Vous êtes sur la page 1sur 45

Thories et cas pratique

M1CCA
Amaaouch Rachid
Larrondo
Christopher
Peyras Jean-Nel
Favereau Etienne

Linformatique est omniprsente et indispensable

Dveloppement des SI = accroissement des risques

Le SI est le systme nerveux de lentreprise

Laudit est un moyen prventif bien quutilis trop souvent


titre curatif (58% des cas)

Laudit informatique simpose, il y a une prise de conscience

A vu le jour dans les 60s aux USA

I- Gnralits
A- Objectifs
B- Dmarche gnrale
C- Conduite de la mission
II- Les outils de lauditeur
A- Normes
B- Mthodes
C- Critres de choix
III- Cas pratique

Laudit correspond au besoin de faire faire un diagnostic par


un expert indpendant pour tablir un tat des lieux, dfinir
des points amliorer et obtenir des recommandations pour
faire face aux faiblesses de lentreprise.

Lauditeur intervient en tant que mesureur des risques, il


identifie faiblesses, impacts, solutions et les risques si les
mesures ne sont pas prises.

Laudit Informatique est un terme largement utilis, il couvre


donc des ralits souvent diffrentes, et certaines
prestations ralises sous le terme d Audit Informatique
sont en fait des missions de Conseil.

Le champ daction principal de lAudit Informatique doit


rester loutil informatique au sens large, en y incluant la
bureautique (application, matriels) et de plus en plus les
outils lis lusage des technologies de lInternet

En termes de fiabilit de lenvironnement


informatique

a) Lintrt dun contrle interne


b) Les acteurs de laudit informatique
c) Composantes dun audit de lactivit informatique
d) Mthodes daudit de lactivit informatique

a) Lintrt dun contrle interne


Selon lOEC, le contrle interne est:
lensemble des scurits contribuant la matrise de
lentreprise.
Il a pour but:
- dassurer la protection, la sauvegarde du patrimoine et
la qualit de linformation
- lapplication des instructions de la direction et favoriser
lamlioration des performances.
Il se manifeste par lorganisation, les mthodes et
procdures de chacune des activits de lentreprise pour
maintenir sa prennit

bonne organisation densemble de lactivit


informatique
existence de procdures
existence de mthodes

Finalit

rduire les risques de malveillance


des procdures formalises bien comprises
amlioration de lefficacit de lactivit informatique.

b) Les acteurs de laudit informatique

direction de lentreprise

responsable informatique

contrleurs externes (commissaires aux comptes,


administration fiscale, banques)

c) Composantes dun audit de lactivit


informatique

examen de lorganisation gnrale du service,

examen des procdures lies au dveloppement


et la maintenance des applications,

examen des procdures lies lexploitation des


chanes de traitement,

examen des fonctions techniques.

d) Mthodes daudit de lactivit informatique

entretiens avec le personnel du service informatique et les


utilisateurs du service

contrles de documents ou dtats

outils commercialiss (progiciel)

mthodes (COBIT, MEHARI)

En termes defficacit et de performances

mise en place dun plan de secours


tude approfondie de la performance et du
dimensionnement des machines
adquation aux besoins des logiciels systme

En dautres termes laudit defficacit, constitue une


mission mandate soit par la direction gnrale, afin de
sinterroger sur le cot de son informatique, soit par le
responsable du service, de manire vrifier la pertinence
de sa configuration .

En termes de fiabilit dune application


informatique

Objectif premier: Se prononcer sur la qualit dune


application donne .

Types de contrle:

Contrle de la fiabilit dune application, ou son utilisation


Contrle de ladquation des logiciels dvelopps aux
spcifications fonctionnelles
Recherche de fraude ou erreurs
Contrle de la qualit des mthodes de dveloppement des
logiciels ou contrle de la qualit des procdures
dexploitation

La comptence technique de lauditeur est un point


fondamental pour la russite de la mission, il implique aussi
de disposer de certaines qualits humaines, relationnelles,
et des qualits de gestionnaire et dorganisateur.

1) Intervenants
2) Plan pluriannuel daudit

1) Intervenants
a) Auditeur externe contractuel

socit spcialise en ingnierie et services


informatique(SSII)
free-lance
Leurs missions
examen de contrle interne de la fonction informatique,
audit de la scurit physique du centre de traitement,
audit de la confidentialit daccs
audit des performances

Domaine

Pourcentage

Scurit logique

80%

Conduite de projets

68%

Revue environnement informatique

66%

ERP / Revue d'application

58%

Production

54%

Maitrise d'ouvrage et Cahier des charges

54%

Analyse de donnes

50%

Dveloppement et rle des tudes

46%

Recettes

42%

Qualit du code et ralisation

30%

Autre

20%

Source: enqute AFAI 2003

b) Auditeur interne

Les missions susceptibles dtre confies lauditeur


informatique interne sont a priori les mmes que celles
susceptibles dtre confies lauditeur externe.

Cependant, lauditeur interne qui dpend soit de la direction


informatique ou dun service daudit, se trouve confront
un problme dlicat : Comment couvrir dans un dlai
raisonnable lensemble des risques informatiques ?

c) Commissaire au comptes
o

Rle
Le commissaire au compte a pour rle de vrifier que les
comptes prsents sont rguliers et sincres, et quils
donnent une image fidle de la situation de lentreprise.
Leur prsence est obligatoire dans la plupart des socits
commerciales.

Approche en environnement informatique

Source:

CRCC de Paris

2) Plan pluriannuel daudit

Un plan annuel est dfinit sur une priode de 3 4 ans,


pour couvrir lensemble des composantes du risque
informatique, par les auditeurs internes qui vont fixer des
programmes annuels de travail dtaills.

