Académique Documents
Professionnel Documents
Culture Documents
Universite d’Abobo-
d’Abobo-Adjame 2008-
2008-2009
Module 1
Audit Informatique
M. IRIE Thierry
Plan
I- Généralités
A- Définitions et origines
B- Objectifs et buts
C- Règles
A- Normes
B- Méthodes
C- Critères de choix
D- Autres outils
I. GENERALITES
A. Définition et origines
L’audit correspond au besoin de faire faire un diagnostic par un expert indépendant
pour établir un état des lieux, définir des points à améliorer et obtenir des
recommandations pour faire face aux faiblesses de l’entreprise.
Un audit est donc un processus permanent ou ponctuel, par lequel une fonction de
l’entreprise est évaluée par une ou plusieurs personnes qui n’exercent pas cette
fonction dans l’entreprise. Une entreprise souhaite un audit d’une de ses fonctions
parce que ses responsables y perçoivent un dysfonctionnement ou des possibilités
d’amélioration, ou bien veulent comprendre la « vraie » réalité de cette fonction,
c'est-à-dire au-delà de ce qui en est dit ou de ce qu'elle paraît être.
L’audit Informatique est un terme largement utilisé, il couvre donc des réalités
souvent différentes, et certaines prestations réalisées sous le terme d’ « Audit
Informatique » sont en fait des missions de Conseil.
L‘audit en informatique est indispensable à cause des vulnérabilités et des coûts
qu‘induit l‘informatique. Il n‘a de sens que si sa finalité est définie : contrôle fiscal,
juridique, expertise judiciaire, vérification de l‘application des intentions de la
direction, examen de l‘efficacité ou de la sécurité d‘un système, de la fiabilité d‘une
application, etc.
Une évaluation du Système Informatique n‘a aucun sens car ce terme implique une
notion de valeur, alors qu‘aucune notation dans ce cadre espèce n‘a de fondement
objectif : Seules sont fondées des approches « par aspects sur objets », exprimées
concrètement par “tel composant du système, sujet de la mission, présente telles
qualités et tels défauts“.
Auditer rationnellement c’est expliciter les finalités de l‘Audit, puis en déduire les
moyens d‘investigations jugés nécessaires et suffisants. Pratiquement, c‘est
apprécier, dans un but précis, et une situation concrète observée (le comment ?),
l‘application du principe et des règles (le pourquoi ?).
L’auditeur intervient en tant que mesureur des risques, il identifie faiblesses, impacts,
solutions et les risques si les mesures ne sont pas prises.
B) Objectifs et buts
1 Objectifs
Plusieurs objectifs jalonnent les activités d’audit tant au niveau global que sectoriel.
En termes de fiabilité de l’environnement informatique,
Les objectifs assignés à l’audit informatique peuvent être élucider comme suit :
- L’intérêt d’un contrôle interne
2 Les buts
C) Règles de l’audit
Quel que soit le type de l‘audit (interne ou externe, contractuel ou legal,..) la finalité
est toujours de porter un jugement sur le management du SI et l‘exécution de ses
objectifs. C‘est donc la comparaison entre ce qui est observé (acte de management
ou d‘exécution) et de que cela devrait être, selon un système de références.
L‘audit ne doit pas se limiter à une approbation ou une condamnation (inutile pour
l‘audité), mais préciser ce qu‘il aurait fallu faire, et ce qu‘il faudra faire pour corriger
les défauts constatés. Exemple : la documentation est globalement compréhensible,
mais elle doit être mise à jour car elle n‘est plus en phase avec la maintenance de la
dernière année.
application, et qu‘il en est satisfait, il est inutile de savoir si les résultats sont exacts
(étude de fiabilité) ou inutiles (étude d‘adaptation).
Il existe plusieurs types d’audits de système d’information. Nous donnons dans cette
partie une liste non exhaustive de cette typologie de même que quelques moyens et
actions à entreprendre en fonction de la composante sectorielle concernée :
o L'audit de la planification
- Rôle de la planification informatique : plan, schéma directeur, etc,
- Cohérence entre les objectifs du schéma directeur et la stratégie
de l'entreprise ;
o L'audit de la micro-informatique
- Instruction des demandes particulières ;
- Suivi de l'utilisation des logiciels ;
- Formation des utilisateurs ;
- Contrôle de l'auto-développement.
o L'audit de l'exploitation
- Qualité de la planification de l'exploitation ;
- Gestion des ressources ;
- Procédures de sécurité et de continuité de service ;
- Maîtrise des coûts d'exploitation.
o L'audit de la sécurité :
- Les facteurs de limitation des risques ;
- Existence d'une politique du système d'information ;
- Implication des utilisateurs ;
- Méthodes de travail et outils adaptés aux objectifs.
o ...
1. Démarche générale
La compétence technique de l’auditeur est un point fondamental pour la réussite de
la mission, il implique aussi de disposer de certaines qualités humaines,
relationnelles, et des qualités de gestionnaire et d’organisateur.
Un plan annuel est définit sur une période de 3 à 4 ans, pour couvrir l’ensemble des
composantes du risque informatique, par les auditeurs internes qui vont fixer des
programmes annuels de travail détaillés.
Le programme de travail annuel reprend, en précisant les dates et modalités
d’intervention, les missions prévues au plan pluriannuel.
À cet effet, l’auditeur interroge en collaboration avec l’audité, les utilisateurs et les
entreprises qui participent au fonctionnement actuel du système d’information de
l’audité.
Une note est établie et remise à l’audité à l’issue de cette phase d’enquête préalable.
A. Les Normes
L’enjeu de la certification est une question de plus en plus présente dans le monde
de l’informatique. L’introduction de référentiels IT et leurs succès reposent la
question de certification au niveau des hommes et des infrastructures. C’est pourquoi
nous réalisons de plus en plus le fait que l’évolution de l’informatique vers l’approche
services concorde avec celle de la certification.
