Vous êtes sur la page 1sur 36

THEORIE A DEFINIR

ET CAS PRATIQUES

8/28/2012 Option AUDIT 1


INTRODUCTION

Linformatique : omniprsente et indispensable

Dveloppement des S.I. accroissement des


risques

Le SI = Systme Nerveux de lentreprise

AUDIT = moyen prventif utilis trop souvent titre


curatif (58% des cas)

LAudit informatique simpose Prise de conscience

[premire approche dans les annes 6 aux U.S.A.]


8/28/2012 2
PLAN DU COURS

Gnralits
Primtre et 5 rgles
Objectif
Dmarche gnrale
Conduite de la mission
Les OUTILS de lauditeur
Normes
Mthodes
Critre de choix
Cas pratique
8/28/2012 3
5 Rgles
Gnralits
Objectifs
GENERALITES Dmarche
Conduite

8/28/2012 4
5 REGLES CLES [RAPPEL]

1. Observer langle dattaque et comparer les


rsultats avec un rfrentiel idal jugement
constructif, recommandations adquates
2. Laudit informatique est toujours faisable,
contrairement au management du SI
3. Moyens et actions adapts au sujet de laudit, de
faon exclusive et exhaustive
4. Qualit de laudit gestion logique et rigoureuse
5. Dontologie de laudit

8/28/2012 5
GENERALITES 1/2

BESOIN
Faire un diagnostic par un expert indpendant pour tablir un
tat des lieux, dfinir des points amliorer et obtenir des
recommandations/prconisations pour faire face aux faiblesses
dtectes dans lentreprise

REPONSE
Lauditeur intervient en tant que mesureur des risques.
Identification des faiblesses
Identification des impacts
Identification des solutions
Identification des risques

8/28/2012 6
GENERALITES 2/2

AUDIT ou CONSEIL
Laudit informatique terme largement utilis, couvrant des
ralits variables
Certaines prestations nommes AUDIT INFORMATIQUE sont des
missions de CONSEIL

CHAMP DACTION PRINCIPAL


Loutil informatique est au centre de laction dAUDIT.
Inclut la bureautique : applications et matriels
Inclut les outils lis aux NTIC
Intgre les ressources humaines, utilisateurs du systme
Prend en compte politique et dveloppement informatique

8/28/2012 7
Fiabilit de
lenvironnement
informatique,
OBJECTIFS

8/28/2012 8
OBJECTIFS

en terme de fiabilit de lenvironnement


informatique

Lintrt du contrle interne


Acteurs de laudit informatique
Composantes dun audit de lactivit informatique
Mthodes daudit de lactivit informatique

8/28/2012 9
FIABILIT DE LENVIRONNEMENT INFO.

Lintrt du contrle interne 1/2


(selon lOEC)
Contrle interne = ensemble des scurits contribuant
la matrise de lentreprise
But du contrle interne
Assurer la protection, la sauvegarde du patrimoine et la
qualit de linformation
Appliquer les instructions de la direction
Favoriser lamlioration des performances
Manifest par lorganisation, les mthodes et les
procdures de chacune des activits de lentreprise pour
maintenir sa prennit.

8/28/2012 Primtre de laudit 10


FIABILIT DE LENVIRONNEMENT INFO.

Lintrt du contrle interne 2/2


(selon lOEC)
Objectifs
Bonne organisation densemble de lactivit
informatique
Existence de procdures
Existence de mthodes
Finalit
Rduire les risques de malveillance
Formaliser des procdures, vrifier leur acquisition
Amliorer lefficacit de lactivit informatique
RETOUR

8/28/2012 Primtre de laudit 11


FIABILIT DE LENVIRONNEMENT INFO.

Les acteurs de laudit informatique

Direction de lentreprise
Responsable informatique
Contrleur(s) externe(s) : commissaire aux comptes,
administration fiscale, banque et lauditeur
spcialis ou gnraliste

RETOUR

8/28/2012 12
FIABILIT DE LENVIRONNEMENT INFO.

Les composantes dun audit de lactivit


informatique

Examen de lorganisation gnrale du service


Examen des procdures lies au dveloppement et
la maintenance des applications
Examen des procdures lies lexploitation des
chanes de traitement
Examen des fonctions techniques

RETOUR

8/28/2012 13
FIABILIT DE LENVIRONNEMENT INFO.

