Faculté des Sciences juridiques Économiques et sociales Meknès

Université Moulay Ismail

Réalisé par : Encadré par :

Mr. CHATAR Hassan. M. LOUMMOU Brahim.

Filière : Finance, Audit et Contrôle de Gestion

Année universitaire : 2019/2020
Introduction…………………………………………………………………………………………………….3

Axe I : Cadre théorique et conceptuel de l’audit informatique…………………………5

1) Définitions de l’audit informatique…………………………………………………………5

2) Objectifs de l’audit informatique………………………………………………………..….7
3) Typologies de l’audit informatique…………………………………………………………8

Axe II : Audit informatique au sein de l’entreprise……………………………………………9

1) Démarche générale de l’audit informatique……………….....………………………9

2) Conduite de la mission d’audit informatique……………….……………………….11
3) Les référentiels de l’audit informatique……………….……………………………….12
4) La certification des auditeurs informatiques…………………………………………12

Axe III : Etude de cas………………………………………………………………………………………13

Conclusion………………………………………………………………………………………………………14

Bibliographie…………………………………….……………………………………………………………15

2
 Introduction

L’évolution des systèmes d’information a été développée suite au processus

de globalisation et d’internationalisation des marchés, cette évolution ne pouvait
qu’aider à la croissance des entreprises. Le développement technologique a
également marqué l’économie mondiale, et a mis les systèmes d’information au
centre des organisations, ceux-ci sont devenu des facteurs stratégiques de la
réalisation des performances et de la pérennité.

On assistait alors, au positionnement des systèmes d’information au sein

d’une fonction réservée spécialement au traitement et au développement des
taches automatisées : la fonction informatique. Il s’agit d’une fonction qui a été
découverte avec l’invasion des ordinateurs, elle a passé vers une fonction de
contrôle, pour être ensuite une fonction de gestion des données. Arrivée à sa
maturité, la fonction informatique aujourd’hui utilise un système d’information
qui représente une aide à la décision, un système harmonisé avec l’organisation
et adapté aux orientations de l’entreprise.

L’audit est vivement recommandé. Il permet aux entreprises de faire un

bilan de leurs systèmes informatiques au niveau du matériel, du réseau, des
logiciels et de la sécurité.

L’audit informatique n’est pas seulement destiné aux grandes structures,

c’est une recommandation pour tous les professionnels, quelle que soit la taille
de l’entreprise. Ce diagnostic permet de constituer un inventaire aussi fidèle que
possible de l’existant, de définir les axes d’actions prioritaires et de trouver les
solutions pour faire face aux problèmes et faiblesses identifiés.

Dans ce sens on parle aujourd’hui de l’audit intégré qui s’applique

simultanément à plusieurs aspects des activités examinées, et qui vise à atteindre
la performance globale de l’entreprise auditée.

3
 A ce niveau, la question qu’on peut poser est la suivante :

Quel est le processus d’application de l’audit informatique au sein de

l’entreprise?

Pour répondre à cette problématique nous allons scinder notre travail en

trois principaux axes, au niveau du premier axe on va présenter le cadre
conceptuel de l’audit informatique, le deuxième axe sera consacré à la démarche
de l’audite informatique au sein de l’entreprise et le troisième et le dernier axe
contiendra une étude de cas.

4
Axe I: Cadre théorique et conceptuel de l’audit informatique:

1. Définitions de l’audit informatique :

- L’audit informatique (en anglais Information technology audit ou IT

audit) a pour objectif de s’assurer que les activités informatiques d’une
entreprise ou d’une administration se déroulent conformément aux règles et aux
usages professionnels, appelés de manière traditionnelle les bonnes pratiques.
L’audit informatique consiste à évaluer le niveau de maturité de l’informatique
de l’entreprise en se basant sur un référentiel comme par exemple CobiT.
- L’audit informatique est une intervention réalisée par une personne
indépendante et extérieure au service audité, qui permet d’analyser tout ou une
partie d’une organisation informatique, d’établir un constat des points forts et
des points faibles et dégager ainsi les recommandations d’amélioration.
- L’audit informatique est une mission, qui ne demande pas de simples
auditeurs, puisque ces derniers doivent avoir de fortes connaissances en
informatique, car des notions, ainsi que des techniques sont à cerner pour
comprendre et savoir gérer un processus d’informatisation.

2. Objectifs de l’audit informatique:

L’audit informatique est nécessaire pour affronter au mieux toutes les

problématiques de l’entreprise. C’est une étude préalable qui analyse plusieurs
aspects d’une stratégie informatique adoptée dans une entreprise ou une société.
Celui-ci permet d’éviter de nombreux problèmes et de mieux se préparer face
aux différentes problématiques attendues.

