SFA Audit Informatique M IRIE

UAA
Universite d’Abobo-
d’Abobo-Adjame 2008-
2008-2009
Module 1
Audit Informatique
M. IRIE Thierry
Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 1

UAA
2008-2009
Plan
I- Généralités
A- Définitions et origines
B- Objectifs et buts
C- Règles
D- Niveaux et types d’audit
E- Démarche et Conduite de mission d’audit
II- Les outils de l’auditeur
A- Normes
B- Méthodes
C- Critères de choix
D- Autres outils
III- Etudes de Cas (TD-TP)
A- Rédaction d’une Fiche d’enquête dans le cas de l’audit de PME
B- Réalisation d’un rapport d’audit de parc informatique
C- Audit d’une application
D- Exploitation d’outils d’audit informatique

UAA
2008-2009
I. GENERALITES
A. Définition et origines
L’audit correspond au besoin de faire faire un diagnostic par un expert indépendant
pour établir un état des lieux, définir des points à améliorer et obtenir des
recommandations pour faire face aux faiblesses de l’entreprise.
Un audit est donc un processus permanent ou ponctuel, par lequel une fonction de
l’entreprise est évaluée par une ou plusieurs personnes qui n’exercent pas cette
fonction dans l’entreprise. Une entreprise souhaite un audit d’une de ses fonctions
parce que ses responsables y perçoivent un dysfonctionnement ou des possibilités
d’amélioration, ou bien veulent comprendre la « vraie » réalité de cette fonction,
c'est-à-dire au-delà de ce qui en est dit ou de ce qu'elle paraît être.
L’audit Informatique est un terme largement utilisé, il couvre donc des réalités
souvent différentes, et certaines prestations réalisées sous le terme d’ « Audit
Informatique » sont en fait des missions de Conseil.
L‘audit en informatique est indispensable à cause des vulnérabilités et des coûts
qu‘induit l‘informatique. Il n‘a de sens que si sa finalité est définie : contrôle fiscal,
juridique, expertise judiciaire, vérification de l‘application des intentions de la
direction, examen de l‘efficacité ou de la sécurité d‘un système, de la fiabilité d‘une
application, etc.
Une évaluation du Système Informatique n‘a aucun sens car ce terme implique une
notion de valeur, alors qu‘aucune notation dans ce cadre espèce n‘a de fondement
objectif : Seules sont fondées des approches « par aspects sur objets », exprimées
concrètement par “tel composant du système, sujet de la mission, présente telles
qualités et tels défauts“.
Auditer rationnellement c’est expliciter les finalités de l‘Audit, puis en déduire les
moyens d‘investigations jugés nécessaires et suffisants. Pratiquement, c‘est
apprécier, dans un but précis, et une situation concrète observée (le comment ?),
l‘application du principe et des règles (le pourquoi ?).
L’auditeur intervient en tant que mesureur des risques, il identifie faiblesses, impacts,
solutions et les risques si les mesures ne sont pas prises.
Le champ d’action principal de l’Audit Informatique doit rester l’outil informatique au

sens large, en y incluant la bureautique (application, matériels…) et de plus en plus
les outils liés à l’usage des technologies de l’Internet…
B) Objectifs et buts
1 Objectifs
Plusieurs objectifs jalonnent les activités d’audit tant au niveau global que sectoriel.
En termes de fiabilité de l’environnement informatique,
Les objectifs assignés à l’audit informatique peuvent être élucider comme suit :
- L’intérêt d’un contrôle interne

UAA
2008-2009
Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de

l’entreprise. Il a pour but :
d’assurer la protection, la sauvegarde du patrimoine et la qualité de
l’information ;
l’application des instructions de la direction et favoriser l’amélioration des
performances.
Il se manifeste par l’organisation, les méthodes et procédures de chacune des
activités de l’entreprise pour maintenir sa pérennité ; d’où les tenants suivants :
bonne organisation d’ensemble de l’activité « informatique » ;
existence de procédures ;
existence de méthodes.
La finalité d’un contrôle interne est de :
réduire les risques de malveillance ;
permettre une bonne compréhension des procédures formalisées par les
utilisateurs ;
amélioration de l’efficacité de l’activité informatique.
- Les acteurs de l’audit informatique
Nous pouvons distinguer :
la Direction de l’entreprise
le responsable informatique
les contrôleurs externes (commissaires aux comptes, administration fiscale,
banques…)
- Composantes d’un audit de l’activité informatique
Les principales composantes sont :
l’examen de l’organisation générale du service ;
l’examen des procédures liées au développement et la maintenance des
applications ;
l’examen des procédures liées à l’exploitation des chaînes de traitement ;
l’examen des fonctions techniques.
- Méthodes d’audit de l’activité informatique
Généralement, l’audit s’effectue à partir :
d’entretiens avec le personnel du service informatique et les utilisateurs du
service ;
de contrôles de documents ou d’états ;
d’outils commercialisés (progiciel) ;
de référentiels ou méthodes (COBIT, MEHARI…).
En termes d’efficacité et de performances,
mise en place d’un plan de secours ;

étude approfondie de la performance et du dimensionnement des machines ;
adéquation aux besoins des logiciels système.
En d’autres termes l’audit d’efficacité, constitue une mission mandatée soit par la
direction générale, afin de s’interroger sur le coût de son informatique, soit par le
responsable du service, de manière à vérifier la pertinence de sa configuration.

