Vous êtes sur la page 1sur 40

Universit de Sfax Institut des Hautes tudes Commerciales de Sfax

EXPOS DE MMOIRE DE STAGE


Audit des systmes dinformation : mise en uvre
de lapproche Cobit4.1
(laboration dun gnrateur de guides daudit pour
le cas de la STEG)

Soutenance de
18/04/2014

Elabor par : Mr Ammar SASSI

Plan

Introduction

Problmatique

Contexte et mission de stage

Pourquoi Cobit4.1?

Le gnrateur de guides daudit : raisons dtre

Le gnrateur de guides daudit : dmarche et rsultats

Tutoriel

Conclusion

Limites

Introduction
Une volution de la notion de linformatique dans lconomie moderne a transform
lorganisation de la fonction informatique.
Approche classique
Qui la dcoupe selon
lorganisation structurelle
(fonctionnelle) de lentreprise et
la considre comme juste un
support technique aux mtiers.

Approche intgre

Axe sur les mtiers, et


organise en processus
interconnects, donnant ainsi
lieu la nouvelle notion de
systme dinformation.

Cette mutation a eu des rpercutions sur la fonction daudit informatique, pour ainsi
se transformer en audit des systmes dinformation.
Dsormais plusieurs rfrentiels et normes traitant les SI des entreprises de
plusieurs perspectives se prsentent aux auditeurs, tels que : ITIL , CMMi, PMBOK,
PRINCE2, TOGAF, COSO, eSCM, Cobit, ISO 20000 , la famille ISO 2700X.

Parmi ces nombreux rfrentiels et normes internationales Cobit 4.1 se manifeste


comme un cadre fdrateur et global de contrle, de management, de gouvernance
et daudit des SI.
Il est considr pour les SI comme lquivalent de COSO en matire de contrle
interne. Il est de mode ces dernires annes et il gagne de reconnaissance.
Mais vrai dire, cest pour des raisons concrtes et bien fondes quil est jug utile
pour les entreprises.

Problmatique

Quels sont les avantages de cadre fdrateur Cobit4.1 en matire


daudit des SI? Et au moyen de quel outil peut-on les mettre en
uvre?

Contexte et mission de stage


La Socit Tunisienne de llectricit et
de Gaz (STEG) est un monopole public
cre en 1962 et qui uvre dans la
production, la distribution et le
transport de llectricit et du gaz sur
lensemble de territoire tunisien.
Elle occupe la deuxime place dans
lchelle des performances des
entreprises tunisiennes en terme
de chiffre d'affaires (qui a atteint 2670
MDT en 2012).

La considration des personnes

Pour satisfaire les besoins de ses clients


dans les meilleures conditions de cot,
qualit et scurit, et afin de garder sa
place de leader, la STEG adopte une
stratgie globale qui se fond sur les cinq
valeurs suivantes :

Le travail en quipe

L'amlioration continue

La gestion par les faits

Lorientation client

Cest au moyen
des instance telle
que la direction
daudit interne (et
ses diffrentes
divisions) que la
STEG a pu soutenir
cette stratgie
damlioration
continue.

Mission de stage

Ma mission pendant ce stage tait de contribuer au dveloppement des mthodes et


outils daudit des SI de la STEG afin dassurer des SI efficaces et efficients un haut
niveau de qualit et de scurit, permettant ainsi de soutenir la stratgie globale de
la STEG : celle de lamlioration continue de ses services et produits.
Mes tches se sont alors tendues du diagnostic de ltat des lieux de la STEG en
matire daudit des SI, jusqu la prsentation des nouvelles solutions et leurs
implmentations.

