3.

Sécurité physique du système d’information

La Direction de l’établissement a-t-elle défini une

politique de sécurité physique ?
Celle-ci a-t-elle été formalisée au travers d’un
document diffusé à l’ensemble des agents de
l’établissement ?

Remettre ce document aux auditeurs à

l’ouverture de l’audit.
La Direction de l’établissement a-t-elle fait le choix
de mettre en place des stations de travail
microinformatiques sans disques et sans ports USB
et en réseau sécurisé ?

De façon plus générale, qu’est-ce qui, selon vous,

contribue à la qualité du dispositif actuel de sécurité
physique ?

Précisez votre réponse.

Qu’est-ce qui, à l’inverse, constitue une faiblesse

dans le dispositif actuel de sécurité physique ?

Précisez votre réponse.

Quelles sont selon vous les mesures à prendre pour

renforcer ce dispositif ?

Avez-vous mis en place un dispositif s’appuyant sur

des contrôles techniques effectués par un expert
(organisme de contrôle spécialisé) s/ les sécurités
logiques du SI ?
Si oui :
- Quelle est la fréquence des contrôles extérieurs ?

- Quelle est la date du dernier contrôle ?

Remettre le compte-rendu du dernier contrôle

aux auditeurs à l’ouverture de l’audit.
Les dispositions écrites prévoient-elles la
redondance de certains équipements / matériels
d’environnement ?
Ex : climatisation, équipements électriques tels que
les disjoncteurs, groupes électrogènes, onduleurs,
etc.

-1-
Quelles ont été les suites données par
l’établissement aux anomalies qui ont été détectées
par la structure de contrôle spécialisée ?

Comment ont-elles été formalisées ?

Remettre les documents de formalisation aux

auditeurs à l’ouverture de l’audit.
Quels sont les dispositifs de sécurité mis en place
pour garantir :

 la sécurité des accès aux matériels

informatiques sensibles de l’entité
(serveurs…) : badges magnétiques, clefs, etc ?
 Quelle est la fréquence de changement des
codes d’accès aux locaux informatiques
(digicodes) ?

 la sécurité contre les dégâts naturels ?

Comment le contrôle des accès aux installations

informatiques est-il suivi (tenue de journaux
d’accès, de listes de possesseurs de badges
magnétiques ou de clefs, etc.) ?
Comment est assurée la protection contre les
intrusions logicielles ?

Comment est assurée la protection contre les virus ?

Comment la maintenance des matériels est-elle

suivie pour les aspects suivants :

 équipements électriques,

 dispositif anti-incendie,

 sécurité anti-intrusion,

 autres

Qui est en charge de ce suivi ?

Comment est-il formalisé ?

-2-
Selon quelle périodicité l’établissement réalise-t-il
une revue des dispositifs dédiés à la sécurité
physique du système d’information ?

Qui effectue cette tâche ?

Les agents de l’établissement ont-ils été sensibilisés

à la sécurité physique du système d’information ?

Qui a sensibilisé les agents à la sécurité physique du

système d’information ?

Quels ont été les moyens de sensibilisation utilisés ?

4. Points spécifiques aux applications comptables

Existe-t-il une possibilité de découplage entre la

date de saisie et la date comptable enregistrée dans
l’application ?

Précisez les limites de ce découplage, notamment au

regard des contraintes de clôture des périodes
comptables.

Ce découplage apparaît-il explicitement sur certains

états / écrans de l’application ?

Indiquez quels dispositifs informatiques sont mis en

œuvre dans le cadre de la fin de gestion de
l’exercice comptable et plus particulièrement :

 la clôture informatique de l’exercice ;

 les reprises automatiques en balance d’entrée.

V - Exploitation du SI comptable et financier

Quel est le rôle du service informatique dans
l’exploitation de l’application de comptabilité
générale ?

Existe-t-il une possibilité de modifier les

programmes de l’application de comptabilité
générale ?

Dans l’affirmative, une procédure a-t-elle été mise

en place pour limiter l’accès aux codes de
l’application ?

Une traçabilité de ces modifications existe-t-elle ?

-3-
Des anomalies informatiques ont-elles été
identifiées dans l’application de comptabilité
générale ?

En ce cas, quelle procédure met en œuvre le service

informatique pour les résoudre ?

Un suivi des indisponibilités des applications,

éventuellement des indicateurs, existe-t-il ?

VI - Piste d’audit
Des contrôles sont-ils réalisés par le service
informatique sur l’intégration :
- des données entrantes (via les applications de
comptabilité auxiliaire) dans l’application de
comptabilité générale ?
- des données sortantes de l’application de
comptabilité générale vers les applications de
comptabilité auxiliaire ?

Dans l’affirmative :
 décrire ces contrôles ;
 indiquez si des anomalies d’intégration sont
détectées et les suites données.