UAA
2008-2009
En termes de fiabilité d’une application informatique

L’objectif premier est de « se prononcer sur la qualité d’une application donnée ».
Les Types de contrôle associés sont :
Contrôle de la fiabilité d’une application, ou son utilisation ;
Contrôle de l’adéquation des logiciels développés aux spécifications
fonctionnelles ;
Recherche de fraude ou erreurs ;
Contrôle de la qualité des méthodes de développement des logiciels ou
contrôle de la qualité des procédures d’exploitation.
2 Les buts
Il existe deux types d'audit informatique répondant chacun à un but différent :

l'audit du besoin ;
l'audit de découverte des connaissances.
2.1- L’Audit du Besoin

L'audit du besoin comporte deux parties :
2.1.1-l'analyse de l'existant
L'analyse de l'existant consiste en un travail de terrain au terme duquel on formalise
la circulation des documents "types" d'un acteur à l'autre et le traitement que chaque
acteur applique à ces documents, à l'aide de logigrammes (traitements sur les
documents) et de représentation de graphes relationnels (circulation des
documents).
2.1.2-la détermination de la cible

La détermination de la cible consiste à repérer :
Les passages "papier - numérique" et "numérique - papier" ;
Les redondances dans le graphe ("formulaires en plusieurs exemplaires") ;
Les goulots d'étranglement (dispersion des infrastructures, points de contrôle
et validation nécessaires ?) ;
Le découpage en zones, en sous-graphes : les domaines "métier". Ainsi
chaque zone peut être dotée d'un outil spécifique, plutôt qu'un seul système
global.
Ainsi le résultat de l'audit, généralement élaboré et approuvé collectivement, peut
donner lieu non pas à un projet, mais plusieurs projets ordonnancés dans une feuille
de route.
2.2- Audit de Découverte des Connaissances

Il est peu utilisé puisque réservé à certaines applications (hypercube,..).
L'audit de découverte des connaissances consiste à valoriser les données et
connaissances existantes dans l'entreprise. La modélisation mathématique des
bases de données oblige toujours à "perdre" une partie de l'information, il s'agit de la
redécouvrir en "brassant" les données.
Un audit de découverte des connaissances aboutit généralement au montage d'un
système décisionnel, mais peut également être le prélude à un système de gestion
des connaissances

UAA
2008-2009
L'audit de découverte des connaissances se pratique de la manière suivante :

Pas d'objectifs : on ne sait pas ce que l'on va découvrir ;
Un domaine : on sait sur quels métiers on travaille, donc sur quelles bases de
données ;
Une équipe intégrée : travaille in situ, trois acteurs dont un expert "métier", un
expert "administration informatique" et un fouilleur de données (data mining) ;
Le travail se fait par boucle courte de prototypage ;
Pour faciliter le brassage des données, on modifie leur format et leur disposition
relative. C'est le "preprocessing" qui prend le plus de temps.
À l'aide d'algorithmes à apprentissage d'une part, et de visualisations de données
d'autre part, le fouillleur met en évidence des liens empiriques entre les données.
Les corrélations et liens retenus doivent répondre à trois critères : inconnu de
l'utilisateur, explicable à posteriori, et utile. La démonstration théorique du
phénomène est totalement superflue.
Les connaissances détectées sont formalisées (arbres, graphes, tableaux, règles,
etc.) puis prototypées logiciellement. La validité des connaissances prototypées est
vérifiée grâce à un test statistique (khi deux, kappa, etc.) sur un jeu de données dit
"test set", différent du jeu ayant servi à l'analyse ("training set"). Le test set peut être
soit externe au training set, soit recalculé à partir de lui (rééchantillonnage) :
o Si le test est passé, le modèle est mis en production ;
o On recommence le cycle.
Concrètement, l'empilement des modèles, eux-mêmes parfois complexes (arbres et
récursivité) peuvent aboutir à de vrais problèmes d'architecture informatique :
o Parallélisation des calculs ;
o Volumétrie des données ;
o Charge du réseau, en partie due aux mécanismes de réplication.
D'un autre côté, le résultat de calcul issu d'un empilement de modèles peut aboutir à
des résultats particulièrement pertinents et surprenants.
C) Règles de l’audit
Quel que soit le type de l‘audit (interne ou externe, contractuel ou legal,..) la finalité
est toujours de porter un jugement sur le management du SI et l‘exécution de ses
objectifs. C‘est donc la comparaison entre ce qui est observé (acte de management
ou d‘exécution) et de que cela devrait être, selon un système de références.
L‘audit ne doit pas se limiter à une approbation ou une condamnation (inutile pour
l‘audité), mais préciser ce qu‘il aurait fallu faire, et ce qu‘il faudra faire pour corriger
les défauts constatés. Exemple : la documentation est globalement compréhensible,
mais elle doit être mise à jour car elle n‘est plus en phase avec la maintenance de la
dernière année.
Règle 1 : L’audit informatique consiste à comparer l‘observation d‘un ou

plusieurs objets, selon un ou plusieurs aspects, à ce qu‘ils devraient être, pour
porter un jugement et faire des recommandations.
La tache de l‘auditeur est parfaitement définie quand l‘objet et l‘aspect le sont : elle
ne doit pas en déborder. Exemple : S‘il lui est demandé de vérifier la sécurité d‘une

UAA
2008-2009
application, et qu‘il en est satisfait, il est inutile de savoir si les résultats sont exacts
(étude de fiabilité) ou inutiles (étude d‘adaptation).
Règle 2 : L‘auditeur ne doit pas interpréter la finalité de l‘audit en fonction de

ses goûts ou aspirations, à fortiori ne pas déborder de la mission si des
lacunes hors mission se révèlent.
Sous réserve que les moyens attribués soient suffisants (l‘auditeur doit s‘en assurer
lors de la signature du contrat) et que l‘auditeur est compétent dans le domaine
audité,
Règle 3 : l‘audit est toujours faisable.

