MASTER Conseil et Audit des Organisations

Module : Conseil et Audit des systèmes d’informations

Sujet : Audit informatique

Encadré par : Préparé par :

M.KHALID CHAFIK ITAHRIOUAN SAAD

OUALHAJ MOHAMMED

MARINI IMAD

TALEA HAMZA

Année Universitaire : 2019 – 2020

 I. Introduction :

Le parc informatique est un atout au succès des activités d’une entreprise. Il faut qu’il soit constamment
opérationnel. Mais cette infrastructure complexe qui réunit des équipements, des logiciels et de nombreux
matériels connectés entre eux est souvent sujette à divers problèmes techniques. Pour mieux faire face à
ces soucis et surtout pour les anticiper, l’établissement d’un audit informatique est recommandé.

II. Définition de l’audit informatique

- L’audit informatique (aussi appelé Audit technologique) consiste à une intervention réalisée par une personne
indépendante et extérieure au service audité, qui permet d’analyser tout ou une partie d’une organisation
informatique, d’établir un constat des points forts et des points faibles et dégager ainsi les recommandations
d’amélioration. Autrement dit, L'audit informatique peut aussi être défini l'évaluation des risques des activités
informatiques, dans le but d'apporter une diminution de ceux-ci et d'améliorer la maîtrise des systèmes
d'information.
- Il permet de s’assurer que les activités informatiques d’une entreprise se déroulent correctement quant aux
règles et aux usages concernant les bonnes pratiques.
- L'audit informatique a pour objectif d’identifier et d’évaluer les risques associés aux activités informatiques
d'une entreprise ou d'une administration.

III. Les types d’audit informatique

Audit des données

Audit des projets Audit de la

informatiques sécurité des SI

Audit et cloud
Audit de la DSI
computing
- L’audit de données : est une méthode permettant de faire une analyse complète des
informations maintenues dans une ou plusieurs bases de données. L’objectif d’une telle analyse est d’obtenir
une vision claire de la qualité des données présentes en bases.

- Un audit de sécurité informatique : Un audit de sécurité informatique est une démarche qui permet de
connaître le niveau de sécurité global de son système d’information

- Audit de la DSI : Une méthodologie rigoureuse et un cadre d’analyse adapté au contexte ont permis un audit
objectif de l’efficacité de la fonction informatique en place et de sa qualité de service.

- L'audit des projets informatiques : L'audit des projets informatiques est un audit dont le but est de s'assurer
qu'il se déroule normalement et que l'enchaînement des opérations se fait de manière logique et efficace de
façon qu'on ait de fortes chances d'arriver à la fin de la phase de développement à une application qui sera
performante et opérationnelle.

IV. Définition de système informatique au sien de l’E/se :

• Le système informatique est le sous-système du système d’information, il est constitué de deux

entités: le matériel et le logiciel.

• L’objectif d’un système informatique est d’automatiser le traitement de l’information par

des systèmes embarqués, des ordinateurs, des robots, des automates, etc.

V. La fonction informatique au sien de l’E/se :

Le schéma ci-dessous illustre l’importance de la fonction informatique dans la structure organisationnelle

d’une grande entreprise disposant d’un système informatique sophistiqué. La direction informatique est
attachée à la direction générale exactement comme les autres directions, ceci implique que les dirigeants
 s’appuient sur cette fonction afin de mieux réussir leurs missions. Ceci peut ne pas être le cas pour
d’autres entreprises de petite taille, mais avec la complexité de l’environnement de l’entreprise la fonction
informatique requiert une attention particulière, une prise de connaissance de l’informatique dans
l’entreprise devient incontournable. La maturité de l’organisation informatique est un aspect
organisationnel, fonctionnel et technologique fortement pris en considération par les auditeurs et les
cabinets de conseil ainsi que par les experts comptables. La dimension organisationnelle de cette maturité
dépend de la relation qui existe entre l’informatique et ses utilisateurs, il s’agit d’un «contrat de services»
d’une part, et de la reconnaissance du rôle des directions des systèmes d’informatiques d’autre part. La
dimension fonctionnelle et technologique représente le degré d’intégration et d’ouverture des systèmes
d’information, ceci dépend de l’utilisation des nouvelles technologies par les partenaires.

Figure 1 : Les principales fonctions d’une direction informatique

VI. Les objectifs d’audit de la fonction informatique

 Vérifier le rôle des directions fonctionnelles et opérationnelles dans le pilotage informatique et

notamment l'existence d'un comité de pilotage de l'informatique,
 Contrôler la mise en œuvre de politiques, de normes et de procédures spécifiques à la fonction,
 Contrôler la définition des responsabilités respectives de la fonction informatique et des unités
utilisatrices concernant les traitements, la maintenance, la sécurité, les investissements, les
développements.

