Vous êtes sur la page 1sur 19

ECOLE NATIONALE DE COMMERCE ET DE GESTION KENITRA

Audit informatique

Ralis par : BATITI Samah BERRADA Meriam EL OUAZZANI Imane EL ORCH Nassima

ABREVIATIONS

AFAI :

Association

Franaise

de

l'Audit

et

du

Conseil

informatique

COBIT : Control Objectives for Information and related Technology CRAMM : CCTA Risk Analysis and Management Method DCSSI : Direction Centrale de la Scurit des Systmes d'Information EBIOS : Expression des Besoins et Identification des Objectifs de Scurit ISACA : The Information System Audit & Control Association & Foundation SGSI : Systme de Gestion de Scurit de lInformation MEHARI : Mthode Harmonise dAnalyse de Risques OCTAVE : Operationnally Critical Threat, ASSET and Vulnrability Evaluation

SOMMAIRE

INTRODUCTION ................................................................................................................................................ 4 IGENERALITES SUR LAUDIT INFORMATIQUE : .......................................................................................... 5 I.1. DEFINITION DE LAUDIT INFORMATIQUE : ............................................................................................................... 5 I. 2. OBJECTIFS DE LAUDIT INFORMATIQUE .................................................................................................................. 5 I.3. DIFFERENTS TYPES D'AUDIT INFORMATIQUE ........................................................................................................... 6 I.4. CHAMP DAPPLICATION ....................................................................................................................................... 9 IILA DEMARCHE DE LAUDIT INFORMATIQUE .......................................................................................... 10 II.1. PRISE DE CONNAISSANCE DE LENVIRONNEMENT INFORMATIQUE :............................................................................ 11 II.2. EVALUATION DES RISQUES : .............................................................................................................................. 12 II.3. OBTENTION DES ELEMENTS PROBANTS ................................................................................................................ 12 IIILES OUTILS DE LAUDIT INFORMATIQUE ............................................................................................... 13 III.1. REFERENTIELS : ............................................................................................................................................. 13 III.2. METHODES :................................................................................................................................................. 15 IVETUDE DE CAS : ..................................................................................................................................... 18

BIBLIOGRAPHIE .............................................................................................................................................. 19

INTRODUCTION
L'audit informatique a beaucoup volu ces dernires annes en tant que moyen de renforcement de la gouvernance informatique de l'entreprise, notamment grce ladoption de rfrentiels largement reconnus comme le CobiT. L'objectif est de mettre en place des dispositifs de contrle efficaces et performants permettant de matriser efficacement l'activit informatique. En effet, la dmarche d'audit informatique se dfinit partir des proccupations du demandeur d'audit qui peut tre le directeur gnral, le directeur informatique, le directeur financier, ect. Il va pour cela mandater l'auditeur pour rpondre une liste de questions prcises qui font, plus ou moins implicitement, rfrence l'tat des bonnes pratiques connues dans ce domaine. Celui-ci va ensuite s'attacher relever des faits puis il va mener des entretiens avec les intresss concerns. Il va ensuite s'efforcer d'valuer ses observations par rapport des rfrentiels largement reconnus. Sur cette base il va proposer des recommandations. Ainsi, le prsent rapport s'attache clarifier : En premier lieu, la notion de laudit informatique, ses objectifs et ses diffrents types, En deuxime lieu, la dmarche emprunte par lauditeur informatique ainsi que les diffrents rfrentiels qui lui servent de base.

I-

Gnralits sur laudit informatique :


I.1. Dfinition de laudit informatique :
Un audit informatique peut tre assimil un examen approfondi. Son objectif est de

sassurer que les activits informatiques dune entreprise ou dune administration se droulent conformment aux rgles et aux usages professionnels, appels de manire traditionnelle les bonnes pratiques. Il faut en outre que la gestion et lorganisation du systme dinformations soient en parfaite conformit avec les diffrentes normes et rgles en vigueur. Laudit informatique apporte lentreprise lassurance que la gestion, lorganisation et les processus utiliss et grs par le systme dinformations ayant une incidence sur les tats financiers soient adquats et oprs correctement. Ce rsultat permet dinfluer sur la politique globale des risques prsents et futurs auxquels l'entreprise peut tre appele faire face.