En effet, les référentiels ont un rôle clé car ils permettent de définir et de mettre en
œuvre les processus qui pourront être plus facilement et plus rapidement certifiés.
La norme 20000-1 s’applique à ITIL de même, les référentiels actuels permettent de
donner à l’organisation des méthodologies ayant une approche combinée et une
vision globale.
ISO 27002
ISO 27001
Il a été crée en 2005. L’objet principal de l’ISO 27001 est d’élaborer une politique du
Management de la Sécurité de l’Information qui par ricochet devra conduire à établir
un Système de Management de la Sécurité de l’Information par la mise en place de :
La norme ISO 27001 utilise la roue de Deming. Elle se base sur le modèle PDCA et
couvre six (6) domaines de processus :
Lorsque ces conditions sont remplies, l’entreprise peut être certifiée ISO 27001.
MEHARI
Il a été crée en 1995 par le CLUSIF, remplaçant MARION. MEHARI intervient pour
l’appréciation des risques aux regards des objectifs de sécurité et le contrôle et
gestion de la sécurité.
EBIOS
Il a été crée en 1995 par la DCSSI. EBIOS intervient dans la construction d’une
politique de sécurité basée sur une analyse des risques et l’analyse des risques
repose sur l’environnement et les vulnérabilités du SI.
Les référentiels majeurs de l’IT gouvernance sont ITIL, COBIT, CMMI, un peu COSO
et INFAUDITOR. Il est important de savoir qu’il faut utiliser plusieurs référentiels pour
arriver à couverture plus grande.
Le cas de COBIT
Présentation
Cobit a été crée en 1996 par l’ISACA / AFAI. Les domaines d’intérêt de Cobit sont :
Cobit est un référentiel qui permet d’organiser par le contrôle l’alignement entre les
objectifs établis par le management, les besoins des différents corps de métier et les
Aspect fonctionnel
- Domaines couverts
- Acteurs
- Structuration
Il est important de savoir que Cobit présente les grands principes du management
(objectifs, indicateurs, mesures) et de la gouvernance des technologies IT.
- Cadre de référence
Les objectifs de l’entreprise ne sont atteints que si les données sont pertinentes.
Sept critères au niveau de Cobit déterminent cette pertinence :
o L’efficacité: qualité et pertinence de l’information ;
o L’efficience: rapidité de délivrance ;
o La confidentialité ;
o L’intégrité: exactitude de l’information ;
o La disponibilité ;
o La conformité: respect des règles et des lois ;
o La fiabilité: exactitude des infos transmises.
- Ressources IT
- Processus IT
Ici, Une tâche se définit par le fait qu’elle est récurrente tandis qu’une activité s’inscrit
dans le cycle de vie.
- Segmentation
Le Domaine définit une répartition logique dans le management des SI, il couvre :
Les 34 processus dépendent de chacun des domaines. Ils sont associés aux
directives de management, ainsi qu’aux objectifs de contrôle des domaines
Le Guide de management
Les directives de gestion permettent d’identifier pour chaque processus les liens à
d’autres processus, les responsabilités les objectifs et les mesures à prendre en
compte.
- Niveau de maturité
- Critères de maturité
o Conscience et communication
o Règles standards et procédures
o Outils et automatisation
o Compétence et expertise
o Responsabilité et accountability
o Fixation et mesure des objectifs
- Mesure de la performance
Objectifs de contrôle
Cobit définit les objectifs de contrôle sur la base de 4 étapes comme stipulées par le
schéma suivant :
o Domaines IT
o Besoins de l’entreprise
o Ressources informatiques
Guide de l’audit
o Déceler, analyser et expliquer les failles d’un système et les risques qui en
découlent
o Apporter les solutions permettant d’ajuster le SI au regard des besoins de
l’entreprise
o Garantir de façon fiable l’atteinte des objectifs de contrôle déjà existants et
d’en apprécier la pertinence par rapport aux meilleures pratiques
o Besoins de l’entreprise
o Structure organisation
o Rôles et responsabilité
o Politiques et procédures
o Lois et règlements
o Les mesures de contrôle en place
o La gestion du reporting
Il faudra à ce niveau :
Ce point consiste à :
Le relevé nourrit une base de données que l‘on peut ensuite exploiter avec Access
ou d’autres SGBDR. Ce relevé recense matériels et logiciels et paramètres divers,
identifiant chaque poste de travail en réseau ou non.
La sécurité n'est pas un vain mot : si tout le monde en est conscient aujourd'hui, il
apparaît souvent que celle-ci est mal cernée et les règles mises en place ne sont que
peu ou pas respectées.
- Antivirus : Le programme antivirus n'est pas le seul garant la sécurité : il doit être
correctement paramétré et se tenir au courant des derniers virus connus.
- Sauvegarde : Rien n'est plus précieux que les données : Il suffit de voir son
système tomber en panne pour se rendre compte de l‘importance des données.
Le délai entre deux sauvegardes équivaut au temps que l'on accepte de perdre.
- Partage réseau : Tel ou tel fichier est confidentiel ou sensible : tous les salariés
d'une entreprise ne doivent pas avoir accès à tous les fichiers. Il convient de réfléchir
sur ce qui est public, partagé par un groupe ou privé.
- Pare-feu : La mode tout Internet apporte son lot de risques : le piratage. Il convient
de protéger les machines des accès externes indésirables.
Les outils informatisés nécessitent une rigueur dans la mise en place et l‘utilisation,
faute de quoi les outils sont inopérants, et plus grave encore, sous couvert de la
confiance que nous avons en leur efficacité.