VII. La Démarche d’audit de la fonction informatique :

 Une mission d’audit informatique se prépare. Il est pour cela conseillé d’effectuer au préalable un pré-
diagnostic afin de préciser les questions que cet audit va traiter. Cela se traduit par l’établissement d’une
lettre de mission détaillant les principaux points à auditer.

Pour mener à bien l’audit informatique il est recommandé de suivre cinq étapes suivantes :

1) l’établissement de la lettre de mission. Ce document est rédigé et signé par le demandeur d’audit
et permet de mandater l’auditeur. Il sert à identifier la liste des questions que se pose le
demandeur d’audit. Très souvent l’auditeur participe à sa rédaction.
2) la planification de la mission permet de définir la démarche détaillée qui sera suivie. Elle va se
traduire par un plan d’audit ou une proposition commerciale. Ce document est rédigé par
l’auditeur et il est soumis à la validation du demandeur d’audit,
3) la collecte des faits, la réalisation de tests, … Dans la plupart des audits c’est une partie importante
du travail effectué par les auditeurs. Il est important d’arriver à dégager un certain nombre de faits
indiscutables,
4) les entretiens avec les audités permettent de compléter les faits collectés grâce à la prise en
compte des informations détenues par les opérationnels. Cependant, souvent ceux-ci font plutôt
part de leurs opinions plus que d’apporter les faits recherchés,
5) la rédaction du rapport d’audit est un long travail qui permet de mettre en avant des constatations
faites par l’auditeur et les recommandations qu’il propose,

Il peut arriver qu’à la suite de la mission d’audit il soit demandé à l’auditeur d’établir le plan d’action et
éventuellement de mettre en place un suivi des recommandations.

VIII. Les référentiels d'audit informatique :

Il existe différents référentiels comme :

 CobiT : Control Objectives for Information and related Technology. C'est le principal référentiel des
auditeurs informatiques. un Framework pour le développement, l’implémentation, la supervision et
l’amélioration des pratiques de gouvernance et d’administration des systèmes d’information.

De par son utilisation, COBIT permet aux SI :

  de s’aligner sur le métier de l’entreprise

 d’apporter un plus aux métiers

 de gérer au mieux ses ressources

 de gérer les risques de façon efficace

 Norme ISA 401 :

-Norme ISA 401 traite de l’audit réalisé dans un environnement informatique.

-L’absence ou l’insuffisance de séparation des fonctions
-L’absence de documentation des applications et aux erreurs dans le développement
-La maintenance des applications
-La possibilité d’accès non autorisés induits par l’utilisation d’un ordinateur

la directive 1001 :
Préconise la mise en place d’un certain nombre de mesures de sécurité telles que :

- La protection de l’ordinateur et des supports de stockage contre les risques de vol ou d’accès non
autorisés

- La protection des données et programmes contre les risques d’altération ou d’utilisation de logiciels
sans licence

- La continuité des opérations.

La directive 1002 vise :

- A assurer l’intégrité des informations produite et l’absence d’infection de l’entreprise par des virus.

- La mise en place de mots de passes pour l’accès aux logiciels d’application.

- La mise en place de verrouillages du terminal en cas d’inactivité au-delà d’un certain temps.

- La tenue d’un journal de suivi des transactions.

- Et un pare-feu au cas où l’entreprise est connectée à internet.

 Risk IT : RISK IT fait partie des risques informatiques, en particulier le risque associé à :
 -L'utilisation,

-La propriété,

-L'exploitation,

-La participation,

-L'influence et L'adoption de l'informatique au sein d'une entreprise.

Il s'agit d’une démarche liée à l'informatique susceptible d'avoir un impact sur l'entreprise. Cela peut se
produire à la fois avec une fréquence et une amplitude incertaine, et cela crée des défis pour atteindre les buts
et objectifs stratégiques.

RISK IT dans l’entreprise est une composante essentielle de l'administration responsable du système
d’informations.
En raison de l'importance de l'informatique pour l'activité globale, le risque informatique doit être traité
comme les autres risques clés dans l’entreprise.

Les cadres informatiques des risques expliquent les risques informatiques et permet aux utilisateurs de :

 Intégrer la gestion des risques informatiques au sein de l’entreprise.

 Comprendre comment gérer ces risques informatiques et donner des recommandations.