I. 2. Objectifs de laudit informatique


Lobjectif de laudit informatique est multiple : a- En termes de fiabilit de lenvironnement informatique Bonne organisation de lensemble de lactivit informatique Rduire les risques de malveillance : Laudit vise reprer les lacunes du systme en place et les corriger avant quelles noccasionnent des dommages ou des pertes defficacit. Laudit informatique effectue une observation des outils de lentreprise et compare leur usage avec les bonnes pratiques en vigueur. Les risques encourus sont relevs, documents et intgrs dans le rapport1. Des procdures formalises bien comprises : Laudit informatique vrifie sil existe des procdures permettant danticiper des pertes de donnes, de ragir plus efficacement en cas de panne matrielle, de garantir un niveau lev de confidentialit des informations qui transitent par le systme. Pour tre efficaces, ces procdures doivent tre mises en place de manire anticipative. Amlioration de lefficacit de lactivit informatique : Amliorer la cohrence entre les outils informatiques et les objectifs de lentreprise permet de raliser des conomies de temps et dargent.

http://www.outwares.com/pme/Audit-informatique.html

b- En termes defficacit et de performance tude approfondie de la performance et du dimensionnement des machines adquation aux besoins des logiciels systme : Dans laudit informatique, on passe en revue lensemble des objectifs que doivent fournir les outils, de lentreprise audite, entrant dans le domaine de linformation et de la communication. On compare ensuite ces objectifs avec la ralit du terrain. Il sagit de sassurer que les outils en place correspondent lusage qui leur est demand. Un outil mal adapt est plus cher et moins efficace que la solution adquate. mise en place dun plan de secours En dautres termes laudit defficacit, constitue une mission mandate soit par la direction gnrale, afin de sinterroger sur le cot de son informatique, soit par le responsable du service, de manire vrifier la pertinence de sa configuration. Donc : Un audit informatique a pour objectif principal l'valuation du niveau de contrle des risques associs aux activits informatiques. L'objectif rel est d'assurer l'adquation du systme informatique aux besoins de l'entreprise et de valider que le niveau de service est adapt aux activits de celle-ci2.

I.3. Diffrents types d'audit informatique 3


a. L'audit de la planification informatique Cest un audit qui a pour objectif de vrifier et valuer : La cohrence entre les objectifs du schma directeur et la stratgie de lentreprise ; Le processus d'tablissement et de validation du schma directeur, son dispositif de pilotage aussi ; lexistence de procdures dactualisation du schma directeur. Exemples de missions daudit : audit dun schma directeur mi-parcours ; audit pralable un schma directeur.

2 3

http://www.easeo.fr/Prestations-de-service/audit-informatique.html
Un sminaire-conseil prpar et anim par Claude Salzman.

http://www.institut.capgemini.fr/index.php?p_id=30#top

b. L'audit de la fonction informatique La particularit de ce type daudit est le fait quil a une dimension hommes et structures. Ainsi, son rle est dvaluer : les relations entre la direction gnrale, la DSI et les utilisateurs ; clart des structures et des responsabilits ; comptences et qualifications du personnel. la responsabilit du service informatique dan les relations matrise duvre - matrise douvrage ; Lexistence et le respect des dispositifs de contrle interne. Exemples de missions : audit de lefficacit dun service informatique ; audit pour amliorer les relations avec les utilisateurs ; audit de la procdure de suivi des cots informatiques. c. L'audit des projets Evaluation des risques lis aux projets informatiques, mettre en place un dispositif de management adapt, lutter contre le drapage des cots et des dlais, avoir un systme de pilotage efficace. Les bonnes pratiques :

existence dune mthodologie de conduite des projets ; dcoupage efficace des projets ; respect des tapes et des phases du projet ; pilotage du dveloppement ; conformit des projets aux objectifs gnraux de lentreprise ; mettre en place une note de cadrage ; qualit des tudes amont : expression des besoins, cahier des charges ; importance des tests, notamment des tests utilisateurs. Exemples de missions daudit : audit dun grand projet la fin du cahier des charges ; audit dun projet de taille moyenne. d. L'audit des tudes : Il a pour but de : valuer lorganisation de la fonction tudes ; vrifier le respect des normes en matire de documentation ; contrle de la sous-traitance ; 7

valuation de la qualit des livrables. audit dun service dtudes de taille moyenne ; audit de la politique de maintenance. e. L'audit de l'informatique dcentralise

Exemples de missions daudit :

Les objectifs et points de contrles : qualit de larchitecture technique ; gestion des configurations ; analyse des demandes arrivant au help desk (incidents, difficults, assistances, etc.) ; apprciation de la qualit de service. Exemples de missions daudit : audit du cot de possession et recherche damliorations ; audit de la qualit de service. f. L'audit de la production : Domaine de linformatique de production.