Il est nécessaire de savoir que : « la non-faisabilité est un argument poubelle utilisé
par l‘auditeur incompétent ». Exemple : l‘audit d‘une application peut parfois être très
ardu : non-disponibilité des personnes, documentation partiellement dépassée, etc.
Le travail d‘audit peut-être assez complexe et doit obéir aux mêmes règles que le
management ou la conduite de projets, en particulier être découpé en fonctions
conduisant de façon arborescente à un plan avec des étapes significatives de
conclusions partielles :
Règle 4 : Les moyens et actions de l‘auditeur doivent être adaptés

exclusivement mais exhaustivement au sujet de l‘audit.
Par exemple, si un audit a besoin de données financières (confidentielles) en tant
que données périphériques qui ne rentrent pas dans le domaine de l‘audit, l‘auditeur
devra avoir accès à ces données tout en respectant la confidentialité.
D) Niveaux et types d’audits de système d’information

1. Niveaux d’audit
On peut identifier 3 niveaux d‘audit informatique :

Stratégique : Il consiste à assurer la pertinence du SI, son adéquation aux
objectifs de l‘entreprise, son alignement à ses stratégies ;
Tactique : Il consiste à assurer la qualité des processus mis en oeuvre par la
fonction informatique (exploitation quotidienne, développement de nouvelles
applications, évolution du système existant, préparation de l‘avenir,..) ;
Opérationnel : Il consiste à assurer la sûreté du fonctionnement quotidien de
l‘informatique.
2. Les différents types d’audit informatique
Il existe plusieurs types d’audits de système d’information. Nous donnons dans cette
partie une liste non exhaustive de cette typologie de même que quelques moyens et
actions à entreprendre en fonction de la composante sectorielle concernée :
o L'audit de la planification
- Rôle de la planification informatique : plan, schéma directeur, etc,
- Cohérence entre les objectifs du schéma directeur et la stratégie
de l'entreprise ;

UAA
2008-2009
o L'audit de la fonction informatique

- Positionnement et structure de la fonction informatique ;
- Capacité à atteindre les objectifs avec sûreté et efficacité ;
- Relations avec la Direction Générale et les utilisateurs ;
- Clarté des structures et des responsabilités.
o L'audit des projets

- Existence d'une méthodologie de conduite des projets.
- Respect des phases du projet.
- Conformité des projets aux objectifs généraux de l'entreprise.
- Qualité des études amont : expression des besoins, cahier des
charges.
o L'audit des études

- Planification des études ;
- Conduite des projets par étape ;
- Maîtrise du processus de développement ;
- Mise sous contrôle de la maintenance.
o L'audit de la micro-informatique
- Instruction des demandes particulières ;
- Suivi de l'utilisation des logiciels ;
- Formation des utilisateurs ;
- Contrôle de l'auto-développement.
o L'audit de l'exploitation
- Qualité de la planification de l'exploitation ;
- Gestion des ressources ;
- Procédures de sécurité et de continuité de service ;
- Maîtrise des coûts d'exploitation.
o L'audit des réseaux et des communications

- La conception du réseau ;
- Choix des standards et notamment en matière de protocole ;
- Mise en place de dispositifs de mesure de l'activité.
o L'audit de la sécurité :
- Les facteurs de limitation des risques ;
- Existence d'une politique du système d'information ;
- Implication des utilisateurs ;
- Méthodes de travail et outils adaptés aux objectifs.
o L'audit des applications opérationnelles :

- Nécessité d'évaluer périodiquement les applications
opérationnelles ;
- L'importance du respect des règles de contrôle interne : la
conformité ;
- Appréciation de la contribution de l'application à l'efficacité du
dispositif.

UAA
2008-2009
o ...
2.1 L'audit de la planification informatique

Il s’agit ici de définir :
L’état de l’art en matière de planification informatique : plan, schéma directeur,

master plan, etc.
Les trois dimensions des schémas directeurs : architecture, coût et dispositif
de travail.
Les bonnes pratiques observées en matière de planification informatique :
o Existence d’un document de référence ;
o Fixation d’orientations ;
o Capacité d’évolution.
Les objectifs et points de contrôles :
o Cohérence entre les objectifs du schéma directeur et la stratégie de
l’entreprise
o Cohérence entre les objectifs du schéma directeur et la stratégie de
l’entreprise ;
o Processus de validation ;
o Dispositif de pilotage du schéma directeur ;
o Méthodes de suivi du schéma directeur ;
o Procédures d’actualisation.
Points de contrôle CobiT PO 1 : définir un plan informatique stratégique.
Exemples de missions d’audit :
o Audit d’un schéma directeur à mi-parcours ;
o Audit en début de schéma directeur.
2.2 L'audit de la fonction informatique

L’état de l’art : questions usuelles des directions générales concernant la

fonction informatique.
Positionnement et structure de la fonction informatique.
o Dimension hommes et structures ;
o Nécessité de cibler l’audit ;
o Capacité à atteindre les objectifs avec sûreté et efficacité
(Gouvernance).
Les bonnes pratiques :
o relations entre la direction générale, la DSI et les utilisateurs ;
o clarté des structures et des responsabilités ;
o existence de dispositifs de mesures ;
o compétences et qualifications du personnel.
o rôle des directions dans le pilotage des systèmes d’information ;
o nécessité de politiques, de normes et de procédures ;

UAA
2008-2009
o responsabilité du service informatique : maîtrise d’œuvre - maîtrise

d’ouvrage ;
o existence d’une comptabilité analytique ou d’un mécanisme de
refacturation ;
o respect des dispositifs de contrôle interne.
Points de contrôle CobiT PO 4 : définir l’organisation et les relations de travail
des technologies de l’information.
Exemples de missions :
o évaluation de l’efficacité d’un service informatique ;
o amélioration des relations avec les utilisateurs ;
o audit de la procédure de suivi des coûts informatiques.
2.3 L'audit des projets

L’état de l’art en matière de projets informatiques : la notion de projet,
particularités des projets informatiques, évaluation des risques liés au projet,
mettre en place un dispositif de management adapté, lutter contre le dérapage
des coûts et des délais, avoir un système de pilotage efficace.
o existence d’une méthodologie de conduite des projets ;
o conduite des projets par étapes ;
o respect des phases du projet ;
o pilotage du développement ;
o conformité des projets aux objectifs généraux de l’entreprise ;
o mettre en place une note de cadrage ;
o qualité des études amont: expression des besoins, cahier des charges ;
o importance des tests, notamment des tests utilisateurs.
o évaluation du processus de développement ;
o existence de processus, de méthodes et de standards ;
o vérification de l’application de la méthodologie ;
o compréhension des causes de dérives des projets ;
o adéquation des fonctions aux besoins des utilisateurs.
Points de contrôle CobiT PO 10 : gérer les projets.
o audit d’un grand projet à la fin du cahier des charges ;
o audit d’un projet de taille moyenne.
2.4 L'audit des études

