Vous êtes sur la page 1sur 36

Cours Audit des systèmes d’information S9

Audit des systèmes d’information


Plan du cours :

Partie 1 : Système d’information et organisation

1. Définition et dimensions du SI
2. Gouvernance des SI
2.1.Gouvernance et parties prenantes du SI
2.2.Domaines et missions de gouvernance du SI
3. Place du système d’information dans l’organisation
3.1.Niveau de gestion
3.2.Enjeux humains
3.3.Direction du système d’information DSI

Partie 2 : Les progiciels de gestion intégré (PGI/ERP)

1. De MPR à PGI
2. Définition et caractéristiques des PGI
2.1.Définition du PGI
2.2.Caractéristiques du PGI
2.3.Intégration du PGI
3. Essor des PGI
4. Avantages des PGI
5. Limites des PGI

Partie 3 : Audit des systèmes d’information

1. Objectif de l’audit des systèmes d’information


2. Planification et processus d’élaboration de l’audit des systèmes d’information
2.1.Prise en compte de l’activité
2.2.Définition de l’univers de l’audit des systèmes d’information
2.3.Détermination des risques de l’audit des systèmes d’information
2.4.Formalisation des risques de l’audit des systèmes d’information
3. Démarche de l’audit des systèmes d’information
3.1.Le cadrage de la mission
3.2.La compréhension de l’environnement informatique
3.3.L’identification, évaluation des risques et des contrôles afférents aux systèmes
3.4.Les tests des contrôles informatiques
3.5.La rédaction du rapport d’audit et les recommandations
4. Référentiels
4.1.Le référentiel Cobit
4.2. Le référentiel ITIL

H.BENNANI Page 1
Cours Audit des systèmes d’information S9

Introduction

Les technologies de l’information et de communication continuent de modifier en


profondeur et à un rythme de plus en plus rapide nos façons de vivre et travailler. Depuis
plusieurs décennies, ces outils et ces systèmes ont une influence considérable sur l’évolution
de nos sociétés et nos économies.
L’accès à une information en temps réel, la rapidité et la facilité avec laquelle nous
pourrons analyser cette information ainsi que les possibilités de diffusion et d’échange qui
nous sont offertes sont autant d’éléments qui caractérisent un environnement doté de
système d’information pertinent.
Ces nouvelles capacités de manipuler et de contrôler l’information conduisent également à
une mise en réseau croissante des entreprises et des individus et à une redéfinition des
limites organisationnelles.
Une PME, par exemple, peut compenser une partie de ses faiblesses par rapport à un grand
groupe en utilisant des systèmes d’information performants et alignés avec sa stratégie.
Malgré sa petite taille, elle peut avoir les ambitions d’une grande entreprise en devenant
plus virtuelle et en s’appuyant sur les mêmes informations et les mêmes interlocuteurs que
des structures plus puissantes.

Partie 1 : Système d’information et organisation

Le système d’information est d’une grande utilité au sein de l’entreprise. Il constitue un dispositif
d’aide à la décision, permet d’agir de manière optimale et de faire des prévisions permettant
l’orientation des stratégies élaborées.
Avec la complexité de l’environnement de l’entreprise, les dirigeants comptent sur un système
d’information efficace et fiable pour la création de la valeur et la réalisation d’un avantage
comparatif.
En effet, la mise en place d’un système d’information permet d’assurer la continuité de l’activité,
de se garantir une information fiable et efficace à la gestion, et également se permettre d’effectuer
des ajustements au niveau des orientations stratégiques avec grande souplesse.

1. Définition et dimensions du SI

Selon James A. O’Brien, un système d’information est un ensemble de personnes, de procédures,


et de ressources qui recueillent l’information, la transforment et la distribuent au sein d’une
organisation1. Selon Robert Reix, il s’agit de l’association de ressources humaines, matérielles et
logicielles destinées à recueillir, formaliser, archiver, parcourir, associer et diffuser l’information
dans cette même organisation2. Les SI aident les managers à piloter des processus, à analyser des
performances, à anticiper des évolutions et à prendre des décisions. Les informations qui leur
sont fournies doivent donc être particulièrement actualisées et fiables.

1
O’Brien James A., Les Systèmes d’Information de gestion, De Boeck Université, 1995.
2
Reix Robert, Systèmes d’Information et management des organisations, Vuibert, 5e édition, 2004.

