit lui permettant de réunir des éléments probants, suffisants et adéquats pour être en mesure de tirer des conclusions sur lesquelles il pourra fonder son opinion.

Afin de couvrir correctement les risques d’audit et notamment le risque de sécurité du système d’information, nous pouvons estimer nécessaire de s’assurer de la sécurité du système d’information pour recueillir certains éléments probants utiles à notre assurance d’audit.

La sécurité du système d’information est abordée par le commissaire aux comptes lors des principales étapes de la démarche d’audit, à savoir:

Orientation et planification de la mission, Evaluation du risque, Obtention des éléments probants.

La sécurité du système d’information : Les enjeux de l’expert comptable

d’information : Les enjeux de l’expert comptable Figure 11: Les phases où l’expert comptable aborde la

Figure 11: Les phases où l’expert comptable aborde la SSI 114

Sous section 1: Phase 1 Orientation et planification de la mission :

La phase « Orientation et planification de la mission » conduit à l’élaboration du plan de mission et implique la prise en compte du système d’information de l’entreprise.

L’appréciation de l’incidence de la sécurité du système d’information nécessite :

La prise de connaissance de l’informatique, qui est un des moyens techniques pour faire fonctionner un système d’information dans l’entreprise et de son incidence sur la production des informations financières et comptables, L’identification des principales composantes du système d’information et la détermination niveau de complexité de ce dernier.

1- Prise de connaissance de l’informatique dans l’entreprise :

Cette phase consiste à collecter des informations sur les systèmes et les processus informatiques de l’entreprise et à en déduire leur incidence sur les procédures d’élaboration des comptes.

Les domaines à prendre en compte sont :

La stratégie informatique, La fonction informatique de l’entreprise, L’importance de l’informatique dans l’entreprise.

1.1- La stratégie informatique:

Le commissaire aux comptes prend en considération les éléments ci-après afin d’apprécier la stratégie informatique :

Implication des entités opérationnelles dans la détermination de la stratégie informatique. Niveau de connaissance de la direction concernant le système d’information, Satisfaction des besoins courants par le système d’information.

114 Prise en compte de l’environnement informatique et incidence sur la démarche d’audit p9. CNCC

La sécurité du système d’information : Les enjeux de l’expert comptable

1.2- La fonction informatique :

Le commissaire aux comptes doit prendre en compte la fonction informatique notamment en termes de séparation des fonctions, la gestion des mouvements de personnel, la gestion des projets, la fiabilité des processus informatiques.

a- Importance de l’informatique dans l’entreprise :

L’importance de l’informatique dans l’entreprise permet de déterminer le niveau de dépendance de l’entreprise vis-à-vis de son système d’information.

b- Description du système d’information :

La description du système d’information de l’entreprise consiste à :

Formaliser la cartographie des applications

Apprécier le degré de complexité du système d’information,

Identifier les processus à analyser, utiles aux objectifs

de l’audit.

c- Prise en compte de l’informatique dans le plan de mission :

La prise en compte de l’aspect informatique dans le plan de mission s’effectue sur la base des informations recueillies précédemment, lors de la phase « Prise de connaissance de l’informatique dans l’entreprise » et « Description du système d’information », et qui porte sur :

L’existence ou non d’une stratégie informatique, Les caractéristiques de l’organisation informatique, L’importance de l’informatique dans l’entreprise, La complexité du système d’information, Le nombre de processus et applications informatiques concernées.

Sous section 2: Phase 2 : Evaluation des risques : 115

L’objectif de l’expert comptable lors de cette phase est la prise en compte de l’environnement informatique sur le risque inhérent et le risque lié au contrôle.

Sous section 3: Phase 3 : Obtention d’éléments probants : 116

Suite à l’évaluation des risques, l’expert comptable peut obtenir des éléments probants afin de pouvoir aboutir à des conclusions fondant l’opinion.

L’intégration de l’audit de la sécurité du système d’information dans l’audit financier est une question centrale qui préoccupe beaucoup les auditeurs. En effet, l’expert comptable est appelé à auditer la sécurité du système d’information dans le cadre de la mission d’évaluation du système de contrôle interne afin d'identifier et d'évaluer le risque que les états financiers contiennent des anomalies significatives, que celles-ci résultent de fraudes ou d'erreurs, de concevoir et de mettre en œuvre des

115 Prise en compte de l’environnement informatique et incidence sur la démarche d’audit p30. CNCC

116 Prise en compte de l’environnement informatique et incidence sur la démarche d’audit p78. CNCC

La sécurité du système d’information : Les enjeux de l’expert comptable

procédures d'audit complémentaires selon les dispositions de la norme ISA 315, et de s’assurer de la continuité d’exploitation de la société conformément aux dispositions de la norme ISA 570.

