Vous êtes sur la page 1sur 43

Université Hassan II de Casablanca

ENSET de Mohammédia

Audit des éléments constitutifs


d’un système d'information
Prof. : K. MANSOURI
INTRODUCTION

 L’informatique est omniprésente et indispensable

 Développement des SI = accroissement des risques

 Le SI est le « système nerveux » de l’entreprise

 L’audit est un moyen préventif bien qu’utilisé trop souvent à


titre curatif (58% des cas)

 L’audit informatique s’impose, il y a une prise de conscience

 A vu le jour dans les années 60 aux USA


PLAN

I- Généralités
A- Objectifs
B- Démarche générale
C- Conduite de la mission
II- Les outils de l’auditeur
A- Normes
B- Méthodes
C- Critères de choix
III- Étude de cas
GÉNÉRALITÉS

 L’audit correspond au besoin de faire faire un diagnostic par


un expert indépendant pour établir un état des lieux, définir
des points à améliorer et obtenir des recommandations pour
faire face aux faiblesses de l’entreprise.

 L’auditeur intervient en tant que mesureur des risques, il


identifie faiblesses, impacts, solutions et les risques si les
mesures ne sont pas prises.
GÉNÉRALITÉS (SUITE)

 L’audit Informatique est un terme largement utilisé, il couvre


donc des réalités souvent différentes, et certaines
prestations réalisées sous le terme d’ « Audit Informatique »
sont en fait des missions de Conseil.

 Le champ d’action principal de l’Audit Informatique doit


rester l’outil informatique au sens large, en y incluant la
bureautique (application, matériels…) et de plus en plus les
outils liés à l’usage des technologies de l’Internet…
OBJECTIFS
 En termes de fiabilité de l’environnement
informatique

a) L’intérêt d’un contrôle interne

b) Les acteurs de l’audit informatique

c) Composantes d’un audit de l’activité informatique

d) Méthodes d’audit de l’activité informatique


OBJECTIFS
a) L’intérêt d’un contrôle interne
Le contrôle interne est:
 l’ensemble des sécurités contribuant à la maîtrise de
l’entreprise.
 Il a pour but:

- d’assurer la protection, la sauvegarde du patrimoine et la


qualité de l’information
- l’application des instructions de la direction et favoriser
l’amélioration des performances.
 Il se manifeste par l’organisation, les méthodes et
procédures de chacune des activités de l’entreprise pour
maintenir sa pérennité
OBJECTIFS
 bonne organisation d’ensemble de l’activité
« informatique »
 existence de procédures
 existence de méthodes

Finalité

 réduire les risques de malveillance


 des procédures formalisées bien comprises
 amélioration de l’efficacité de l’activité informatique.
OBJECTIFS
b) Les acteurs de l’audit informatique

 direction de l’entreprise

 responsable informatique

 contrôleurs externes (commissaires aux comptes,


administration fiscale, banques…)
OBJECTIFS
c) Composantes d’un audit de l’activité
informatique
 examen de l’organisation générale du service,

 examen des procédures liées au développement et la


maintenance des applications,

 examen des procédures liées à l’exploitation des chaînes


de traitement,

 examen des fonctions techniques.


OBJECTIFS
d) Méthodes d’audit de l’activité informatique

 entretiens avec le personnel du service informatique et les


utilisateurs du service

 contrôles de documents ou d’états

 outils commercialisés (progiciel)

 méthodes (COBIT, MEHARI…)


OBJECTIFS
 En termes d’efficacité et de performances

 mise en place d’un plan de secours


 étude approfondie de la performance et du
dimensionnement des machines
 adéquation aux besoins des logiciels système

« En d’autres termes l’audit d’efficacité, constitue une


mission mandatée soit par la direction générale, afin de
s’interroger sur le coût de son informatique, soit par le
responsable du service, de manière à vérifier la pertinence
de sa configuration ».
OBJECTIFS
 En termes de fiabilité d’une application
informatique
 Objectif premier:« Se prononcer sur la qualité d’une
application donnée ».