Mthodes daudit de lactivit informatique

Entretiens avec le personnel du service informatique


et les utilisateurs du service
Contrle de documents et dtats
Outils commercialiss de type progiciel
Mthodes (CoBiT, Mhari, ) et Rfrentiels

RETOUR

8/28/2012 14
FIABILIT DE LENVIRONNEMENT INFO.

en terme de performances et defficacit


Mise en place dun plan de secours
Etude approfondie de la performance et du
dimensionnement des machines
Adquation des logiciels systmes avec les besoins

Laudit defficacit constitue une mission mandate


par la direction gnrale (cot de son informatique)
ou par le responsable du service concern
(pertinence de la configuration).
RETOUR

8/28/2012 15
FIABILIT DE LENVIRONNEMENT INFO.

en terme de fiabilit dune application


informatique
OBJECTIF PREMIER : se prononcer sur la qualit dune
application donne

TYPES DE CONTROLES :
Contrler la fiabilit dune application et de son utilisation
Contrler ladquation des logiciels dvelopps avec les
spcifications fonctionnelles
Rechercher fraude ou erreur
Contrler la qualit des mthodes de dveloppement des
logiciels
Contrler la qualit des procdures dexploitation
RETOUR

8/28/2012 16
Inter venants
Plan daction

DEMARCHE

8/28/2012 17
DEMARCHE GENERALE

La comptence technique de lauditeur est


un point fondamental pour russir la
mission
Certaines qualits humaines, relationnelles
et des aptitudes la gestion et
lorganisation sont indispensables

RETOUR

8/28/2012 18
LES INTERVENANTS

Auditeur externe contractuel


Auditeur interne
Commissaire aux comptes

RETOUR

8/28/2012 19
AUDITEUR EXTERNE CONTRACTUEL

SSII
Freelance
Missions :
Examen de contrle interne de la fonction
informatique
Audit de la scurit physique du centre de
traitement
Audit de la confidentialit daccs
Audit des performances
RETOUR

8/28/2012 20
AUDITEUR EXTERNE CONTRACTUEL

Domaines dans lesquels les auditeurs


informatiques sont le plus souvent sollicits :
Scurit logique 80%
Conduite de projets 68%
Revue de lenvironnement informatique 66%
ERP / Revue dapplication 58%
Maitrise douvrage CDC 54%
Analyse de donnes 50%
Dveloppement et rle des tudes 46%
Recettes 42%
Qualit du code et ralisation 30%
20 % : organisationnel, politique, formation, moyens
RETOUR

8/28/2012 21
AUDITEUR INTERNE

Missions susceptibles dtre confies


lauditeur interne identiques lexterne
Problme dlicat :
lauditeur interne dpend de la direction
informatique ou dun service daudit
Comment couvrir dans un dlai raisonnable
lensemble des risques ?
Comment garder son objectivit et tre
critique ?
RETOUR

8/28/2012 22
COMMISSAIRE AUX COMPTES

Rle et obligation
Vrifier que les comptes prsents sont
rguliers et sincres, quils donnent une
image fidle de la situation de lentreprise.
Prsence obligatoire dans la majorit des
socits commerciales

RETOUR

8/28/2012 23
DMARCHE GNRALE

Approche en environnement informatique

Phase 1 : orientation et planification de la


mission
Phase 2 : valuation des risques
Phase 3 : Obtention dlments probants

RETOUR

8/28/2012 24
APPROCHE ENVIRONNEMENT INFORMATIQUE

Phase 1 Phase 2 Phase 3 Obtention


Orientation et Evaluation lments probants
planification des risques

1.1 - Prise de 2.1 Incidence de la 3.1 Mise en uvre des


connaissance de fonction informatique, procdures daudit :
linformatique : apprcier t ra n s v e r s e a u x a c t i v i t s dtermination du
son importance et son de lentreprise, sur le c a ra c t r e s u f f i s a n t e t
i m p a c t d a n s l l a b o ra t i o n risque inhrent appropri des lments
des comptes probants obtenus et lien
avec lopinion sur les
1.2 Description du SI de comptes
1.2 Description du SI lentreprise :
de lentreprise : identification des
identification des 3.2 Liens avec les
principales composantes
principales composantes obligations lgales du
du SI et de son niveau de
du SI et de son niveau de commissaire aux comptes
complexit
complexit : mission de lopinion sur
les comptes, information
2.3 Synthse de la direction
1.3 Prise en compte de
linformatique dans le l va l u a t i o n d e s r i s q u e s
plan de mission

TECHNIQUES DAUDIT ASSISTEES PAR ORDINATEUR25


8/28/2012
DMARCHE GNRALE

Plan pluriannuel daudit


Un plan annuel est dfini sur une priode de 3
4 ans, pour couvrir lensemble des
composantes du risque informatique, par les
auditeurs qui vont fixer des programme
annuel de travail dtaills
Le programme de travail annuel reprend, en
prcisant dates et modalits dintervention,
les missions prvues au plan pluriannuel.
RETOUR

8/28/2012 26
DMARCHE GNRALE
EXEMPLE DE PLAN PLURIANNUEL
Anne Travaux planifis
1 Examen du contrle interne de la fonction informatique au sige
Audit gnral de la filiale A
Examen limit du contrle interne informatique et tude approfondie
du logiciel de gestion de production de cet tablissement
2 Audit informatique gnral de la filiale B
Analyse de lapplication de gestion du personnel
Examen approfondi du contrle interne informatique de B
3 Etude de lensemble de la gestion des scurits informatiques dans le
groupe
Audit des logiciels de gestion des stocks de ltablissement
Audit gnral de linformatique de la filiale C
4 Examen de contrle interne de la fonction informatique au sige
Etude densemble de la gestion des scurits physiques dans le groupe
: raliser conjointement avec un cabinet extrieur
RETOUR
Audit du logiciel de gestion des commandes et facturations de
8/28/2012 ltablissement Primtre de laudit 27
CONDUITE Dmarche
Quel auditeur ?