Section 2 : La sécurité du système d’information dans le cadre des autres missions de l’expert comptable :

Sous section 1: De la mission de tenue des comptes à la mission de conseil :

Le marché de la tenue et de surveillance des comptes représente encore une proportion importante des prestations réalisées par les cabinets d’expertise comptable. Cependant, l’informatisation des cabinets et surtout de leurs clients a banalisé cette mission. Il est donc nécessaire d’apporter à cette dernière une valeur ajoutée. Cette valeur ajoutée ne peut être créée qu’en développant des missions de conseil en particulier dans les nouvelles technologies et la sécurité des systèmes d’information. 117

Sous section 2: Les stratégies de spécialisation :

Avec l’apport des technologies d’information et de communications, une stratégie peut être développée : la spécialisation. Entre les groupes multidisciplinaires et les structures ayant des activités de niche, les autres cabinets peuvent être tentés par la voie de la spécialisation. En effet, même s’il a une formation de généraliste, l’expert comptable doit apprendre à reconnaître ses limites de compétences. Dans la mesure où il doit maîtriser le secteur d’activité de son client pour mieux l’accompagner, il devra sûrement se spécialiser dans les domaines qu’il maîtrise le mieux.

Un cabinet est un accumulateur d’expériences, de connaissances et de pratiques professionnelles. Chaque mission contribue à son enrichissement intellectuel. Pour autant, ce n’est que grâce à l’accumulation et à la réalisation régulière de missions similaires qu’une compétence métier pourra être revendiquée. Le capital technologique parfois difficile à mettre en place, devra servir à assurer au professionnel un développement de ses compétences et ainsi assurer sa spécialisation.

Sous section 3: Les nouvelles missions technologiques :

Les innovations technologiques peuvent être pour le cabinet une source de nouvelles missions. Parmi celles-ci nous pouvons citer sans être exhaustifs : l’e-commerce, la mise en place de système d’information intégrant les nouvelles technologies, l’audit de la sécurité du système d’information, l’élaboration et la mise en place d’une politique de sécurité du système d’information, la signature électronique, mission Web-Trust 118 …etc

Les menaces et vulnérabilités touchant la sécurité du système d’information et l’obligation de conformité aux exigences légales, ont poussé les sociétés de recourir à la mise en place d’une politique de sécurité du système d’information au sein de leurs structures internes et à des audits périodiques pour assurer la sécurité de leurs systèmes. 119

117 La revue française de comptabilité n° 316 11/99

118 La mission Web Trust consiste à certifier la qualité, la sécurité et la confidentialité d’un site Internet.

119 Alexandre Fernandez-Toro _ Mémento audit ISO 27001 : auditer la sécurité du système d'information _ Edition DUNOD _ 2009

La sécurité du système d’information : Les enjeux de l’expert comptable

Dans le cadre d’une mission spécifique d’audit de sécurité du système d’information, le rôle de l’expert comptable dépend en général de la lettre de mission qui fixe les périmètres et les objectifs de la mission. Cette dernière peut porter sur l’appréciation de la politique de sécurité en place, l’analyse des techniques de sécurité, le contrôle de la sécurité….

Ce rôle consiste pour les entreprises soumises aux obligations prévues par la loi 2004-5 du 3 février 2004 120 , à les aider à se préparer à l’audit périodique de leurs systèmes d’information institué par cette loi. Pour les clients non soumis à cette obligation et principalement les petites et moyennes entreprises, le rôle de l’expert comptable est d’autant plus important, vu l’absence d’un contrôle légal des sécurités informatiques et ce, pour convaincre la direction, sensibiliser les utilisateurs, identifier les risques et proposer les solutions de sécurité permettant d’assurer la pérennité de l’entreprise, préserver le patrimoine et sécuriser la création de valeurs.

Il y a lieu de signaler que dans tous les cas, l’expert comptable n’assure pas la sécurité, mais donne à la direction de l’entreprise qui le mandate une assurance raisonnable concernant les dispositifs de sécurité mis en place pour faire face aux risques encourus.

Section 3 : Cadre comptable, fiscal, juridique et règlementaire :

Cette section est destinée à présenter les principales réactions des législations et des organismes professionnels face aux évolutions du système d’information

En regard à l’évolution technologique et informatique et en plus de la réglementation existante, de nouvelles dispositions législatives sont apparues et de nombreuses cellules de réflexion ont été créées, à ce sujet, dans le cadre d’organismes professionnels.