 Types de contrôle:

 Contrôle de la fiabilité d’une application, ou son utilisation


 Contrôle de l’adéquation des logiciels développés aux
spécifications fonctionnelles
 Recherche de fraude ou erreurs
 Contrôle de la qualité des méthodes de développement des
logiciels ou contrôle de la qualité des procédures
d’exploitation
DEMARCHE GENERALE

 « La compétence technique de l’auditeur est un point


fondamental pour la réussite de la mission, il implique aussi
de disposer de certaines qualités humaines, relationnelles,
et des qualités de gestionnaire et d’organisateur. »

1) Intervenants
2) Plan pluriannuel d’audit
DEMARCHE GENERALE
1) Intervenants

a) Auditeur externe contractuel

 société spécialisée en ingénierie et services informatique

Leurs missions

 examen de contrôle interne de la fonction informatique,


 audit de la sécurité physique du centre de traitement,
 audit de la confidentialité d’accès
 audit des performances
DOMAINES DANS LESQUELS LES AUDITEURS
INFORMATIQUES
SONT LES PLUS FRÉQUEMMENT SOLLICITÉS
Domaine Pourcentage
Sécurité logique 80%

Conduite de projets 68%

Revue environnement informatique 66%

ERP / Revue d'application 58%

Production 54%

Maitrise d'ouvrage et Cahier des charges 54%

Analyse de données 50%

Développement et rôle des études 46%

Recettes 42%

Qualité du code et réalisation 30%

Autre 20%

Source: enquêtes AFAI


DEMARCHE GENERALE
b) Auditeur interne

 Les missions susceptibles d’être confiées à l’auditeur


informatique interne sont a priori les mêmes que celles
susceptibles d’être confiées à l’auditeur externe.

 Cependant, l’auditeur interne qui dépend soit de la direction


informatique ou d’un service d’audit, se trouve confronté à
un problème délicat : Comment couvrir dans un délai
raisonnable l’ensemble des risques informatiques ?
DEMARCHE GENERALE
c) Commissaire au comptes

o Rôle

Le commissaire au compte a pour rôle de vérifier que les


comptes présentés sont réguliers et sincères, et qu’ils
donnent une image fidèle de la situation de l’entreprise.
Leur présence est obligatoire dans la plupart des sociétés
commerciales.
DEMARCHE GENERALE
o Approche en environnement informatique

Source: CRCC de Paris


DEMARCHE GENERALE
2) Plan pluriannuel d’audit

 Un plan annuel est définit sur une période de 3 à 4 ans,


pour couvrir l’ensemble des composantes du risque
informatique, par les auditeurs internes qui vont fixer des
programmes annuels de travail détaillés.

 Le programme de travail annuel reprend, en précisant les


dates et modalités d’intervention, les missions prévues au
plan pluriannuel.
DEMARCHE GENERALE
Exemple de plan pluriannuel

Année Travaux planifiés


1 Examen du contrôle interne de la fonction informatique au siège
- audit général de la filiale X
Examen limité du contrôle interne informatique et étude approfondie du
logiciel de gestion de production de cet établissement

2 Audit informatique général de la filiale Y


- Analyse de l’application de gestion du personnel
- Examen approfondi du contrôle interne informatique de
l’établissement
Étude de l’ensemble de la gestion de la sécurité informatique dans le
3 groupe
- Audit des logiciels de gestion des stocks dans l’établissement
- Audit informatique général de la filiale Z

4 Examen du contrôle interne de la fonction informatique au siège


Étude de l’ensemble de la gestion des sécurités physiques dans le
groupe à réaliser conjointement avec un cabinet extérieur
Audit du logiciel de gestion des commandes et de facturation de
l’établissement
CONDUITE DE LA MISSION
 Démarche

a) la lettre de mission

 Objectifs de la mission
 Périmètre de la mission
 Période d’intervention
 Contraintes à prévoir pour les services audités
 Méthode
 Constitution de l’équipe
 Documents préparatoires
CONDUITE DE LA MISSION
b) Le programme de travail

 Structure de l’entreprise concernée

 Domaines fonctionnels

 Applications informatiques

 Matériel et réseaux
CONDUITE DE LA MISSION
c) Enquête préalable
 délimiter les besoins et analyser le système d’information de
l’audité
 interroger en collaboration avec l’audité, les utilisateurs et
les entreprises qui participent au fonctionnement actuel du
SI
d) Réunion de synthèse
 s´assurer :
- que les questions de l´auditeur ont été bien comprises
- que les réponses ont été bien interprétées
CONDUITE DE LA MISSION
e) Rapport d’audit

 Le rapport est ensuite rédigé. Il doit être clair et non porté


sur la technique

 ≠mission d´expertise: il proposera un plan d’action pour


améliorer la performance
CONDUITE DE LA MISSION
 Comment choisir un auditeur informatique ?

 Trois critères majeurs sont donc à retenir :

- l´indépendance de l´auditeur

- professionnel du diagnostic

- sa capacité à remettre des recommandations.


CONDUITE DE LA MISSION
 Que représente un audit en termes de coût et
d’économies pour l'entreprise ?

 Coût:
Avec un prix moyen de la journée à environ « 10000 Dh »,
le Groupement national des professionnels de l´informatique
(GPNI) estime le coût global de la procédure entre « 5000 et
30000 Dh ».