Pourquoi Cobit4.1?
Cobit4.1 se distingue par :
Un modle de 34 processus interconnects (groups en 4 domaines) qui
considre toutes les ressources de SI et couvre lintgralit des ses activits.
Un ensemble de bonnes pratiques sous formes de 215 objectifs de contrle qui
se dclinent en plusieurs pratiques de contrle
Son alignement sur les besoins des mtiers
Son alignement sur les diffrentes approches et bonnes pratiques des
autres rfrentiels et normes internationales
Un grand nombre dlments, concepts, et dmarches couvrant les
volets contrle, management, gouvernance et audit des SI
Une documentation abondante

Modle processus de Cobit4.1

Dans son modle


processus,
Cobit4.1 considre
toutes les ressources
de SI et couvre
lintgralit des
ses activits,
tout en salignant sur
les objectifs mtiers
et ceux de la
gouvernance.

Les lments de Cobit4.1


Objectifs mtiers

Objectif processus

Objectifs informatiques

La liste des processus

Objectifs de contrle

Les tableaux RACI


Les modles de maturits
Les attributs des modles
Les descriptifs des processus
Les entres / sorties des processus
Les descriptifs des objectifs de contrle

Objectifs activit

Procdures de contrle

Cobit4.1

Les critres dinformation

Les procdures dvaluation


Les mesures des rsultats (KGI)
Les mesures de performance (KPI)
Les nonces des valeurs et des risques

La documentation Cobit4.1
La documentation Cobit4.1 couvre
les volets contrle, gouvernance, management,
et audit des SI.
Et sadresse aux diffrents intervenants :
dirigeants, responsables mtiers et
informatiques, professionnels
dassurance, auditeurs , oprationnels

La dmarche daudit selon Cobit4.1

Cobit 4.1 offre au


moyen de son
guide daudit une
dmarche daudit
bien labore qui
se divise en trois
phases

Le gnrateur de guides daudit : raisons


dtre
Suite une tude des tats des lieux de la STEG en matire de management
et daudit des SI (couvrant la priode de lanne 2007 lanne 2011), on a
remarqu les points suivants :

Un fort dveloppement des activits des SI (qui touchent aussi bien le niveau
stratgique, organisationnel, managriale quoprationnel)

Alignement des projets informatiques sur les objectifs stratgiques de lentreprise


tablissement dun schma directeur des SI
Lactualisation, la restructuration et la mise en place des structures de contrle et de pilotage
Dveloppement des projets informatiques
Lacquisition, le dploiement, le test et la mise en uvre des progiciels et systmes informatiques
La maintenance et le dveloppement de linfrastructure informatique
Lexternalisation des services et la gestion des contrats avec des tiers
La gestion des centres dassistances aux utilisateurs (helpdesk) .

Ce dveloppement des activits des SI a impliqu une croissance dans les missions
daudit (de 12 missions en 2007 32 en 2010 et 22 en 2011) afin de couvrir toutes
ces activits
Pour excuter ces missions les auditeurs informatique de la STEG se rfrent une
varit des rfrentiels et normes, tels que :

ISO 9001, ISO 14001, ISO 26000, OHSAS 18001 dans le cadre des missions globales daudit interne traitant
lensemble des structures de la STEG (y compris les SI)

ISO 13335, ISO 17799, la famille ISO 2700X, ITIL V3, PRINCE2 qui sont des normes et des cadres de rfrences
spcifiques aux SI.

Ces missions, bien quils apportent leurs contributions lamlioration des dispositifs
de contrle propres aux SI, cependant on a remarqu labsence dune dmarche
daudit globale permettant dorganiser et de structurer les diffrentes missions dans
une logique cohrente et complmentaire.

La solution tait dlaborer un gnrateur de guides daudit hirarchiss, cohrents


et complmentaires sur la base de lapproche de cadre de rfrence Cobit4.1 en
raison de ses nombreux avantages, lensemble de ses lments et concepts adapts
laudit et labondance de sa documentation en la matire.
Ce gnrateur de guides daudit sera implment en une application Excel et
comportera les sous produits suivants :
Un guide gnrique (une plateforme de questionnaires daudit)
Une carte de correspondance Missions- Objectifs de contrle
Un ensemble de tables de mappage

Conception de gnrateur de guides daudit


Gnrateur de guides
daudit
Conception

Guide gnrique
(plateforme des
questionnaires daudit)