Sous section 1: la réglementation comptable:

1- Code de commerce:

Les dispositions du Code de Commerce, non abrogées par la loi n° 2000-93 du 3 novembre 2000 portant promulgation du nouveau code des sociétés commerciales, et qui se rapporte aux obligations en matière comptable sont les suivantes :

Article 8 : « … Conserver, pendant dix ans tous les documents justificatifs des opérations inscrites sur les livres susvisés ». Article 9 : « Le livre journal et le livre d’inventaire prévus à l’article 8 sont cotés et paraphés, soit par le juge, soit par le Président de la Municipalité ou un adjoint, dans la forme ordinaire et sans frais ». Article 10 : « les livres sont tenus chronologiquement sans blanc ni altération d’aucune sorte. Ils seront conservés pendant 10 ans ». Article 11 : « Les livres, que les commerçants sont obligés de tenir et pour lesquels ils n’auront pas observé les formalités ci-dessus prescrites, ne pourront être représentés ni

120 Loi 2004-5 du 3 février 2004, relative à la sécurité informatique

La sécurité du système d’information : Les enjeux de l’expert comptable

faire foi en justice au profit de ceux qui les auront tenus, sans préjudice de ce qui sera réglé au livre du concordat préventif et de la faillite. ». Ainsi, le code de commerce tunisien n’a pas prévu de dispositions particulières en cas de comptabilité informatisée. En effet, il n’a pas précisé les conditions de forme pour les pièces justificatives des opérations ni les conditions et les moyens de leur conservation.

Au niveau du livre journal et du livre d’inventaire, ils doivent être tenus manuellement sur des registres cotés (attestant le nombre des pages) et paraphés (certifiant l’existence du livre obligatoire et lui conférant une date certaine).

En outre, il convient de signaler qu’aucune nouvelle disposition comptable n’a été prévue par le nouveau code des sociétés commerciales promulgué par la loi 2000-93 du 3 novembre

2000.

2- Le système comptable des entreprises en Tunisie :

La loi N°96-112 du 30 décembre 1996 relative au système comptable des entreprises a apporté de nouvelles dispositions et a aussi confirmé les articles 8, 9 et 10 du code de commerce. Ces principales dispositions, qui se rapprochent de celles du Nouveau Plan Comptable Général Français de 1999, se résument comme suit :

2.1. Les livres comptables :

Les livres comptables comportent le journal général, le grand-livre et le livre d’inventaire. Le journal général et le livre d’inventaire sont cotés et paraphés. En outre, les livres sont établis sans blanc ni altération d’aucune sorte.

Selon l’article 14 de la loi n° 96-112, « les documents écrits issus de l’informatique peuvent tenir lieu de livres et journaux auxiliaires. Dans ce cas, ces documents doivent être identifiés, numérotés et datés dès leur élaboration par des moyens offrant toute garantie en matière de preuve.…. Les écritures portées sur les livres et journaux auxiliaires ainsi que les totaux des opérations et des soldes doivent être centralisés dans le journal général et le grand livre au moins une fois par mois. »

Ainsi, nous devons formuler les remarques suivantes :

Les documents informatiques ne peuvent tenir lieu de livre journal et de livre d’inventaire comme c’est le cas en France. Cette possibilité n’a été accordée que pour les livres et journaux auxiliaires. Que faut-il entendre par « des moyens offrant toute garantie en matière de preuve » ?

La sécurité du système d’information : Les enjeux de l’expert comptable

Signalons d’abord que cette disposition est identique à celle prévue en France 121 . Plusieurs solutions critiquables ont été avancées. Selon le Mémento Comptable dans son paragraphe 311-2, bien que la réglementation française a considéré que les documents informatiques peuvent tenir lieu de journal général et de livre d’inventaire, « la manière la plus pratique de respecter actuellement l’obligation de la tenue du livre journal sans aucun risque, reste et demeure, pour l’instant, la transcription manuelle des totalisations des écritures mensuelles sur un livre coté et paraphé ».