Les objectifs et points de contrles : qualit de la planification de la production ; gestion des ressources ; existence de procdures permettant de fonctionner en mode dgrad ; gestion des incidents ; procdures de scurit et de continuit de service ; matrise des cots de la production. Exemples de missions daudit : audit de la gestion des incidents ; audit de la qualit de service de la production. g. L'audit de la scurit Il existe quatre notions fondamentales en matire de scurit dont lAI doit tenir compte: la menace, le facteur de risque, la manifestation du risque, la matrise du risque.

Les facteurs de limitation des risques : existence dune politique du systme dinformation ; implication des utilisateurs ; mthodes de travail et outils adapts aux objectifs ; comptence du personnel ; outils efficaces dadministration et de gestion.

Exemples de missions daudit : audit de la scurit dune application ; audit de la scurit dun centre de production. 8

h. L'audit des applications oprationnelles Il sagit de se prononcer sur la qualit dune application donne. A travers : contrle de ladquation des logiciels dvelopps aux spcifications fonctionnelles de lentreprise ; analyse des erreurs ou des anomalies, valuation de la fiabilit des traitements ; respect de la confidentialit ; Evaluation de la prennit de lapplication. contrle de la qualit des mthodes de dveloppement des logiciels ou contrle de la qualit des procdures dexploitation. (Mesure des performances) Exemples de missions daudit : audit dune application comptable dans le cadre de la rvision des comptes ; audit dune application oprationnelle mi-vie.

I.4. Champ dapplication


Laudit dans ce domaine doit porter sur : 1) Exploitation des machines o La charge des machines : Pour dterminer le taux doccupation des machines et par consquent situer les saturations. o Nombre de terminaux connects o Les performances et la productivit du service exploitation o Temps de rponse lors de lutilisation des machines en mode conversationnel 2) maintenance o Les pannes et appels au service dpannage o Taux de panne o Dure moyenne des indisponibilits des machines o Les erreurs de logiciels et la manire du recyclage

3) La scurit Scurit Physique : o Accs au centre informatique : Laccs physique lenvironnement informatique est-il protg ? Laccs physique aux endroits o sont stocks les supports des sauvegardes, darchives, de la documentation est-il rglement ?

o Fiabilit de lalimentation lectrique Ya-t-il une protection contre lincendie ? La salle des serveurs est-elle protge contre les dfauts dalimentation lectrique ? La salle des serveurs est-elle protge contre les intrusions (en dehors des heures de travail) ? Lentreprise a-t-elle souscrit une assurance couvrant les risques informatiques : Destruction, vol de matriel, Destruction de fichiers

Scurit Logique : concerne la protection et la confidentialit des donnes (Fichiers et programmes) pour viter : o Le dtournement de fond o La destruction de lenvironnement o Les erreurs (contrle dans les logiciels) Il sagit alors de vrifier : o Scurit daccs linformation (mots de passe, identification des terminaux4, vol et piratage,) o Sauvegarde des donnes (cryptage des donnes5, procdure dexploitation,)

II-

La dmarche de laudit informatique


La dimension informatique devient une donne importante de l'environnement d'audit

d'une part au regard de l'apprciation des risques et d'autre part en ce qu'elle rend plus complexe l'identification du chemin d'audit. L'auditeur doit alors valuer si des comptences informatiques particulires sont ncessaires pour raliser la mission. L'informatique est aborde sous deux plans :

En informatique, un terminal dsigne un ensemble de priphriques de sortie (cran...) ou d'entre (clavier, souris...), en quelque sorte l'extrmit d'un rseau. 5 Pour viter quelles ne soient accessibles en cas de vol ou quelles ne soient divulgues aux agents nayant pas droit (donnes confidentielles)

10

prise en compte lors de la prise de connaissance et l'apprciation du systme de contrle interne, prise en compte lors de la recherche des lments probants (utilisation de copie de fichiers, extraction de donnes par voie de requte, ).