VII - Maintenance du SI comptable et financier

Par qui est assurée la maintenance des logiciels ?

Quelle procédure a été définie en matière de

maintenance :

 Corrective

 Evolutive

 modifications urgentes

Précisez votre réponse sur le plan des conditions de

test et de recette des programmes et chaînes de
traitement concernés.

-4-
Le service informatique est-il régulièrement sollicité
pour les tests de maintenances effectuées sur
l’application de comptabilité générale ?

 Dans l’affirmative, décrire le dispositif mis en

place

Existe-t-il une procédure d’urgence pour la mise en

production de certaines maintenances ?

Le service informatique est-il averti en ce cas ?

Des procédures spécifiques de contrôle sont-elles

mises en œuvre ?

Les maintenances sont-elles systématiquement

testées avant leur mise en exploitation ?

VIII - Sauvegardes des données comptable et financières

Quelles sont les règles de sauvegardes des données
de l’application de comptabilité générale ?

Des applications de comptabilité auxiliaire ?

A quel niveau ont été définies les modalités de

sauvegarde des données et traitements (fréquence de
sauvegarde, procédures techniques à mettre en
œuvre) :
 la Direction de l’établissement

 le service informatique

 autres

Les procédures de sauvegarde ont-elles été

formalisées dans un document de référence mis à
disposition des personnels concernés ?

Remettre ce document aux auditeurs à

l’ouverture de l’audit.

-5-
Qui est charge de leur mise en œuvre ?

Quels sont les supports de sauvegarde ?

Dans quelles conditions sont-ils conservés ?

Des mesures de contrôle interne ou externe de la

correcte mise en œuvre de ces dispositions sont-ils
réalisés ?

Quelle est la fréquence des sauvegardes ?

Où sont conservées les sauvegardes ?

Combien de temps sont conservées les données ?

Les sauvegardes font-elles l’objet de tests de

restauration ?
- Selon quelle périodicité ?

- Les résultats sont-ils formalisés ?

- Existe t-il un suivi de ces tests ?

IX - Plan de continuité de l’activité

Une politique a-t-elle été définie par l’établissement

en matière de procédure de secours en cas de
sinistre majeur sur site (back-up) ?

Est-elle formalisée ?

Ce document a-t-il été porté à la connaissance des

personnels concernés par la procédure de reprise ?

Remettre ce document aux auditeurs à

l’ouverture de l’audit.
L’élaboration du plan de secours a-t-elle été basée
sur une analyse préalable de l’impact des risques sur
l’activité de l’établissement ?

-6-
Quelle a été la solution technique retenue ?
 Site miroir (entièrement configuré et prêt à
démarrer) ;

 Salle rouge (partiellement configuré) ;

 Salle blanche (avec équipement minimum

énergie / climatisation / etc.)

 Site mobile

 Accord de réciprocité avec un autre

établissement ?
Quels sont les indicateurs mis en place pour évaluer
la qualité / le caractère opérationnel de la procédure
de secours ?

Quelle est la fréquence d’actualisation de ces

indicateurs ?

Des tests de simulation de reprise de l’exploitation

des applications à partir du site de secours ont-ils
été effectués ?

Ont-ils fait apparaître des difficultés particulières ?

Quelles dispositions ont été prises pour corriger les

difficultés rencontrées lors de ces tests ?

Le niveau de connaissance des procédures de

secours par les personnels concernés a-t-il été
évalué ?

Si oui, par quels moyens ?

Votre plan de continuité de l’activité / plan de

secours a-t-il obtenu la certification d’un organisme
extérieur (organisation professionnelle, organisme
certificateur) ?

[Rem :
 plan de continuité de l’activité = ensemble des
processus mis en œuvre pour assurer la continuité de
l’activité ;
 plan de secours = plan orienté sur le système
d’information en lui-même.]

-7-
Estimez-vous que grâce au plan de continuité qu’il a
défini, l’établissement est en mesure de faire face à
un sinistre sur site majeur sans que son activité ne
soit mise en péril ?

Précisez votre réponse.

Merci pour vos réponses

-8-
 PRINCIPALES APPLICATIONS DE GESTION COMPTABLE ET FINANCIERE (Tableaux à
compléter – éventuellement sous forme de tableaux EXCEL)

Nom de Type de matériel suivant application Traitement T ou * MICRO*

l’application transactions R A-R-C

T : Transactionnel
A : Autonome
R : en réseau avec d’autres micros
C : connectés au mainframe

-9-
 APPLICATIFS INFORMATIQUES (Tableau à compléter, éventuellement sous forme de tableaux
EXCEL) – Cartographie applicative

Nom de Caractéristiques NOM VERSION Date dernière modification Date modif. Maj.
application Progiciel acheté ou version
l’application
1 – interne
Des logiciels ou 2 – Progiciel non
progiciels modifié
3 – Progiciel adapté

- 10 -