2.2. La documentation des procédures et de l’organisation Comptable :

L’article 15 de la loi 96-112 stipule que : « lorsque l’entreprise opte pour la méthode de centralisation mensuelle des livres et journaux auxiliaires ou pour l’usage de l’informatique pour tenir sa comptabilité, il est établi un document qui prévoit l’organisation comptable et comporte notamment les intitulés et l’objet des documents utilisés pour le traitement des informations et les modalités de liaison entre ces documents et les pièces justificatives y afférentes. »

La norme générale a précisé le contenu de ce document. En ce qui concerne les traitements informatisés, ce manuel doit comprendre notamment :

La description des procédures de collecte, de saisie, de traitement et de contrôle des informations ; Le système de classement et d’archivage ; Les livres comptables obligatoires et les liens entre ces livres et les autres documents et pièces comptables.

En outre, les paragraphes 49 et 50 de la norme générale stipulent que « la réalisation de tout contrôle du système de traitement automatisé suppose l’accès à la documentation relative aux analyses, à la programmation et à l’exécution des traitements en vue, notamment, de procéder aux tests nécessaires. Dans le cas d’acquisition de logiciel standard, la documentation fournie avec le logiciel peut constituer la documentation requise.

Cette documentation décrivant les procédures et l'organisation comptables est établie en vue de permettre la compréhension et le contrôle du système de traitement. Elle doit être complète, claire, précise et constamment tenue à jour. Elle est conservée aussi longtemps qu'est exigée la présentation des documents comptables auxquels elle se rapporte. Toutefois, il y a lieu de préciser qu’aucune sanction n’est prévue pour le non-respect de cette disposition.

121 Dispositions prévues par le décret N°83-1020 du 29 novembre 1983 portant promulgation des obligations comptables des commerçants de certaines sociétés et par le Nouveau Plan Comptable Général homologué par l’arrêté du 22 juin 1999 (paragraphe 410-06)

La sécurité du système d’information : Les enjeux de l’expert comptable

En pratique, nous constatons que cette documentation est quasiment absente dans les entreprises ou est dans la majorité des cas obsolète. Par ailleurs, la documentation fournie avec le logiciel standard ne concerne généralement que le volet d’utilisation et d’exploitation.

2.3. Les pièces justificatives :

Selon le paragraphe 53 de la norme générale (partie II : dispositions relatives à l’organisation comptable) : « La pièce justificative est établie sur papier ou sur un support assurant la fiabilité, la conservation et la restitution en clair de son contenu pendant les délais requis et comporte la mention de la date ». Cette disposition est identique à celle du paragraphe 420-3 du Nouveau Plan Comptable Général Français de 1999.

Selon le Conseil National de la Comptabilité Français 122 , les résultats de traitement en amont peuvent être intégrés en comptabilité à l’aide d’écritures comptables générées automatiquement par le système, sans être accompagnées de l’émission de pièces justificatives classiques.

2.4. Le chemin de révision :

Le Nouveau Système Comptable Tunisien stipule dans son article 12 que : « Tout enregistrement précise l’origine, le contenu et l’imputation de l’opération ainsi que les références des pièces justificatives qui l’appuient » 123 .

Le paragraphe 52 de la norme générale (partie II : Dispositions relatives à l’organisation comptable) ajoute que : « à tout moment, il est possible de reconstituer à partir des pièces justificatives appuyant les données entrées, les éléments des comptes, état et renseignements soumis à la vérification, ou, à partir de ces comptes, états et renseignements, de retrouver ces données et les pièces justificatives».

C’est ainsi que tout solde de compte doit pouvoir être justifié par un relevé des écritures dont il découle depuis un solde antérieur. Chacune de ces écritures doit comporter une référence permettant l’identification des données correspondantes.

2.5. Le caractère définitif des enregistrements :

Selon les paragraphes 56 et 57 de la norme générale Partie II : « le caractère définitif des enregistrements est assuré, pour les comptabilités tenues au moyen de systèmes informatisés, par la validation. Cette procédure, qui interdit toute modification ou suppression de l’enregistrement est mise en œuvre au plus tard au terme de chaque mois».

122 Bulletin N°88 du 3ème trimestre 1991, page 4 et suivant. 123 Disposition identique aux dispositions du paragraphe 420-2 du Nouveau Plan Comptable Général Français 1999

La sécurité du système d’information : Les enjeux de l’expert comptable

Une procédure de clôture destinée à figer la chronologie et à garantir l’intangibilité des enregistrements est mise en œuvre et ce, au plus tard avant l’expiration de la période suivante, sous réserve des délais différents fixés par des dispositions légales ou réglementaires. ».

Cette mesure vise à interdire la modification ou la suppression des données sans laisser de traces. En informatique, elle est en principe assurée par la validation, la clôture et l'utilisation d'un support de sauvegarde inaltérable.

Il

informatisée :

convient

de

distinguer

trois

phases

pour

apprécier