H.BENNANI Page 2
Cours Audit des systèmes d’information S9

Ainsi, le système d’information revêt 4 dimensions :

- Une dimension technologique puisque l’information est une donnée brute (une data)
codée que le récepteur devra décoder ou transformer le plus souvent grâce à des logiciels
ou progiciels, afin de l’exploiter.
Les technologies de l’information et de la communication rassemblent des matériels, des
logiciels et des réseaux qui permettent de collecter, stocker, traiter, structurer, organiser,
archiver, classifier, parcourir, restituer et mettre en scène les informations.
- Une dimension humaine : Les hommes produisent et analysent l’information : ils la
choisissent, la diffusent et l’exploitent. Ces technologies doivent donc être accessibles,
simples d’utilisation et ergonomiques.
- Une dimension organisationnelle puisque l’organisation, dans le cadre du système
d’information se doit de mettre en place, un ensemble de processus, de règles et de
procédures qui ont pour objectif de collecter, mémoriser, traiter et diffuser l’information.
Les SI influencent fortement la stratégie globale des entreprises. La cohérence entre la
structure organisationnelle et la structure des SI est déterminante dans la performance
d’une TPE ou d’une PME, tout autant que dans un grand groupe.
C’est l’alignement stratégique des SI avec les objectifs de l’entreprise qui permettra à une
entreprise d’avoir la meilleure agilité et d’atteindre les performances visées.
- Une dimension informationnelle : La dimension informationnelle permet de produire
des « images », pas seulement au sens graphique du terme mais plutôt au sens large. Une
image permet à un utilisateur de visualiser mentalement un ou plusieurs des paramètres
liés à son métier ou à sa fonction. Par exemple, un comptable enregistre les différentes
opérations financières réalisées pour une entreprise donnée avec le support des pièces
comptables et non par une visualisation directe des différents évènements. Lorsqu’il
prépare la paie, il effectue son travail à partir de relevés des heures prestées sans avoir été
lui-même sur le terrain pour visualiser le travail des ouvriers.

La gouvernance des SI consiste alors à aligner ces dimensions les unes avec les autres. Il
faut donc améliorer la cohérence entre les technologies, les hommes et les organisations.

H.BENNANI Page 3
Cours Audit des systèmes d’information S9

2. Gouvernance du SI

Selon le Club européen pour la gouvernance des systèmes d’information, « les organisations
profitables et non profitables deviennent de plus en plus des Organisations Basées sur
l’information (OBI), cela signifie qu’elles reçoivent, produisent, stockent, consomment et
utilisent de plus en plus d'informations comme un constituant de base, assimilable à une matière
première, des processus de production et de gestion des activités ». Cela implique que
l’information joue un rôle de plus en plus important pour prendre les décisions aux différents
niveaux du management des organisations et dans tous les composants de la chaîne de valeur.

En conséquence tous les problèmes liés aux informations, et toutes les ressources utilisées et
combinées de façon à produire, à stocker et à rendre disponibles les informations doivent être
maîtrisés.

Cela implique de :

La gouvernance des systèmes d’information consiste à fixer des objectifs pour orienter
l’évolution du système d’information de l’entreprise et à contrôler son fonctionnement. Il s’agit
de définir la manière dont le système d’information contribue à la création de valeur en lien avec
la stratégie suivie et de mettre en place des dispositifs de contrôle (Tableaux de bord...etc).

Il convient de distinguer la gouvernance du SI de la gouvernance informatique ou gouvernance


des technologies de l’information. Celle-ci est une composante de la gouvernance des SI qui
concerne la dimension technologique du SI. Elle a pour but de définir les modalités
d’organisation des opérations informatiques (exploitation, maintenance, projets…etc), les
structures à mettre en place et leur mode de fonctionnement. Cela détermine l’organisation et les
processus à mettre en œuvre afin que la fonction informatique fournisse les moyens nécessaires à
la réalisation des objectifs du SI dans le cadre de l’alignement de la stratégie SI et de la stratégie
de l’entreprise.

H.BENNANI Page 4
Cours Audit des systèmes d’information S9

2.1.Gouvernance et parties prenantes du SI

La gouvernance des systèmes d’information permet de définir les fonctions et les tâches des
différents acteurs du management de l’information.
Pour optimiser la gouvernance, il faut :
- Lever les facteurs de blocage au niveau des relations de pouvoir entre acteurs ;
- Définir la stratégie et en maitriser son exécution ;
- Mettre en place une structure avec des fonctions et des processus appropriés.
Le concept de gouvernance des SI concerne les relations entre la DSI et ses parties prenantes.
La direction du système d’information (DSI) est en interaction avec différents acteurs. Ce sont
principalement la direction générale (DG), les directions métiers (DM), les salariés de la DSI, les
prestataires et partenaires externes ainsi que l’ensemble des utilisateurs qu’ils soient dans
l’entreprise ou à l’extérieur.
Les salariés de l’entreprise doivent être considérés comme des clients internes, en distinguant
l’ensemble des salariés des métiers de leurs directions car les attentes ne sont pas les mêmes.
Les utilisateurs externes sont principalement les clients, qu’il s’agisse d’entreprises ou de
particuliers, avec lesquels des données sont échangées ou partagées.