DE LA MISSION Quel cot ?


Les outils

8/28/2012 28
CONDUITE DE LA MISSION
DEMARCHE Travaux planifis
Lettre Objectifs de la mission, primtre, priode dintervention, contraintes
de MISSION prvoir pour les services audits, mthode, constitution de lquipe,
documents prparatoires
Programme Structure de lentreprise concerne
de TRAVAIL Domaines fonctionnels
Applications informatiques
Matriels et rseaux
Enqute Dlimiter les besoins, analyser le systme dinformation de
pralable lentreprise ou le service audit
Interroger en collaboration avec laudit, les utilisateurs et les
entreprises qui participent au fonctionnement du SI
Runion de Objectifs :
synthse Garantir que les questions de lauditeur ont t comprises
Garantir que les rponses apportes ont bien t interprtes
RETOUR
Rapport Clair, vulgaris, non port sur la technique
8/28/2012 29
daudit Propose un PLAN DACTION pour amliorer la performance
CONDUITE DE LA MISSION

Comment lauditeur est choisi ?

Indpendance
Professionnel du diagnostic, spcialiste
Capacits remettre des recommandations
en adquation avec lentreprise audite

RETOUR

8/28/2012 30
CONDUITE DE LA MISSION

Quel cot pour lentreprise ?

Cot moyen journalier : 1.000


Le Groupement Professionnel National de
lInformatique (www.gpni.com) estime un cot
global de procdure entre 500 et 3.000
Economies immdiates lors du constat de
dpenses inutiles
Rduction des risques rduction des cots
RETOUR

8/28/2012 31
LES OUTILS DE LAUDITEUR

Les Normes ISO 27002 et ISO 27001


Cre en 2000 (ISO 17799), renomme en 2005
Objectif scurisation de linformatique pour apporter
confidentialit, intgrit et disponibilit
Caractre facultatif : guide de recommandations
4 tapes dans la dmarche de scurisation :
1. Liste des biens sensibles protger
2. Nature des menaces
3. Impacts sur le SI
4. Mesures de protection

8/28/2012 32
LES OUTILS DE LAUDITEUR

Les Normes ISO 27002 et ISO 27001


Cre en 2005
Objectif politique du management de la scurit
Etablir un Systme de Management de la Scurit de
lInformation (SMSI) :
1. Choix des mesures de scurit
2. Protection des actifs
Utilisation du Modle PDCA
(ou Roue de Deming)
Plan : ce quon va faire
D(o) : production
C(heck) : mesure, vrif
A(ct) : dcision corrective
8/28/2012 33
LES OUTILS DE LAUDITEUR

6 domaines de processus
Dfinir une politique de scurit
Dfinir le primtre du SMSI
Evaluer les risques
Grer les risques identifis
Choisir et mettre en uvre les contrles
Dfinir le SOA (Statement Of Applicability Charte du
SMSI)
SOA : document justifiant formellement les choix d'implmentation (ou non) dans le SMSI de tout
ou par tie des clauses ISO 27001 (Chapitres 4 8 de l'ISO 27001) et/ou des contrles ISO 27001
(Annexe A5 A15 de l'ISO 27001) dans la m ise en oeuvre et la documentation du SMSI.

Conditions remplies certification ISO 27001

8/28/2012 34
LES MTHODES

CoBiT
Mehari
EBIOS
CRAMM
OCTAVE
ITIL
CMMI
SIX SIGMA
SPICE, AGILE,
et son propre rfrentiel
8/28/2012 35
LE RFRENTIEL

Mise en commun intellectuelle de terminologie, de pratiques


ou de rgles servant de rfrence.
Le rfrentiel rassemble ainsi sous un vocabulaire commun
(et gnralement explicite) toutes les notions que
schangent les diffrents services et logiciels de lentreprise.
La cration d'un rfrentiel est notamment souvent l'une des
bases des projets importants.
Pour les applications de Business Intelligence, les
dcisionnels, les ERP, il s'agit d'une base centrale des noms
de donnes manipules par les diffrentes applications
(gnralement avec leur description et leurs rgles).
Pour la gouvernance informatique, il existe des rfrentiels
de bonnes pratiques, constituant une base mthodologique
permettant de d'aboutir la qualit (COBIT, ITIL, CMMI, Spice,
ISO 9000....).
8/28/2012 [Source : guideinformatique.com] 36