II.1. Prise de connaissance de lenvironnement informatique :

Dfinition et objectifs de la prise de connaissance

Elle doit permettre d'apprcier : la complexit du systme et notamment les donnes issues de celui-ci figurant dans les tats financiers : le volume des oprations concernes, les traitements effectus par le systme, la part de l'automatisme dans la gnration des critures, le lien entre les diffrentes applications, les changes avec les tiers, le degr de centralisation du traitement informatique dans l'entit, de dpendance envers un produit, un homme. Le niveau de disponibilit des donnes et les phases de contrle intgres dans la chane de production de l'information. La prise de connaissance des traitements informatiques aboutissant plus

particulirement aux donnes d'ordre financier, permet l'auditeur de localiser les fichiers, traitements et contrles cls sur lesquels il peut s'appuyer lors de son audit.

Dmarche de la prise de connaissance La prise de connaissance suit un canal usuel comportant des phases de : collecte documentaire (documents systme, utilisateur, contrats), entretiens visant complter l'information de base, notes descriptives de l'organisation, des intervenants (internes et externes), des fonctions (dont identification de la sparation des tches), des comptences, des charges de travail, des quipements ("soft" et "hard"), des capacits, des projets, un intrt tout particulier devant tre port aux fonctions externalises.

Elle comporte plus spcialement une phase ddie l'identification des informations et traitements constituant le chemin d'audit dans le cadre de la mission de lauditeur. 11

II.2. Evaluation des risques :


Les risques issus du systme informatique sont spcifiques ; ils peuvent rsulter : de dficiences des activits, de dveloppement et maintenance des programmes, de support logiciel, de scurit des quipements et des accs, de traitement des oprations, de la multiplicit des systmes utiliss.

Ils peuvent exister aussi plus gnralement, par non-respect de rgles propres des rglementations sectorielles ou des rgles sur la proprit intellectuelle (des licences, des images). Les risques peuvent se percevoir partir d'indices tels que :

matrise dficiente du systme et des solutions informatiques, couverture en terme de maintenance insuffisante, sparation insuffisante des tches ou accs non matriss, erreurs de programmation engendrant un traitement incorrect des oprations, manque de traabilit des oprations dans le systme (soit par absence de matrialisation soit par non-conservation), possibilit pour les utilisateurs d'accder des donnes pour les modifier, Non-matrise du dclenchement de traitements automatiss, multiplication des interfaces entre applications, absence de procdures et / ou d'outils permettant des contrles de cohrence, absence de protection physique ou logicielle des donnes.

II.3. Obtention des lments probants

L'environnement informatis ne doit pas tre un frein aux investigations de l'auditeur, bien au contraire. Celui-ci doit toujours se trouver en situation de : raliser des tests sur le systme (en tant que composante du contrle interne), traiter les donnes qui collaborent la production de l'information comptable, automatiser les travaux de contrle partir de donnes plus nombreuses et parfois plus diffuses. 12

Dans tous les cas, la dmarche englobera les phases suivantes : contrle de cohrence des informations produites, traabilit des donnes et des traitements, manque de traabilit des oprations dans le systme
(soit par absence de matrialisation soit par non-conservation),

documentation des travaux. (la collecte des pices justificatives)

L'auditeur dispose pour obtenir les lments probants recherchs : des outils de requte propres au systme de l'entit, d'outils travaillant partir de donnes exportes du systme (ce peut tre tout simplement un tableur ou ce peut tre un outil ddi - par exemple : IDEA).

III-

Les outils de laudit informatique

III.1. Rfrentiels :

i. Normes ISO 20 000

Les normes ISO 20000-1 et ISO 20000-2 sont des standards dcrivant des processus de gestion pour la livraison efficace et efficiente de services informatiques l'entreprise et ses clients. Elles respectent les exigences ITIL6. j. Famille ISO 27000 / ISMS ou SGSI Normes de la famille 27000 pour la mise en place, l'utilisation, la tenue jour et la gestion d'une politique de scurit informatique, de scurit des systmes d'information ou SGSI (ISMS) : Systme de gestion de la scurit de l'information.