La maturité des relations entre les acteurs est un facteur essentiel dans une organisation.
La gouvernance peut apporter une meilleure prise de décision concernant l’ensemble du SI afin
d’accroitre son efficacité, une clarification des rôles des différents acteurs en vue de créer des
synergies, une meilleure définition des responsabilités et une meilleure connaissance des
processus clés.

2.2.Domaines et missions de gouvernance du SI :

L’ISACA (Information Systems Audit and Control Association) définit 5 domaines


fondamentaux de la gouvernance des systèmes d’information :
- Alignement stratégique : mise en cohérence des objectifs du SI et des objectifs stratégiques.
- Gestion des risques : la gouvernance du SI implique de connaitre les menaces et de prendre les
mesures appropriées.
H.BENNANI Page 5
Cours Audit des systèmes d’information S9

- Gestion des ressources : il s’agit de rationaliser les investissements dans les ressources
informatiques, d’arbitrer entre la mise en place de ressources internes et l’externalisation et de
maitriser l’évolution du SI.
- Mesure de la performance : la mise en place de tableaux de bord et d’indicateurs pertinents
permettant un meilleur suivi.

Le tableau suivant présente les missions identifiées dans le champ de la gouvernance des systèmes
d’information et leur portée. La réalisation de ces missions implique de définir des objectifs précis et de
mettre en place des indicateurs.

H.BENNANI Page 6
Cours Audit des systèmes d’information S9

3. Place du SI dans l’organisation

Au-delà des aspects techniques, la dimension humaine et les aspects organtisationnels sont
essentiels. La fonction SI doit répondre aux besoins de l’organisation à différents niveaux tout en
facilitant les échanges. Son positionnement par rapport à la direction générale et aux autres
fonctions est déterminant.

3.1.Niveaux de gestion

Une organisation comporte différents niveaux de gestion :


 Niveau opérationnel : l’ensemble des personnes en charge de la réalisation des activités
courantes.
 Niveau stratégique : direction générale, en charge des grandes orientations et du suivi des
résultats.
 Niveau intermédiaire : choix tactiques ou de gestion en charge des décisions relatives à la
mise en œuvre de la stratégie et aux ajustements.
Le SI met en œuvre différents types de traitements :
 Systèmes de traitement de transactions (STT) : dans ce système, on prend en compte le SI
des opérations réalisées soit en interne soit avec des tiers, et on intégre le SI sous forme
de données des informations élémentaires. Exemple : enregistrement des mouvements de
fonds, des factures, etc.
 Systèmes d’information de gestion (SIG) : Ces systèmes traitent les données élémentaires
pour produire des états de synthèse, calculent les indicateurs de gestion, effectuent des
contrôles …Ils permettent le suivi des activités et la prévision. Exemple : planifier des
approvisionnements en fonction de l’état des stocks, établir des budgets de trésorerie, etc.
 Systèmes interactifs d’aide à la décision (SIAD) : exploitation des données élémentaires
et agrégées dans une optique décisionnelle, mise en œuvre d’outils d’analyse pour
effectuer des simulations en s’appuyant sur des bases de faits et des bases de règles
permettant d’établir des liens de façon interactive.
 Systèmes d’information pour dirigeants (SID) : systèmes d’aide à la décision stratégique
qui intègrent des données internes et externes, des prévisions à long terme afin d’évaluer
la pertinence des décisions stratégiques en fonction de l’état de l’organisation et des
évolutions de son environnement.
Ces différents systèmes interagissent entre eux :
o Les systèmes de traitement de transactions alimentent les systèmes de gestion ;
o Les systèmes de traitement de transactions et les systèmes de gestion alimentent les
systèmes d’aide à la décision ;
o Les systèmes de gestion et les systèmes d’aide à la décision alimentent les systèmes
d’information pour dirigeants

H.BENNANI Page 7
Cours Audit des systèmes d’information S9

3.2.Enjeux humains du SI

Il est nécessaire d’établir une distinction entre les différents acteurs d’une organisation du point
de vue de leur relation avec le système d’information.

 Tous les salariés

Ils sont utilisateurs dans le sens où le SI leur fournit des données et où eux-mêmes l’alimentent.
Les salariés subissent les évolutions du SI qu’ils peuvent percevoir comme un danger
(suppression des emplois) ou une contrainte (la façon de travailler est modifiée) et une difficulté
(il faut s’adapter aux nouveaux outils).