IX. Etude de cas :

 La société Siban a fait appel à un cabinet d’audit informatique dont l’objectif de vérifier et d’auditer la
fonction informatique au sien de son organisation, durant la première étape de la Compréhension de
l’environnement informatique, l’auditeur informatique a dégagé les constats suivants :

 M. othman le directeur informatique de la société Siban, depuis 5 ans a quitté la société sans assurer
sa succession M. mohamed, directeur financier, a repris la fonction de directeur informatique en
attendant l’embauche d’un spécialiste, mais ne contrôle pas encore tous les processus

 Le schéma directeur informatique date de 5 ans et le plan d’évolution n’a pas été mis à jour alors que
l’activité de la société est en pleine évolution.
Le directeur informatique est parti sans laisser ses documents de travail et le P-DG ne s’est jamais
impliqué dans ses travaux.
 L’ancien directeur informatique M. Othman est le seul à s’occuper de tous les aspects informatiques
de la société Le P-DG, M. Ayoub, ne supervise pas son travail par manque de connaissance technique.

 La maintenance et le développement de l’ensemble des logiciels de la société Siban sont externalisés

chez le prestataire Indigo. Cette société est propriétaire des programmes sources des applications
développées.

 Solution :

- Les risques détectés :

- Risque de perte du contrôle de certains processus.

- Risque de perte d’informations connues de l’ancien directeur informatique.

- Risque de perte de cohérence dans l’évolution du système d’information si le plan d’évolution n’est
pas tenu à jour.

- Le schéma directeur, obsolète risque de ne plus être en adéquation avec les besoins de la société.

- Trop de fonctions assurées par une même personne.

Pas de supervision extérieure.

- Dépendance trop importante vis-à-vis de la société d’externalisation.

Difficultés pour changer de prestataire en cas de mécontentement sur les prestations fournies ou de
faillite du prestataire.

- Recommandation :

- Effectuer un état de l’existant, identifier l’ensemble des procédures existantes ou à mettre en place.

- Mener une réflexion sur une évolution cohérente du système d’information.

- Créer un nouveau schéma directeur avec une architecture informatique cible.

- Définir le plan d’évolution pour les exercices à venir.

- Affecter une ressource à la fonction informatique ou externalisation de la fonction développement

chez un prestataire. (Résolution du risque= Trop de fonctions assurées par une même personne).

- S’assurer de la fiabilité d’Indigo.

 - Etudier des solutions permettant d’assurer la continuité du système d’information en cas de
défaillance d'Indigo.

- Une matrice récapitule l’étude :

Constats Risque détecté Recommandation

Stratégie élaborée par les le directeur informatique a -perte du contrôle de Effectuer un état de l’existant,
entités opérationnelles quitté la société sans assurer certains processus. identifier l’ensemble des
sa succession. -Risque de perte procédures existantes ou à
d’informations connues de mettre en place.
l’ancien directeur
informatique.

Sensibilisation de la direction le plan d’évolution n’a pas -perte de cohérence dans -Mener une réflexion sur une
été mis à jour alors que l’évolution du système évolution cohérente du
l’activité de la société est en d’information système d’information.
pleine évolution. -Créer un nouveau schéma
-risque de ne plus être en directeur avec une architecture
adéquation avec les besoins informatique cible.
de la société. Définir le plan d’évolution pour
les exercices à venir.

Organisation informatique Le directeur informatique est Trop de fonctions assurées Affecter une ressource à la
Séparation des tâches seul à s’occuper de tous les par une même personne. fonction informatique ou
aspects informatiques de la Pas de supervision externalisation de la fonction
société extérieure. développement chez un
prestataire.

Externalisation La maintenance et le -Dépendance trop -S’assurer de la fiabilité de

développement de importante vis-à-vis de la Indigo.
l’ensemble des logiciels de société d’externalisation. -Etudier des solutions
Siban sont externalisés chez permettant d’assurer la
le prestataire Indigo. continuité du système
d’information en cas de
défaillance d'Indigo

 Conclusion
Pour conclure on peut dire que l'audit de la fonction informatique répond aux préoccupations de la direction
générale ou de la direction informatique concernant l'organisation de la fonction informatique, son pilotage,
son positionnement dans la structure et ses relations avec les utilisateurs.

La bibliographie :
 L'audit informatique au service du contrôle interne Compte-rendu de la Rencontre Autour d’un verre du
11 octobre 2010; Conférence de Gina Gullà-Menez rapportée par Martine Otter.

 Livre blanc "Sécurité Financière et Système d'Information" - Jean-Yves Galley, Pierre Bernassau

 Information Technology Audits - Lynford Graham, Xenia Ley Parker– 2007 – ISACA

 Prise en compte de l’environnement informatique et incidence sur la démarche d’audit , Collection

guide d’application; édition : Avril 2003;