L’état de l’art : l’audit des études informatiques n’est pas l’audit des projets.
Un domaine d’activité hétérogène, les domaines d’audit possibles, les
différents domaines d’audit des études, les risques de non-qualité, dérapage
des coûts et des délais

UAA
2008-2009
o organisation de la fonction étude ;

o mise en place d’outils et de méthodes ;
o contrôle de l’activité hors plan ;
o mise sous contrôle de la maintenance ;
o suivi de l’activité d’études.
o évaluer l’organisation de la fonction études ;
o respect des normes en matière de documentation ;
o contrôle de la sous-traitance ;
o évaluation de la qualité des livrables.

o audit d’un service d’études de taille moyenne ;
o évaluation de la politique de maintenance.
2.5 L'audit de l'informatique décentralisée

L’état de l’art en matière de décentralisation de l’informatique. Ici les risques
sont liés à la décentralisation;
Particularités : le suivi des matériels et des logiciels ;
Procédures d’acquisition et de gestion de parc ;
Respect des règles de sécurité.
o instruction des demandes particulières ;
o suivi de l’utilisation des logiciels ;
o formation des utilisateurs ;
o contrôle de l’auto-développement.
o qualité de l’architecture technique ;
o gestion des configurations ;
o analyse des demandes arrivant au help desk (incidents, difficultés,
assistances, etc.) ;
o existence de procédures d’achats et d’inventaires ;
o mesure du TCO ;
o appréciation de la qualité de service.
évaluation des coûts de possession et recherche d’améliorations ;
amélioration de la qualité de service.
2.6 L'audit de la production

L’état de l’art. Domaine de l’informatique de production. Missions et enjeux de
l‘exploitation.
Les particularités de la production. Les risques de la production.

UAA
2008-2009
Impact de ces particularités sur le système d’information de l‘Entreprise et son

fonctionnement. Existence d’outils de suivi de la production.
o clarté de l’organisation ;
o existence d’un système d’information dédié à la production ;
o mesure de l’efficacité et de la qualité de service de la fonction
production.
o qualité de la planification de la production ;
o gestion des ressources ;
o procédures de sécurité et de continuité de service ;
o maîtrise des coûts de la production.
Points de contrôle CobiT DS 13 (gérer l’exploitation) et DS 3 (gérer la
performance et la capacité).
o audit de la gestion des incidents ;
o évaluation de la qualité de service de la production.
2.7 L'audit des réseaux et des communications

L’état de l’art. Évolution très rapide des technologies de communication,
amélioration des performances mais complexité croissante des réseaux. Rôle
et domination d’Internet. Comment bénéficier rapidement de la baisse des
coûts.
o nécessité d’une conception du réseau ;
o choix des standards et notamment en matière de protocoles ;
o mise en place de dispositifs de mesure de l’activité ;
o existence de mesures de sécurité adaptées aux enjeux.
o identification des risques ;
o contrôle des accès aux ressources ;
o existence de procédures permettant de fonctionner en mode dégradé ;
o gestion des incidents.
o audit de la politique réseau d’une grande organisation ;
o audit des performances d’un réseau.
2.8 L'audit de la sécurité

L’état de l’art. Existence de risques importants liés aux systèmes
d’information ;
Les risques particuliers liés à Internet ;
Quatre notions fondamentales en matière de risque : la menace, le facteur de
risque, la manifestation du risque, la maîtrise du risque ;

UAA
2008-2009
Les facteurs de limitation des risques :

o existence d’une politique du système d’information ;
o implication des utilisateurs ;
o méthodes de travail et outils adaptés aux objectifs ;
o compétence du personnel ;
o outils d’administration et de gestion efficaces.
o repérage des actifs informationnels de l’entreprise ;
o évaluation des menaces ;
o mesure des impacts ;
o définition des parades.
Points de contrôle CobiT DS 5 : assurer la sécurité des systèmes.
Référentiels spécifiques à la sécurité ISO 17799.
o audit de la sécurité d’une application ;
o évaluation de la sécurité d’un centre de production.
L'audit de sécurité informatique comprend différents points à vérifier :
o sécurité du bâtiment : étanchéité au feu, cloisonnement, plancher et
plafond ;
o sécurité d'accès : contrôle d'accès, détection d'intrusion ;
o sécurité incendie : détection incendie, extinction incendie, protection
contre l'incendie ;
o sécurité climatique : conditionnement des locaux ;
o sécurité des réseaux : matériel et mobilier.
Le test d’intrusion consiste à simuler le comportement d’un attaquant externe
et banalisé, disposant d’un certain degré de compétences, de ressources, de
temps et de motivation pour pénétrer un système cible. En réalité, le terme
attaquant dissimule la qualité de pirate. De ce fait, la démarche de réaliser des
tests d’intrusion devrait être clairement réputée illégale.
2.9 L'audit des applications opérationnelles

L’état de l’art. Nécessité d’évaluer périodiquement les applications
opérationnelles ;
L’importance du respect des règles de contrôle interne (conformité).
Appréciation de la contribution de l’application à l’efficacité du dispositif.
o traçabilité des opérations ;
o conformité aux besoins et à la documentation ;
o appréciation des performances de l’application ;
o intégrité des données et fiabilité des traitements ;
o respect de la confidentialité et de la disponibilité.
o une démarche d’analyse rigoureuse : les tests d’audits ;
o analyse de la conformité ;

UAA
2008-2009
o vérification des dispositifs de contrôle des entrées, des stockages, des

sorties et des traitements ;
o analyse des erreurs ou des anomalies, évaluation de la fiabilité des
traitements ;
o mesure des performances ;
o évaluation de la pérennité de l’application.
o audit d’une application comptable dans le cadre de la révision des
comptes ;
o diagnostic d’une application opérationnelle à mi-vie.
E) Démarche et conduite d'une mission d'audit

informatique
1. Démarche générale
La compétence technique de l’auditeur est un point fondamental pour la réussite de
la mission, il implique aussi de disposer de certaines qualités humaines,
relationnelles, et des qualités de gestionnaire et d’organisateur.
1.1 Les intervenants