La réalisation d’un audit informatique n’est pas obligatoire par définition.

Cependant, il est vivement conseillé de le réaliser. C’est ce qui permet
d’identifier les différentes failles qui peuvent exister au sein d’un même réseau,

5
les erreurs de configuration, les mises-à-jour non effectuées au sein d’un
système informatique…

Grâce à cet état des lieux complet effectué, il sera plus facile d’organiser le
travail à l’avenir. Que ce soit une entreprise qui souhaite faire appel à une
société d’infogérance pour installer une nouvelle infrastructure informatique ou
la mettre à niveau, un audit informatique sera réalisé auparavant.

La réalisation d’un audit permettra à l’entreprise d’avoir un gain de temps

considérable. En effet, elle peut anticiper les différents problèmes suite à des
erreurs techniques ou autres.

Grâce à l’audit, l’infrastructure possédera un état des lieux récent et pourra

plus facilement se mesurer face à la concurrence actuelle du secteur d’activité.
C’est aussi un atout pour effectuer les mises à jour d’applicatifs nécessaires, qui
généralement corrigent des failles de sécurité.

L’audit informatique permet d’assurer que l’entreprise est en conformité

par rapport à la législation en vigueur. Dans le cas d’une vente, cession, fusion
avec une autre société ou autre transition informatique, l’audit facilitera ces
démarches pour mieux adapter les manipulations à effectuer. Dans l’audit
informatique.

Plusieurs points de l’infrastructure informatique sont analysés:

• Aspects techniques ;
• Aspects humains ;
• Aspects organisationnels.

L’audit informatique portera essentiellement sur ces trois points ci-dessus.

Les aspects techniques concernent l’état de lieu du système informatique et
tout ce qui s’y rapporte dont notamment la sécurité : matériel, serveurs, réseaux
internes/externes, postes utilisateurs, applicatifs utilisés… Les aspects humains
6
porteront sur la qualité de la gestion des ressources humaines ainsi que sur
l’étude des besoins et des attentes par le client. Enfin l’aspect organisationnel
concerne la faisabilité du projet.

3. Typologies de l’audit informatique :

La démarche d’audit informatique est générale et s’applique à différents

domaines comme la fonction informatique, les études informatiques, les projets
informatiques, l’exploitation, la planification de l’informatique, les réseaux et
les télécommunications, la sécurité informatique, les achats informatiques,
l’informatique locale ou l’informatique décentralisée, la qualité de service,
l’externalisation, la gestion de parc, les applications opérationnelles… Ci-
dessous une présentation succincte des audits informatiques les plus fréquents.

3.1 Audit de la fonction informatique :

Le but de l’audit de la fonction informatique est de répondre aux

préoccupations de la direction générale ou de la direction informatique
concernant l’organisation de la fonction informatique, son pilotage, son
positionnement dans la structure, ses relations avec les utilisateurs, ses méthodes
de travail…

3.2 Audit des études informatiques :

L’audit des études informatiques est un sous-ensemble de l’audit de la

fonction informatique. Le but de cet audit est de s’assurer que son organisation
et sa structure sont efficaces, que son pilotage est adapté, que ses différentes
activités sont maîtrisées, que ses relations avec les utilisateurs se déroulent
normalement,…

7
 3.3 Audit de l’exploitation :

L’audit de l’exploitation a pour but de s’assurer que le ou les différents

centres de production informatiques fonctionnent de manière efficace et qu’ils
sont correctement gérés. Il est pour cela nécessaire de mettre en œuvre des outils
de suivi de la production comme Openview d’HP, de Tivoli d’IBM,… Il existe
aussi un système Open Source de gestion de la production comme Nagios. Ce
sont de véritables systèmes d’information dédiés à l’exploitation.
3.4 Audit des projets informatiques :
L’audit des projets informatiques est un audit dont le but est de s’assurer
qu’il se déroule normalement et que l’enchaînement des opérations se fait de
manière logique et efficace de façon qu’on ai de forte chance d’arriver à la fin de
la phase de développement à une application qui sera performante et
opérationnelle. Comme on le voit un audit d’un projet informatique ne se
confond pas avec un audit des études informatiques.
3.5 Audit des applications opérationnelles :
Les audits précédents sont des audits informatiques, alors que l’audit
d’applications opérationnelles couvre un domaine plus large et s’intéresse au
système d’information de l’entreprise. Ce sont des audits du système
d’information. Ce peut être l’audit de l’application comptable, de la paie, de la
facturation,…. Mais, de plus en plus souvent, on s’intéresse à l’audit d’un
processus global de l’entreprise comme les ventes, la production, les achats, la
logistique,…