 Economies:
- Économies immédiates lors du constat de dépenses
inutiles
- Réduction des risques entraînant réduction de coût
LES OUTILS DE L’AUDITEUR
LES NORMES
o ISO 27002

 Généralités: Créée en 2000 (ISO 17799), Renommée en 2005

 Objet: sécurisation de l’information

=> Confidentialité, intégrité, disponibilité

 Caractère facultatif => guide de recommandations

 4 étapes dans la démarche de sécurisation:

- Liste des biens sensibles à protéger


- Nature des menaces
- Impacts sur le SI
- Mesures de protection
LES NORMES

o ISO 27001
 Généralités: Créée en 2005
 Objet: Politique du Management de la Sécurité de l’Information

 établir un Système de Management de la Sécurité de


l’Information :

- Choix des mesures de sécurité


- Protection des actifs
LES NORMES

 6 domaines de processus :

- Définir une politique de sécurité


- Définir le périmètre du SMSI (système de management de la
sécurité de l'information)
- Évaluation des risques
- Gérer les risques identifiés
- Choisir et mettre en œuvre les contrôles
- Rédiger Statement Of Applicability (charte du SMSI)

 Conditions remplies => certification ISO 27001


LES MÉTHODES
o COBIT
 Généralités : Créée en 1996 par l’ISACA / AFAI
 Structure
 Contenu:
- Synthèse
- Cadre de référence
- Guide d’audit
- Guide de management
- Outils de mise en oeuvre

 Intérêts:
- Lien entre les objectifs de l’entreprise et ceux de technologies
d’information
- Intégration des partenaires d’affaires
- Uniformisation des méthodes de travail
- Sécurité et contrôle des services informatiques
- Système de gouvernance de l’entreprise
LES MÉTHODES
o MEHARI
 Généralités : Créée en 1995
 Structure:

 Intérêts:
- Appréciation des risques aux regards des objectifs de sécurité
- Contrôle et gestion de la sécurité
LES MÉTHODES
o EBIOS
 Généralités : Créée en 1995 par la DCSSI
 Structure:

 Intérêts:
- Construction d’une politique de sécurité basée sur une analyse des risques
- L’analyse des risques repose sur l’environnement et les vulnérabilités du SI
LES MÉTHODES
LES CRITÈRES DE CHOIX
 Origine géographique de la méthode
 Langue
 Existence de logiciels adaptés
 Ancienneté = capacité de recul, témoignages
 Qualité de la documentation
 Facilité d’utilisation
 Compatibilité avec les normes
 Le coût (matériel et humain)
 La popularité, la reconnaissance
 Généralement, combinaison de méthodes lors d’un audit
CAS PRATIQUE
CAS PRATIQUE
Rappel: certaines associations ont l’obligation de nommer un CAC (commissaire aux comptes ):
 l’association exerce une activité économique et remplit deux des critères suivants : 50
salariés, 3,1 millions CA, 1,55 million de bilan

 l’association perçoit des financements publics supérieurs à 1 530 000 Dh.

 les associations reconnues d’utilité publique

 les associations émettant des obligations

 les associations collectant la participation des employeurs à l’effort de construction

 les organismes de formation remplissant deux des trois critères suivants: 3 salariés, 1
530 000 Dh de CA, 2 300 000Dh de bilan

 les associations sportives affiliées collectant des recettes d’un montant supérieur à

3 800 000 Dh et employant des sportifs dont la masse salariale excède 3 800 000Dh

 les associations et les fondations bénéficiaires de plus de 1 530 000 Dh de dons


CAS PRATIQUE

Auditeur: Commissaire aux comptes

Audité:

 Nature: Association Affres

 Chiffre d’affaires: 30 millions Dh


PROBLÈMES DÉTECTÉS

 Accessibilité des imprimantes

 Accès aux applications

 Topologie du réseau

 Absence de véritable administrateur

 Procédure de sauvegarde des données

 Organisation de la comptabilité informatique

 Base de données
SOLUTIONS
 Mieux répartir les imprimantes dans les locaux

 Restreindre l’accès aux applications à la fonction de


l’utilisateur

 Créer 2 sous-réseaux indépendants

 Nommer un administrateur qualifié

 L’administrateur sera chargé des sauvegardes, en veillant à


les sécuriser

 Valider l’intégration des écritures tous les jours

 Modifier la structure de la BD informatisée


CONCLUSION

 L’audit informatique s’est imposé et s’inscrit dans l’avenir


des entreprises

 La normalisation est synonyme de développement et de


crédibilité

 Le métier d’auditeur informatique recrute

Vous aimerez peut-être aussi