Carte de correspondance
Missions Objectifs de
contrle

Tables de mappage
Implmentation

Feuilles Excel

Le gnrateur de guides daudit : dmarche et


rsultats
Ce gnrateur de guides daudit aura pour objectif de traduire lapproche Cobit4.1 en
matire daudit des SI en permettant aux auditeurs de planifier, cadrer et excuter :
des missions daudits cohrentes, complmentaires, oprant dans une mme
logique, couvrant lintgralit des activits des SI, alignes sur les exigences
mtiers au niveau le plus gnral et ouvertes sur les bonnes pratiques dautres
rfrentiels et normes plus spcifiques.
Llment central sur le quel se base lapproche Cobit4.1 en matire daudit des SI ce
sont les objectifs de contrle , cest ainsi le cas pour ce produit. Autres lments et
publications de Cobit4.1 vont uvrer dans llaboration de ce gnrateur de guides
daudit et ses diffrents sous produits.

Objectifs mtiers

Objectif processus

Objectifs informatiques

La liste des processus

Objectifs de contrle

Les tableaux RACI


Les modles de maturits
Les attributs des modles
Les descriptifs des processus
Les entres / sorties des processus
Les descriptifs des objectifs de contrle

Objectifs activit

Procdures de contrle

Cobit4.1

Les critres dinformation

Les procdures dvaluation


Les mesures des rsultats (KGI)
Les mesures de performance (KPI)
Les nonces des valeurs et des risques

Le guide gnrique (plateforme de questionnaires daudit)

Ce guide prsente une plateforme depuis de laquelle vont tre gnrs diffrents
questionnaires en rponse un ventail de missions. Cette plateforme est tabli
intgralement partir de la documentation Cobit4.1 en la matire, elle prsente
tous les objectifs de contrles Cobit4.1 et offre un grand nombre dvaluations
associes chacun de ces objectifs sous forme de questions soutenus par des
renseignements et des conseils.

La carte de correspondance Missions- Objectifs de contrle)


Cest une carte cl qui permettra didentifier les principaux objectifs de contrle qui
devront tre valus en rponse une mission bien dtermine. Sur la base de ces
objectifs identifis, un questionnaire spcifique la mission fixe sera gnr par la
suite.
Et afin dalimenter cette carte avec des modles de cadrage, on a choisi une mission
type Audit de la scurit globale des SI . Le choix de cette mission nous a
permet dlaborer une hirarchie de guides daudit spcifiques traitant la scurit
des SI de plusieurs perspectives.

La dmarche quon a suivi pour dresser cette carte sest inspire largement de la
dmarche de cadrage des objectifs de contrle de Cobit4.1
Elle comporte en principe trois niveaux de cadrage:
Un premier niveau de cadrage (cadrage de haut niveau) : afin didentifier les
processus Cobit4.1 qui rpondent aux exigences de scurit
Un deuxime niveau de cadrage (cadrage des objectifs de contrle initiaux)
Un troisime niveau de cadrage (affinement de cadrage) : ce niveau permet de ne
garder que les objectifs de contrle critiques et qui correspondent aux ressources
les plus concernes par la mission

Le principe de
cadrage consiste
identifier les
objectifs de
contrle critiques
correspondant aux
ressources en
relation
directe avec une
mission daudit
prcise.

Dans un premier lieu cette dmarche aura pour objectif de restreindre le champ
dinvestigation pour la mission choisie Audit de la scurit globale des SI en un
sous-ensemble dobjectifs de contrle critiques et correspondant aux ressources les
plus concernes.
Cependant notre choix pour cette mission a un autre objectif plus intressant. Celui de
prsenter un hirarchie de guides daudit cohrents et complmentaires dont la
mission mre sera un cadre annuel pour les sous- missions drives.