3.6 Audit de la sécurité informatique :

L’audit de la sécurité informatique a pour but de donner au management une

assurance raisonnable du niveau de risque de l’entreprise lié à des défauts de
sécurité informatique. En effet, l’observation montre que l’informatique
représente souvent un niveau élevé pour risque élevé de l’entreprise. On constate
actuellement une augmentation de ces risques liée au développement d’Internet
8
Axe II: Audit informatique au sein de l’entreprise:

1. Démarche générale de l’audit informatique:

La compétence technique de l’auditeur est un point fondamental pour la

réussite de la mission, il implique aussi de disposer de certains qualités humains,
relationnelles, et des qualités de gestionnaire et d’organisateur.

L’audit informatique peut être effectué soit par un auditeur informatique

interne ou un auditeur informatique externe contractuel.
• Auditeur informatique interne : L’auditeur informatique interne
dépend soit de la direction informatique ou d’un service d’audit.
• Auditeur informatique externe contractuel : L’auditeur informatique
externe est une personne indépendante de l’entreprise (société d’audit
informatique).
L’auditeur informatique interne ou externe ont pour rôle de :
➢ Examen de contrôle interne de la fonction informatique;
➢ Audit de la sécurité physique du centre de traitement;
➢ Audit de la confidentialité;
➢ Audit des performances.

2. Conduite de la mission d’audit informatique :

Une mission d’audit informatique se prépare. Il est pour cela conseillé

d’effectuer au préalable un pré-diagnostic afin de préciser les questions que cet
audit va traiter. Cela se traduit par l’établissement d’une lettre de mission
détaillant les principaux points à auditer.

Pour mener à bien l’audit informatique il est recommandé de suivre six

étapes suivantes:

9
1 • la lettre de mission;

2 • Le programme de travail;

3 • Enquête préalable;

4 • Réunion de synthèse;

5 • Rédaction du rapport final;

6 • Présentation et discussion de ce rapport.

1. l’établissement de la lettre de mission : Ce document est rédigé et

signé par le demandeur d’audit et permet de mandater l’auditeur. Il sert à
identifier la liste des questions que se posent le demandeur d’audit. Très
souvent l’auditeur participe à sa rédaction.
2. Programme de travail: permet de définir la démarche détaillée qui
sera suivie. Elle va se traduire par un plan d’audit ou une proposition
commerciale. Ce document est rédigé par l’auditeur et il est soumis à la
validation du demandeur d’audit.
3. Enquête préalable : les entretiens avec les audités permettent de
compléter les faits collectés grâce à la prise en compte des informations
détenues par les opérationnels. Cependant, souvent ceux-ci font plutôt part
de leurs opinions plus que d’apporter les faits recherchés.
4. Réunion de synthèse : la collecte des faits, la réalisation de tests,
… Dans la plupart des audits c’est une partie importante du travail effectué
par les auditeurs. Il est important d’arriver à dégager un certain nombre de
faits indiscutables.
10
 5. Rédaction du rapport d’audit : la rédaction du rapport d’audit est
un long travail qui permet de mettre en avant des constatations faites par
l’auditeur et les recommandations qu’il propose.
6. La présentation et la discussion du rapport d’audit au
demandeur d’audit, au management de l’entreprise ou au management de la
fonction informatique.

Il peut arriver qu’à la suite de la mission d’audit il soit demandé à

l’auditeur d’établir le plan d’action et éventuellement de mettre en place un suivi
des recommandations.

3. Les référentiels d’audit informatique

Il existe différents référentiels comme :

• COBIT: Control Objectives for Information and related

Technology. C’est le principal référentiel des auditeurs informatiques,
• Val IT permet d’évaluer la création de valeur par projet ou par
portefeuille de projets,
• Risk IT a pour but d’améliorer la maîtrise des risques liés à
l’informatique.
• COBITT and Applications Controls.

Voir les sites de l’ISACA Information Systems Audit & Control

Association qui est l’association internationale des auditeurs informatiques et de
l’AFAI Association Française de l’Audit et du conseil Informatique, qui est le
chapitre français de l’ISACA.

Mais on peut aussi utiliser d’autres référentiels comme :

•
ISO 27002 qui est un code des bonnes pratiques en matière de
management de la sécurité des systèmes d’information,
• CMMI : Capability Maturity Model Integration qui est une
démarche d’évaluation de la qualité de la gestion de projet informatique,

11
 • ITIL qui est un recueil des bonnes pratiques concernant les niveaux
et de support des services informatiques.