ISO 27 0017 : La norme ISO 27001 spcifie les exigences et les processus qui permettent une entreprise dtablir, de mettre en uvre, de revoir et de surveiller, de grer et dactualiser une scurit de linformation qui soit efficace. Autrement dit, elle spcifie les exigences concernant un Systme de management de la Scurit de

ITIL (Information Technology Infrastructure Library) : elle signifie plus ou moins bibliothque dinfrastructure des technologies de linformation. Il sagit dun ensemble de livres dans lesquels sont reprises et rfrences de nombreuses pratiques, procdures et mthodes permettant de grer les systmes dinformation. source : ITIL : pour un service informatique optimal 2me dition de Christian DUMONT 7 Article publi par Bureau Veritas certification Protger vos systmes dinformation , Septembre 2006 et article crit par Ted Humphreys ISO/CEI 27001:2005 ltat de lart en gestion de scurit de linformation

13

lInformation (SMSI). Cette norme fournit les outils pour une valuation des risques pertinentes et la mise en place de contrles appropris pour prserver la confidentialit, lintgrit et la disponibilit de linformation. Le but est de protger linformation de lorganisation contre toute perte ou intrusion. Comme ISO 9001, elle est construite sur le modle du cycle de processus Planifier (concevoir) Faire (mettre en uvre et pratiquer le SGSI) Vrifier (surveiller et revoir le SGSI) -Agir (actualiser et amliorer le SGSI) (PDCA) et sur lexigence dune amlioration continue. Diffrents organismes ont labor la norme relative au Systme de Gestion de Scurit de lInformation (SGSI) pour leur permettre de crer des solutions rentables en scurit de linformation et protger ainsi leurs activits.

ISO 27 0028 : C'est un guide de pratique pour la gestion de la Scurit de l'information. En complment d'IS/IEC 27 001 il permet d'accompagner le processus de mise en uvre d'un SMSI. Il est noter que cette norme ne donne aucune indication quant la mthode de gestion des risques.

ISO 27 005 : La norme ISO 27005, quant elle, explique en dtails comment conduire l'apprciation des risques et le traitement des risques, dans le cadre de la scurit de l'information. k. Norme ISO 38 500 : gouvernance de la scurit informatique

Lexploitation de systmes informatiques (TI) inadquats peut pnaliser les rsultats et la comptitivit des entreprises ou les exposer au risque de contrevenir la lgislation. La nouvelle norme ISO/CEI 38500 donne, cet gard, des recommandations gnrales concernant le rle de la direction dentreprise en matire de gouvernance informatique. Pour Franois Coallier, Prsident du sous-comit ISO, Ingnierie du logiciel et des

systmes, qui a labor la norme: la plupart des entreprises utilisent linformatique comme un outil professionnel essentiel et rares sont celles qui peuvent sen passer. Linformatique permet galement bon nombre dentre elles de concevoir leurs plans d'action prospectifs.
8

www.itil.fr

14

LISO/CEI 38500 aidera les instances dirigeantes valuer, orienter et surveiller les systmes informatiques. l. CobiT La mthode Control OBjectives for Information and related Technology a t cre en 1996 par lISACA / AFAI9. Cette mthode contient les lments suivants : Synthse Cadre de rfrence Guide daudit Guide de management Outils de mise en uvre

Les Intrts de cette mthode sont : Le lien entre les objectifs de lentreprise et ceux de technologies dinformation Lintgration des partenaires daffaires Luniformisation des mthodes de travail La scurit et le contrle des services informatiques Le systme de gouvernance de lentreprise

III.2. Mthodes10 :
Les mthodes d'audit sont essentielles pour assurer une efficacit aux plans d'action dcoulant de la politique scurit de l'entreprise. La plupart des entreprises de moyenne et grande taille dploient, leur manire, une politique de scurit. Quelle soit minimaliste ou omniprsente, cette dernire se doit d'tre priodiquement audite, pour plus de performance et d'efficacit.

Pour procder ces contrles rguliers, un certain nombre de mthodes existent, parfois similaires, parfois opposes, mais toujours complmentaires dans leur approche.