Nous avons :
Auditeur externe contractuel
société spécialisée en ingénierie et services informatique (SSII) ;

free-lance.
Leurs missions :
examen de contrôle interne de la fonction informatique,
audit de la sécurité physique du centre de traitement,
audit de la confidentialité d’accès
audit des performances

Auditeur interne
Les missions susceptibles d’être confiées à l’auditeur informatique interne sont a
priori les mêmes que celles susceptibles d’être confiées à l’auditeur externe.
Cependant, l’auditeur interne qui dépend soit de la direction informatique ou d’un
service d’audit, se trouve confronté à un problème délicat : Comment couvrir dans un
délai raisonnable l’ensemble des risques informatiques ?
Commissaire aux comptes

Le commissaire au compte a pour rôle de vérifier que les comptes présentés sont
réguliers et sincères, et qu’ils donnent une image fidèle de la situation de l’entreprise.
Leur présence est obligatoire dans la plupart des sociétés commerciales.
1.2 Le Plan pluriannuel d’audit

UAA
2008-2009
Un plan annuel est définit sur une période de 3 à 4 ans, pour couvrir l’ensemble des
composantes du risque informatique, par les auditeurs internes qui vont fixer des
programmes annuels de travail détaillés.
Le programme de travail annuel reprend, en précisant les dates et modalités
d’intervention, les missions prévues au plan pluriannuel.
2. Conduite d’une mission d’audit

La conduite d’une mission d’audit suit une démarche spécifique. Cette dernière peut
se résumer comme suite :
Elle est caractérisée par l’enrichissement des points suivants :
Objectifs de la mission
Périmètre de la mission
Période d’intervention
Contraintes à prévoir pour les services audités
Méthode
Constitution de l’équipe
Documents préparatoires
2.1 Préparation de la mission d’audit informatique

Définition de la mission : rôle et importance de l’ordre de mission ;
Les questions posées par les décideurs : répondre objectivement aux
questions posées.
2.2 Les six phases de la mission d’audit
Planification de la mission : l’établissement de la lettre de mission, le choix de
la démarche ;
La collecte des faits, la réalisation de tests, l’importance des vérifications, se
méfier des opinions ;
Les entretiens avec les audités. Les règles de conduite de l’auditeur. La
tentation d’élargir la mission. Le rôle des faits, l’importance des vérifications ;
Rédiger le rapport d’audit : contenu, plan, conseils concernant la rédaction.
Proposer des recommandations opérationnelles ;
Présentation et discussion du rapport. Bâtir un plan d’action ;
Le suivi des recommandations et du plan d’action.
2.3 La Nature de la mission d’audit
L’opération d’audit du système d’information de l’audité prend notamment en
compte les éléments suivants :
– Descriptif des matériels, progiciels, logiciels, documentations, sociétés
de services, utilisés par l’audité;
– Appréciation globale de l’adéquation entre les besoins et le système
d’information existant, intéressant notamment les activités administratives
comptables et financières de l’audité;
– Examen des méthodes d’organisation, de contrôle et de planification des
services informatiques, ainsi que l’appréciation de la formation, de la
qualification et de l’aptitude des personnels, initiés ou non, qui sont ou
pourront être amenés utiliser le système d’information de l’audité;

UAA
2008-2009
– Evaluation de la sécurité informatique, de son efficacité, de la bonne

utilisation des terminaux, des procédures de saisies de données, des
méthodes de gestion des programmes, des sauvegardes, des accès et de
la confidentialité;
– Appréciation de la qualité, de l’accès, de la disponibilité et de la facilité
de compréhension de la documentation actuelle;
– Analyse de la gestion informatique des informations, telles que la mise
en évidence des utilisations imparfaites du système d’information,
Analyse du coût et des charges afférentes au fonctionnement du système
d’information et notamment :
– Evaluation des capacités, des performances, de la compatibilité, de
l’évolutivité du système d’information, etc., plus appréciation de la
performance, de la compatibilité des logiciels;
– Analyse et diagnostic des moyens permettant de diminuer le temps de
réponse au moment de la saisie, de la gestion, du stockage et de la
diffusion d’une information, et pouvant consister en l’amélioration des choix
techniques, l’utilisation de PAO, de cartes à puce, des banques de
données, d’accès à un réseau ouvert ou fermé, etc.;
– Examen du site web, de son niveau d’ergonomie par rapport aux
techniques actuelles;
– Audit des contrats informatiques tels que : contrats d’assistance, contrats
de maintenance des matériels, des logiciels, contrats d’accès et
d’hébergement, contrats d’animation de site, en précisant leur coût,
l’organisation de leur suivi, leur date d’expiration ou de renouvellement,
etc.;
– Vérification du libre usage des droits d’auteur sur toutes les créations
utilisées sur le site (images, textes, son, informations, etc.);
– Analyse des prestations fournies par des entreprises extérieures, et
principalement étude de leur intérêt, de leur coût, des risques inhérents à
ces prestations, etc.;
– Examen des possibilités offertes par l’utilisation de serveurs propres ou
extérieurs.
2.4 Les principales étapes de la démarche d’audit
Deux (2) étapes importantes de la démarche se distinguent. Il s’agit de :
2.4.1 L’enquête préalable
Pour permettre à l’auditeur de délimiter les besoins et d’analyser le système

d’information de l’audité, il assure en premier lieu le recensement de l’ensemble des
activités et des besoins à traiter de manière informatique.
À cet effet, l’auditeur interroge en collaboration avec l’audité, les utilisateurs et les
entreprises qui participent au fonctionnement actuel du système d’information de
l’audité.