4. La certification des auditeurs informatique

On pourrait imaginer une certification des directions informatique ou des

applications informatiques. Cela n’existe pas. Il existe par contre une
certification de la qualité des projets informatiques : CMMI. En matière de
qualité de service fournie par l’exploitation il y a la certification sur la norme
ISO 20000 qui est un sous-ensemble d’ITIL.

Il existe par contre une procédure de certification des outsourceurs : SAS

70, Statement on Auditing Standards n°70. Cette norme a été créée par
l’American Institute of Certified Public Accountants (AICPA) pour éviter à ces
organismes de devoir supporter successivement plusieurs audits informatiques
sur des sujets voisins. Ce sont des audits réalisés par des tiers et vont s’assurer
que les processus mis en œuvre offrent la qualité du service attendue.

En matière d’audit informatique on certifie les auditeurs informatiques. La

certification de référence est le CISA, Certified Information Systems Auditor.
C’est une certification professionnelle internationale. Elle est organisée par
l’ISACA depuis 1978. En France elle est passée depuis 1989. À ce jour dans le
Monde 75.000 personnes ont le CISA dont plus de 1.000 en France. L’examen
peut être passé deux fois par an : en juin et en décembre, dans 11 langues
différentes et dans 200 villes dans le monde. Il faut répondre à 200 questions à
choix multiples en 4 heures portant sur l’audit et l’informatique. L’examen porte
sur 6 domaines :
1. les processus d’audit des systèmes d’information,
2. la gouvernance IT,
3. la gestion du cycle de vie des systèmes et de l’infrastructure,
4. la fourniture et le support des services,
5. la protection des avoirs informatiques,
6. le plan de continuité et le plan de secours informatique.

12
Axe III : Etude de cas :

La société X est une société de confection créée en 2005. Pour

effectuer un examen sur l’ensemble de la fonction informatique la société
X a appelé un auditeur externe pour réaliser une mission d’audit
informatique.

Après vérification l’auditeur informatique a dégagé un ensemble

d’aléas qui perturbent le bon fonctionnement de cette entreprise, ci-après
les problèmes constatés par l’auditeur :

❖ Accessibilité des imprimantes ;

❖ Accès aux applications ;
❖ Absence de véritable administrateur ;
❖ Procédure de sauvegarde des données ;
❖ Organisation de la comptabilité informatique ;
❖ Base de données.

L’auditeur informatique a proposé des solutions pour résoudre les

problèmes constatés et garantir le bon fonctionnement de l’entreprise X.

Problèmes détectés Solutions

Accessibilité des imprimantes. Mieux répartir dans les locaux

Restreindre l’accès aux applications à la

Accès aux applications.
fonction de l’utilisateur.

Absence de véritable
Nommer un administrateur qualifié.
administrateur.
Procédure de sauvegarde des L’administrateur sera chargé des
données. sauvegardes, en veillant à les sécuriser.
Organisation de la comptabilité Valider l’intégration des écritures tous les
informatique. jours.
Base de données. Modifier la structure de la BD informatisée.

13
 Conclusion

Il paraît évident, à partir de l’ensemble des éléments qu’on a traité tout au

long de ce travail, que l’évolution des systèmes informatiques et leur intégration
inéluctable, à la comptabilité entre-autres, a poussé les normes d’audit à
s’adapter et à introduire des nouveautés.

En effet, parmi ces dernières on trouve l’intégration de nouvelles règles

telles que la protection des systèmes informatiques et des réseaux et l’évaluation
de nouveaux risques inhérents à ces systèmes mais aussi des risques de vols et
de piratage des données.

Toutefois, au Maroc les normes et référentiels d’audit informatique

demeurent inadaptés à un domaine en constante évolution, et ce bien que le
législateur marocain s’est forcé à introduire quelques règles en comptabilité et
en matière fiscale. Enfin, contrairement au cas du Maroc, les pratiques à
l’international ont fait l’objet de plusieurs mises-à-niveau, notamment aux Etats-
Unis et en France, afin de suivre l’évolution de l’informatique.

14
 Bibliographie

❖ https://fr.slideshare.net/samsung771/mission-daudit-des-systme-
dinformation.
❖ https://bencherifcheikh.wordpress.com/2012/08/07/audit-informatique/.
❖ J-P.Ravalic, Audit informatique : Approche juridique et sociale, Edition
Delmas, Paris 1991.
❖ M.Thorin,Edition Masson, l’audit informatique : Méthodes, règles, normes,
Paris 1991.

15