L'AFAI, Association Franaise de lAudit et du Conseil Informatiques est le chapitre franais de l'ISACA. Cre en 1982, l'AFAI regroupe aujourd'hui plus de quatre cents membres reprsentant les auditeurs externes, les consultants et diverses fonctions au sein des entreprises : direction de l'informatique, de l'audit, de la finance et du contrle de gestion. L'AFAI a pour objectif de dvelopper les solutions de l'ISACA, en informant les entreprises franaises et en participant des projets tels que l'IGSI. 10 Source : Frdric MOTHY, CNAM, Audit et Contrle , SYLIS France, 2008

15

a. CRAMM

La mthode CRAMM signifie CCTA Risk Analysis and Management Method , elle a t cre en 1986 par Siemens en Angleterre. Cette mthode se dcompose en 3 tapes :

Identifier le software/ le hardware/ Les donnes Evaluer les menaces et vulnrabilits Choisir des remdes.
Cette mthode est lourde car elle sappuie sur 3000 points de contrle. b. EBIOS La mthode EBIOS signifie Expression des Besoins et Identification des Objectifs de Scurit , elle a t cre en 1995 par la DCSSI11. Structure :

Les intrts de cette mthode sont : - Construction dune politique de scurit base sur une analyse des risques - Lanalyse des risques repose sur lenvironnement et les vulnrabilits du SI

c. MEHARI La mthode MEHARI signifie Mthode Harmonise dAnalyse de Risques , elle a t cre en 1995 par le CLUSIF, remplaant MARION.
11

Direction Centrale de la Scurit des Systmes d'Information

16

Les Phases de MEHARI sont les suivantes :

Phase 1: Etablissement dun Plan Stratgique de Scurit (Global) Phase 2: Etablissement de Plans Oprationnels de Scurit raliss par les diffrentes
units de lentreprise.

Phase 3 : Consolidation des plans oprationnels (Global)


Structure: Synoptique de la dmarche MEHARI.

Les intrts de cette mthode sont : - Apprciation des risques aux regards des objectifs de scurit - Contrle et gestion de la scurit d. OCTAVE La mthode OCTAVE signifie Operationnally Critical Threat, ASSET and Vulnrability Evaluation, elle a t cre en 1999 luniversit aux Etats-Unis. Elle a pour but de permettre une entreprise de raliser par elle-mme lanalyse des risques de leur SI, sans aide extrieure (Consultant). Elle se droule en 3 phases :

Vue organisationnelle Technique Stratgie de scurit

17

IV-

Etude de cas :

Certaines associations ont lobligation de nommer un CAC : lassociation exerce une activit conomique et remplit deux des critres suivants : 50 salaris, 3,1 millions CA, 1,55 million de bilan lassociation peroit des financements publics suprieurs 153 000. Les associations reconnues dutilit publique Les associations mettant des obligations Les associations collectant la participation des employeurs leffort de construction Les organismes de formation remplissant deux des trois critres suivants: 3 salaris, 153 000 de CA, 230 000 de bilan Les associations sportives affilies collectant des recettes dun montant suprieur 380 000 et employant des sportifs dont la masse salariale excde 380 000 Les associations et les fondations bnficiaires de plus de 153 000 euros de dons

Auditeur : Commissaire aux comptes Audit : Nature: Association Affres (association loi 1901) Chiffre daffaires: 30 millions PROBLMES DTECTS Accessibilit des imprimantes Accs aux applications Topologie du rseau Absence de vritable administrateur Procdure de sauvegarde des donnes Organisation de la comptabilit informatique Base de donnes

SOLUTIONS Mieux rpartir les imprimantes dans les locaux Restreindre laccs aux applications la fonction de lutilisateur Crer 2 sous-rseaux (DAF et E&R) indpendants Nommer un administrateur qualifi Ladministrateur sera charg des sauvegardes, en veillant les scuriser Valider lintgration des critures tous les jours Modifier la structure de la BD informatise 18

BIBLIOGRAPHIE
Ouvrages /Articles : Frdric MOTHY, CNAM, Audit et Contrle , SYLIS France, 2008. Guide pratique de laudit , Ordre des Experts Comptables du Royaume du Maroc. La Loi sur l'Informatique et les Liberts Ted Humphreys, Article publi par Bureau Veritas certification Protger vos systmes dinformation , Septembre 2006, ISO/CEI 27001:2005 ltat de lart en gestion de scurit de linformation M.GILLET et P. GILLET, DSCG Management et systme dinformation , 2007.

Webographie : www.easeo.fr www.institut.capgemini.fr www.itil.fr www.outwares.com www.scribd.com www.slideshare.net

19