UAA
2008-2009
Le recensement a pour objectif de mettre en évidence les informations déjà traitées

ou à traiter, ainsi que les informations qui ne sont pas traitées et celles qu’il n’est pas
nécessaire de traiter de manière informatique.
Une note est établie et remise à l’audité à l’issue de cette phase d’enquête préalable.
2.4.2 Le rapport d 'audit
Le rapport d'audit comprend notamment un exposé de l'organisation actuelle des

systèmes d'informations de l'audité, ainsi qu'une analyse détaillée des choix
techniques, matériels, en distinguant les solutions optimales, acceptables, et
prioritaires, avec entre autres :
diagnostic technique: architecture, outils, méthodes ;
diagnostic projet: aspects humains, organisationnels et qualité ;
diagnostic fonctionnel: ergonomie, cohérence, etc.
diagnostic maintenance: évolutivité, modularité, dépendances système
Le rapport formule également et en particulier des recommandations, sur les

performances des installations, sur l'organisation informatique actuelle, autant que
sur leur perfectionnement et sur l'opportunité de l'élaboration d'un nouveau cahier
des charges.
Le rapport d'audit peut déboucher sur la proposition d'établissement d'un schéma

directeur, où sont notamment précisés les délais, le prix et le contenu de cette
nouvelle mission

UAA
2008-2009
II. LES NORMES ET REFERENTIELS D’AUDIT
A. Les Normes
L’enjeu de la certification est une question de plus en plus présente dans le monde
de l’informatique. L’introduction de référentiels IT et leurs succès reposent la
question de certification au niveau des hommes et des infrastructures. C’est pourquoi
nous réalisons de plus en plus le fait que l’évolution de l’informatique vers l’approche
services concorde avec celle de la certification.
En effet, les référentiels ont un rôle clé car ils permettent de définir et de mettre en
œuvre les processus qui pourront être plus facilement et plus rapidement certifiés.
La norme 20000-1 s’applique à ITIL de même, les référentiels actuels permettent de
donner à l’organisation des méthodologies ayant une approche combinée et une
vision globale.
ISO 27002
Il a été crée en 2000 (ISO 17799) et renommée en 2005. L’objet de la 27002

consiste en la sécurisation de l’information. A cet effet, elle traite de la confidentialité,
l’intégrité et la disponibilité.
La norme ISO 27002 est un guide de recommandations qui se décline en quatre (4)
étapes dans la démarche de sécurisation :
o Liste des biens sensibles à protéger
o Nature des menaces
o Impacts sur le SI
o Mesures de protection
ISO 27001
Il a été crée en 2005. L’objet principal de l’ISO 27001 est d’élaborer une politique du
Management de la Sécurité de l’Information qui par ricochet devra conduire à établir
un Système de Management de la Sécurité de l’Information par la mise en place de :
o Choix des mesures de sécurité

o Protection des actifs

UAA
2008-2009
La norme ISO 27001 utilise la roue de Deming. Elle se base sur le modèle PDCA et
couvre six (6) domaines de processus :
o Définir une politique de sécurité

o Définir le périmètre du SMSI
o Evaluation des risques
o Gérer les risques identifiés
o Choisir et mettre en œuvre les contrôles
o Rédiger Statement Of Applicability (charte du SMSI)
Lorsque ces conditions sont remplies, l’entreprise peut être certifiée ISO 27001.
B. Les méthodes ou référentiels
Les principaux référentiels utilisés sont les suivants :
o ASL: méthodologie de management des applicatifs

o CMMI: méthodologie de management des niveaux de maturité
o COBIT: méthodologie de management des processus de contrôle et d’audit
o COSO : méthodologie de gestion des risques
o ISO/IEC 17799: norme de gestion de la sécurité de l’information
o ITIL : méthodologie de management des services IT
o INFAUDITOR: méthodologie d’audit d’un SI et de sa stratégie
Présentation de certains référentiels
MEHARI
Il a été crée en 1995 par le CLUSIF, remplaçant MARION. MEHARI intervient pour
l’appréciation des risques aux regards des objectifs de sécurité et le contrôle et
gestion de la sécurité.
EBIOS
Il a été crée en 1995 par la DCSSI. EBIOS intervient dans la construction d’une
politique de sécurité basée sur une analyse des risques et l’analyse des risques
repose sur l’environnement et les vulnérabilités du SI.
Les référentiels majeurs de l’IT gouvernance sont ITIL, COBIT, CMMI, un peu COSO
et INFAUDITOR. Il est important de savoir qu’il faut utiliser plusieurs référentiels pour
arriver à couverture plus grande.

UAA
2008-2009
Le cas de COBIT
Présentation
Cobit a été crée en 1996 par l’ISACA / AFAI. Les domaines d’intérêt de Cobit sont :
o Etablissement de lien entre les objectifs de l’entreprise et ceux des

technologies d’information
o Intégration des partenaires d’affaires
o Uniformisation des méthodes de travail
o Sécurité et contrôle des services informatiques
o Système de gouvernance de l’entreprise
Cobit est un référentiel qui permet d’organiser par le contrôle l’alignement entre les
objectifs établis par le management, les besoins des différents corps de métier et les

UAA
2008-2009
moyens techniques mis en œuvre ou potentiellement disponibles. Il est développé

par l’ISACA. Actuellement à sa version 4, Cobit relie les objectifs du SI à ceux de
l’entreprise afin d’évaluer la maturité de celle-ci envers son SI. Cobit est donc un outil
pour les auditeurs.
Aspect fonctionnel
- Domaines couverts
Cobit décrit 34 processus répartis en 4 domaines (planifier, construire, exploiter,

contrôler). La première et dernière catégorie font intervenir les acteurs stratégiques
et les deux autres concernent plutôt la DSI.
- Acteurs
Cobit s’adresse aux acteurs suivants :

o Les gestionnaires : Cobit s’applique au volet managérial et facilite l’aide à la
décision ;
o Les utilisateurs : Cobit apporte les garanties sur la sécurité et les contrôles
des services informatiques ;
o Les auditeurs.
- Structuration
Cobit est structuré autour de huit thèmes distincts :

o Synthèse
o Cadre de référence
o Objectifs de contrôle
o Pratiques de contrôle
o Guide de management
o Guide de l’assurance IT
o Guide de l’implémentation de la gouvernance IT
o Objectifs de contrôle pour SOX