Pour cette raison, on sest arrt au deuxime niveau de cadrage, qui permet de
dterminer les objectifs de contrles initiaux rpondant la mission Audit de la
scurit globale des SI .
Et on a opr un dcoupage de cette mission globale en sous-mission plus
spcifiques, en se rfrant aux publications Cobit4.1 (essentiellement Cobit Security
Baseline 2nd Edition).

Les tables de mappage


Ces tables vont permettre aux auditeurs daffiner leurs missions daudit en se
rfrant aux bonnes pratiques des autres cadres de rfrences et normes
internationales qui traitent le mme objet dune telle ou telle mission daudit. Le
cadre de rfrence Cobit4.1 offre cet avantage via ses objectifs de contrle qui
salignent sur les bonnes pratiques dun grand nombre de standards et normes
internationales.

Dans notre cas dtude Audit de la scurit globale des SI , le cadre de rfrence
le plus adapt, cest la norme ISO 27002. Et en se rfrant aux publications
Cobit4.1 (essentiellement Cobit Security Baseline 2nd Edition) nous avons pu
dresser la table de mappage suivante :

Tutoriel

Gnrateur de guides daudit

Conclusion
Ce prsent travail a eu pour but de rpondre aux questions poses au dbut :

Quels sont les avantages de cadre fdrateur Cobit4.1 en matire


daudit des SI? Et au moyen de quel outil peut-on les mettre en
uvre?

En fait jai essay via cet expos et mon mmoire crit de mettre de la lumire sur
le volet audit de cadre de rfrence Cobit4.1, et par le produit rsultant le
gnrateur de guides daudit jai cru propos un outil afin dimplmenter cette
dimension audit de Cobit4.1

Les plus importants remarques retenir de ce travail, cest que:

Cobit4.1 se prsente aussi bien comme un cadre daudit des SI


Cobit4.1 permet via son modle processus, qui couvre lensemble des ressources et
les activits des SI, de mener des missions daudit allant des niveaux stratgiques et
managriales jusquaux niveaux purement oprationnels et techniques
Cobit4.1 est un cadre fdrateur c..d. quil intgre plusieurs dmarches, bonnes
pratiques et concepts dautres standards informatiques
Cobit4.1 dote dun ensemble important dlments uvrant dans son volet audit et
dote aussi dun documentation abondante en la matire
Cobit 4.1 offre via son guide daudit une dmarche bien labore pour les auditeurs
informatiques afin de planifier, organiser et excuter diffrentes missions daudit
cohrentes, complmentaires et uvrant dans une mme logique

Le produit de ce prsent travail


: le gnrateur de guides
daudit prsente une
incarnation de lapproche
Cobit4.1 en matire daudit
des SI. Il peut intervenir dans
les diffrents niveaux de la
dmarche daudit prsente
par ce dernier.

Carte de correspondance
Missions Objectifs de contrle

Questionnaires gnrs
Tables de mappage

Limites
Le gnrateur de guides daudit rsultant de ce travail ne prsente quun seul modle
de cadrage (celui correspondant la mission type traite), ainsi il ne peut tre pas
considr comme un travail complet.
Cependant il offre une plateforme de procdures dvaluations bien labore, il nen
reste que dalimenter la carte cl (carte de correspondance Missions Objectifs de
contrle ) par dautre travaux de cadrage portant sur dautres types de missions.

Dans ce travail on sest focalis seulement sur le volet audit de Cobit4.1, ce qui ne
rsume pas ltendu de ce cadre fdrateur. En fait Cobit4.1 et multidimensionnels,
cest aussi un cadre de gouvernance, de contrle et de management et de des SI.
Il offre une plateforme de communication pour les diffrents intervenants : dirigeants,
managers, oprationnels et auditeurs afin de mieux matriser les SI et daccentuer
leur rle mergeant en tant que crateur de valeur .
Ainsi une implmentation de ce cadre multidimensionnels sera dune grande utilit
pour les entreprises. Et aussi sera fortement recommande pour que le produit de ce
prsent travail (le gnrateur de guides daudit) ouvrera dans un contexte appropri.

Merci pour votre attention

Vous aimerez peut-être aussi