Le programme de travail annuel reprend, en prcisant les


dates et modalits dintervention, les missions prvues au
plan pluriannuel.

Exemple de plan pluriannuel

Dmarche

a) la lettre de mission

Objectifs de la mission
Primtre de la mission
Priode dintervention
Contraintes prvoir pour les services audits
Mthode
Constitution de lquipe
Documents prparatoires

b) Le programme de travail

Structure de lentreprise concerne

Domaines fonctionnels

Applications informatiques

Matriel et rseaux

c) Enqute pralable
dlimiter les besoins et analyser le systme dinformation de
laudit
interroger en collaboration avec laudit, les utilisateurs et
les entreprises qui participent au fonctionnement actuel du
SI
d) Runion de synthse
sassurer :
- que les questions de lauditeur ont t bien comprises
- que les rponses ont t bien interprtes

e) Rapport daudit

Le rapport est ensuite rdig. Il doit tre clair et non port


sur la technique

mission dexpertise: il proposera un plan daction pour


amliorer la performance

Comment choisir un auditeur informatique ?

Trois critres majeurs sont donc retenir :


- lindpendance de lauditeur
- professionnel du diagnostic
- sa capacit remettre des recommandations.

Que reprsente un audit en termes de cot et


dconomies pour l'entreprise ?

Cot:
Avec un prix moyen de la journe environ 1000 euros, le
Groupement national des professionnels de linformatique
(GPNI) estime le cot global de la procdure entre 500 et
3000 euros.

Economies:
- Economies immdiates lors du constat de dpenses
inutiles
- Rduction des risques entrainant rduction de cot

ISO 27002

Gnralits: Cre en 2000 (ISO 17799), Renomme en 2005

Objet: scurisation de linformation

=> Confidentialit, intgrit, disponibilit

Caractre facultatif => guide de recommandations

4 tapes dans la dmarche de scurisation:


-

Liste des biens sensibles protger


Nature des menaces
Impacts sur le SI
Mesures de protection

ISO 27001

Gnralits: Cre en 2005


Objet: Politique du Management de la Scurit de lInformation
=> tablir un Systme de Management de la Scurit de
lInformation :
- Choix des mesures de scurit
- Protection des actifs
Utilisation du modle PDCA

6 domaines de processus :
-

Dfinir une politique de scurit


Dfinir le primtre du SMSI
Evaluation des risques
Grer les risques identifis
Choisir et mettre en uvre les contrles
Rdiger Statement Of Applicability (charte du SMSI)

Conditions remplies => certification ISO 27001

COBIT

Gnralits : Cre en 1996 par lISACA / AFAI


Structure
Contenu:
- Synthse
- Cadre de rfrence
- Guide daudit
- Guide de management
- Outils de mise en oeuvre

Intrts:
- Lien entre les objectifs de lentreprise et ceux de technologies
dinformation
- Intgration des partenaires daffaires
- Uniformisation des mthodes de travail
- Scurit et contrle des services informatiques
- Systme de gouvernance de lentreprise

MEHARI

Gnralits : Cre en 1995 par le CLUSIF, remplaant MARION


Structure:

Intrts:
-

Apprciation des risques aux regards des objectifs de scurit


Contrle et gestion de la scurit

EBIOS

Gnralits : Cre en 1995 par la DCSSI


Structure:

Intrts:
-

Construction dune politique de scurit base sur une analyse des risques
Lanalyse des risques repose sur lenvironnement et les vulnrabilits du SI

Origine gographique de la mthode

Langue

Existence de logiciels adapts

Anciennet = capacit de recul, tmoignages

Qualit de la documentation

Facilit dutilisation

Compatibilit avec les normes

Le cot (matriel et humain)

La popularit, la reconnaissance

Gnralement, combinaison de mthodes lors dun audit

Rappel: certaines associations ont lobligation de nommer un CAC:

lassociation exerce une activit conomique et remplit deux des critres suivants :
50 salaris, 3,1 millions CA, 1,55 million de bilan

lassociation peroit des financements publics suprieurs 153 000.

les associations reconnues dutilit publique

les associations mettant des obligations

les associations collectant la participation des employeurs leffort de construction

les organismes de formation remplissant deux des trois critres suivants: 3 salaris,
153 000 de CA, 230 000 de bilan

les associations sportives affilies collectant des recettes dun montant suprieur
380 000 et employant des sportifs dont la masse salariale excde 380 000

les associations et les fondations bnficiaires de plus de 153 000 euros de dons

Auditeur: Commissaire aux comptes


Audit:

Nature: Association Affres(association loi 1901)

Chiffre daffaires: 30 millions

Accessibilit des imprimantes

Accs aux applications

Topologie du rseau

Absence de vritable administrateur

Procdure de sauvegarde des donnes

Organisation de la comptabilit informatique

Base de donnes

Mieux rpartir les imprimantes dans les locaux

Restreindre laccs aux applications la fonction de


lutilisateur

Crer 2 sous-rseaux (DAF et E&R) indpendants

Nommer un administrateur qualifi

Ladministrateur sera charg des sauvegardes, en veillant


les scuriser

Valider lintgration des critures tous les jours

Modifier la structure de la BD informatise

Laudit informatique sest impos et sinscrit dans lavenir


des entreprises

La normalisation est synonyme de dveloppement et de


crdibilit

Le mtier dauditeur informatique recrute

www.afai.fr
www.journaldunet.com
www.indexel.net
www.aud-it.ch
www.guideinformatique.com
www.bpms.info
Les techniques de laudit informatique, Yann Derrien