UAA
2008-2009
Il est important de savoir que Cobit présente les grands principes du management
(objectifs, indicateurs, mesures) et de la gouvernance des technologies IT.
- Cadre de référence
Il constitue la clé de voûte de Cobit et se fonde sur les besoins d’information de

l’entreprise et les ressources informatiques. Cobit s’articule autour des besoins, de
ses ressources et des processus IT.
- Enjeux pour l’entreprise
Les objectifs de l’entreprise ne sont atteints que si les données sont pertinentes.
Sept critères au niveau de Cobit déterminent cette pertinence :
o L’efficacité: qualité et pertinence de l’information ;
o L’efficience: rapidité de délivrance ;
o La confidentialité ;
o L’intégrité: exactitude de l’information ;
o La disponibilité ;
o La conformité: respect des règles et des lois ;
o La fiabilité: exactitude des infos transmises.
- Ressources IT
Cobit présente quatre catégories de ressources IT :

o Les informations: données relatives à l’activité insérées ou fournies par le SI ;
o Les applications ;
o Les infrastructures ;
o Les personnels.
- Processus IT
Les processus constituent le concept majeur de COBIT. En effet, chaque ressource

conduit à la mise en œuvre d’un ou plusieurs processus et un processus IT doit être
managé, contrôlé, et possède un certain niveau de maturité.

UAA
2008-2009
Ici, Une tâche se définit par le fait qu’elle est récurrente tandis qu’une activité s’inscrit
dans le cycle de vie.
Un processus est un ensemble de tâches ou d’activités. Un domaine est un

ensemble de processus regroupés.
- Segmentation
Cobit détermine une segmentation fixe pour chaque niveau :

o 4 domaines
o 34 processus
o 220 activités
Le Domaine définit une répartition logique dans le management des SI, il couvre :
o Planification et organisation (PO): démarche stratégique

o Acquisition et implémentation (AI) : déployer la stratégie informatique
o Distribution et support (DS): concerne la fourniture de services et la sécurité
lors de l’exploitation
o Monitoring et évaluation (ME) : permet de contrôler et de mesurer la qualité et
la performance des processus informatiques

UAA
2008-2009
Les 34 processus dépendent de chacun des domaines. Ils sont associés aux
directives de management, ainsi qu’aux objectifs de contrôle des domaines

UAA
2008-2009
Le Guide de management
Le guide de management permet de :
o Disposer d’indicateurs clés pour mesurer la performance des processus

o D’identifier et de mettre en place des contrôles
o De sensibiliser aux facteurs de risque
o D’avoir des moyens de comparaison
Les directives de gestion permettent d’identifier pour chaque processus les liens à
d’autres processus, les responsabilités les objectifs et les mesures à prendre en
compte.

UAA
2008-2009
Les responsabilités de chacun sont identifiées et hiérarchisées par rapport aux

différentes tâches. Cette hiérarchisation est définie selon 4 critères (R.A.C.I.) :
o Responsable : définit celui qui est en charge de la réalisation de l’activité

o Accountable : définit celui qui est comptable de l’activité
o Consulted : définit celui qui doit être consulté pour l’activité
o Définit celui qui doit être informé de l’activité
- Niveau de maturité
Cobit comprend 5 niveaux de maturité
o Niveau 0 : inexistant absence complète de processus

o Niveau 1 : initial processus spécifique et approche non structurée
o Niveau 2 : reproductible réutilisation de processus pour les mêmes tâches
o Niveau 3 : défini processus standardisés, documentés, communiqués
o Niveau 4 : géré mesure et supervision de la conformité des processus
o Niveau 5 : optimisé processus ayant le niveau de pratiques référentes
- Critères de maturité
Cobit utilise les critères de maturité suivants :
o Conscience et communication
o Règles standards et procédures
o Outils et automatisation
o Compétence et expertise
o Responsabilité et accountability
o Fixation et mesure des objectifs
- Mesure de la performance
Cobit présente plusieurs indicateurs qui permettent de réaliser la mesure de

performance :

UAA
2008-2009
o Indicateurs de clés d’objectifs (KGI) évaluent le niveau de réponse à atteindre

o Indicateurs clé de performance (KPI) mesurent l’activité d’un processus
Objectifs de contrôle
Cobit définit les objectifs de contrôle sur la base de 4 étapes comme stipulées par le
schéma suivant :

UAA
2008-2009
Les objectifs de contrôle sont déterminés en fonction de 3 paramètres :
o Domaines IT
o Besoins de l’entreprise
o Ressources informatiques

UAA
2008-2009

UAA
2008-2009
Guide de l’audit
Les objectifs de l’audit dans Cobit sont les suivants :
o Déceler, analyser et expliquer les failles d’un système et les risques qui en
découlent
o Apporter les solutions permettant d’ajuster le SI au regard des besoins de
l’entreprise
o Garantir de façon fiable l’atteinte des objectifs de contrôle déjà existants et
d’en apprécier la pertinence par rapport aux meilleures pratiques
La démarche avec Cobit peut se distinguer en 4 niveaux :
Niveau 1 : Acquérir une bonne compréhension de la situation
Ce niveau prend en compte :
o Besoins de l’entreprise
o Structure organisation
o Rôles et responsabilité
o Politiques et procédures
o Lois et règlements
o Les mesures de contrôle en place
o La gestion du reporting
Niveau 2 : Évaluer les étapes de contrôle
Il faudra à ce niveau :
o Déterminer l’efficacité des dispositifs existants et d’en apprécier la pertinence

o Proposer des ajustements et des tests complémentaires avec un processus
documenté
o Évaluer le niveau d’atteinte de l’objectif des contrôles
Niveau 3 : Contrôler la conformité
Pour ce faire, il faudra s’assurer que les procédures de contrôle s’exercent

correctement, de façons cohérentes et continues, conformes et en bonne adéquation

UAA
2008-2009
Niveau 4 : Justifier le risque
Ce point consiste à :
o Présenter les faiblesses du contrôle, les menaces et vulnérabilités potentielles

o Identifier et présenter l’impact réel et supposé
o Fournir les données comparatives
Conclusion sur COBIT
Cobit s’inscrit dans une démarche de management par le contrôle et l’audit au

travers d’un cadre de référence des objectifs et des indicateurs. Il ne peut couvrir
l’ensemble de la démarche de gouvernance des technologies de l’information.
C. Les critères de choix
Le choix de référentiels ou de normes doit tenir compte des éléments suivants :
o Origine géographique de la méthode

o Langue
o Existence de logiciels adaptés
o Ancienneté = capacité de recul, témoignages
o Qualité de la documentation
o Facilité d’utilisation
o Compatibilité avec les normes
o Le coût (matériel et humain)
o La popularité, la reconnaissance
o Généralement, combinaison de méthodes lors d’un audit
D-Les autres outils d'audit
D.1 Audit physique de parc
Le relevé nourrit une base de données que l‘on peut ensuite exploiter avec Access
ou d’autres SGBDR. Ce relevé recense matériels et logiciels et paramètres divers,
identifiant chaque poste de travail en réseau ou non.
D.2 Audit technique
L'organisation des ordinateurs et de leurs périphériques est souvent le résultat d'une

utilisation quotidienne. En optimisant l'implantation et la communication du matériel,
l‘organisation gagne en productivité.
D.3 Evaluation des règles de sécurité
La sécurité n'est pas un vain mot : si tout le monde en est conscient aujourd'hui, il
apparaît souvent que celle-ci est mal cernée et les règles mises en place ne sont que
peu ou pas respectées.

UAA
2008-2009
L‘analyse dresse un tableau :
de ce qui est en place ;

de la façon dont les règles sont appliquées ;
nouvelles règles et évolution de l'existant ;
du suivi à mettre en place.
Les domaines d'intervention sont entre autre :
- Antivirus : Le programme antivirus n'est pas le seul garant la sécurité : il doit être
correctement paramétré et se tenir au courant des derniers virus connus.
- Sauvegarde : Rien n'est plus précieux que les données : Il suffit de voir son
système tomber en panne pour se rendre compte de l‘importance des données.
Le délai entre deux sauvegardes équivaut au temps que l'on accepte de perdre.
- Partage réseau : Tel ou tel fichier est confidentiel ou sensible : tous les salariés
d'une entreprise ne doivent pas avoir accès à tous les fichiers. Il convient de réfléchir
sur ce qui est public, partagé par un groupe ou privé.
- Pare-feu : La mode tout Internet apporte son lot de risques : le piratage. Il convient
de protéger les machines des accès externes indésirables.
- Mises à jour et correctifs (patchs) : Les progiciels ne sont jamais exempts de

bogues, ni de trous de sécurité. Lorsque ceux-ci sont corrigés par l'éditeur, il convient
de diffuser cette mise à jour sur tous les postes concernés. La bonne connaissance
d'un parc informatique permet d'en assurer bon fonctionnement et pérennité.
Les outils informatisés nécessitent une rigueur dans la mise en place et l‘utilisation,
faute de quoi les outils sont inopérants, et plus grave encore, sous couvert de la
confiance que nous avons en leur efficacité.

SFA Audit Informatique M IRIE

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

SFA Audit Informatique M IRIE

Transféré par

Droits d'auteur :

Formats disponibles

UAA

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 1

D- Niveaux et types d’audit

E- Démarche et Conduite de mission d’audit

II- Les outils de l’auditeur

III- Etudes de Cas (TD-TP)

A- Rédaction d’une Fiche d’enquête dans le cas de l’audit de PME

B- Réalisation d’un rapport d’audit de parc informatique

C- Audit d’une application

D- Exploitation d’outils d’audit informatique

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 2

Le champ d’action principal de l’Audit Informatique doit rester l’outil informatique au

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 3

Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de

En termes d’efficacité et de performances,

mise en place d’un plan de secours ;

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 4

En termes de fiabilité d’une application informatique

Il existe deux types d'audit informatique répondant chacun à un but différent :

2.1- L’Audit du Besoin

2.1.2-la détermination de la cible

2.2- Audit de Découverte des Connaissances

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 5

L'audit de découverte des connaissances se pratique de la manière suivante :

Règle 1 : L’audit informatique consiste à comparer l‘observation d‘un ou

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 6

Règle 2 : L‘auditeur ne doit pas interpréter la finalité de l‘audit en fonction de

Règle 3 : l‘audit est toujours faisable.

Règle 4 : Les moyens et actions de l‘auditeur doivent être adaptés

D) Niveaux et types d’audits de système d’information

On peut identifier 3 niveaux d‘audit informatique :

2. Les différents types d’audit informatique

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 7

o L'audit de la fonction informatique

o L'audit des projets

o L'audit des études

o L'audit des réseaux et des communications

o L'audit des applications opérationnelles :

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 8

2.1 L'audit de la planification informatique

L’état de l’art en matière de planification informatique : plan, schéma directeur,

2.2 L'audit de la fonction informatique

L’état de l’art : questions usuelles des directions générales concernant la

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 9

o responsabilité du service informatique : maîtrise d’œuvre - maîtrise

2.3 L'audit des projets

Il s’agit ici de définir :

2.4 L'audit des études

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 10

o organisation de la fonction étude ;

Exemples de missions d’audit :

2.5 L'audit de l'informatique décentralisée

2.6 L'audit de la production

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 11

Impact de ces particularités sur le système d’information de l‘Entreprise et son

2.7 L'audit des réseaux et des communications

2.8 L'audit de la sécurité

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 12

Les facteurs de limitation des risques :

2.9 L'audit des applications opérationnelles

Cours d’audit et Conduite de projets informatiques M. IRIE Thierry 13

o vérification des dispositifs de contrôle des entrées, des stockages, des

E) Démarche et conduite d'une mission d'audit

1.1 Les intervenants