 Les responsables et décideurs

Ils utilisent des fonctions avancées du SI : outils de recherche, d’aide à la décision… Cette
catégorie d’acteurs a une plus grande autonomie et des objectifs plus larges. Leur capacité à
recueillir et analyser des informations est une composante essentielle de leur travail. Leur
performance dépend donc en partie de la façon dont ils maitrisent le SI. De plus, les évolutions en
termes de partage de l’information peuvent les déstabiliser vis-à-vis de leurs subordonnées
comme de leurs responsables.

 Les informaticiens

Ils ont une relation particulière avec le SI. Celui-ci est l’objet de leur activité et non un moyen. Ils
peuvent avoir tendance à considérer que c’est leur domaine et à faire des choix sans prendre
suffisamment en compte les points de vue des utilisateurs. En cas de difficultés, il peut y avoir
des tensions entre informaticiens défendant « leur » système et les utilisateurs le considérant
comme inadapté.
Il y a donc des enjeux en termes de rapports de pouvoir. L’information est une source de pouvoir
pour qui peut être utilisée à des fins opportunistes dans le cadre de stratégies d’acteurs (rétention,
blocage, distorsion, etc.).

H.BENNANI Page 8
Cours Audit des systèmes d’information S9

3.3.La direction des systèmes d’information

Les organisations d’une certaine taille se dotent généralement d’une entité en charge du système
d’information.
Dans certain cas, il peut s’agir d’une direction informatique en charge des aspects techniques et
rattachée à une direction plus large, direction administrative et financière par exemple. Mais le SI
ne se réduit pas à sa dimension informatique et doit être pensé dans une perspective
organisationnelle. Cela implique la mise en place d’une direction des systèmes d’information
(DSI), dirigée par un directeur du SI.
La DSI est ainsi une direction à part entière qui dépend directement de la direction générale, avec
des responsabilités transversales.
L’organisation d’une DSI distingue plusieurs grandes fonctions telles que :
- Etudes et développement, en charge des évolutions ;
- Systèmes et réseaux, en charge des infrastructures ;
- Exploitation et production, en charge du fonctionnement quotidien ;
- Support et assistance, tournée vers les utilisateurs.

En effet, la plupart des entreprises ont recours à des prestataires externes et non à des ressources
internes pour gérer leur système d’information. Par ailleurs, dans le cas où les entreprises
disposent d’une DSI cela va généralement de pair avec une part d’externalisation du fait qu’ils
auront recours à des prestataires pour bénéficier de leur expertise sur des sujets précis ou pour
améliorer la flexibilité de leur système d’information.

H.BENNANI Page 9
Cours Audit des systèmes d’information S9

Partie 2 : Progiciels de gestion intégré PGI

L’évolution des besoins des organisations pose le problème de l’intégration des applications. Les
technologies se sont développées et ont atteint un niveau de maturité avancé. Cela a permis de
mettre en œuvre une démarche d’intégration qui peut prendre différentes formes. Les progiciels
de gestion intégrés se sont imposés comme principale réponse à ce besoin d’intégration.

1. De MPR à ERP

La démarche progressive d’intégration a démarré autour du cycle d’exploitation. Il s’agit de


coordonner la production avec les prévisions de ventes et de définir, au niveau des achats, les
besoins en matières premières et composants.
Cette exigence de synchronisation a engendré le concept de Material Requirements Planning
(MRP1) ou Planification des Besoins en Composants, puis de Manufacturing Resources Planning
(MRP2) ou Planification des ressources de production. Dans cette logique, le calcul des besoins
est réalisé à partir des prévisions de production, elles-mêmes établies à partir des prévisions de
ventes.
Cela s’avère d’autant plus nécessaire dans un contexte de flux tendus. Mais cela ne suffit pas car
le besoin de coordination et d’unification des systèmes de gestion s’étend à tous les domaines.
En poussant la logique de l’intégration, on passe de MRP à l’Entreprise Resource Planning ; d’où
le sigle ERP traduit en français par Progiciel de Gestion Intégré (PGI).

H.BENNANI Page 10
Cours Audit des systèmes d’information S9

L’ERP/PGI est l’aboutissement d’une double démarche d’intégration :


- Un premier niveau d’intégration est celui des processus dans chaque Système de Gestion.
- Un second niveau est celui de l’intégration des processus à l’échelle de l’entreprise, dans le
cadre de workflows (flux de travaux) qui reproduisent les processus transversaux qui impactent
les différents domaines de gestion.

2. Définition et caractéristiques des PGI

2.1.Définition du PGI

Un progiciel de gestion intégré (PGI) est une application :


- Conçue et commercialisée par un éditeur, regroupant un ensemble de modules fonctionnels pour
optimiser les processus de gestion d’une entité autour d’une base de données unique.
- S’appuyant sur un référentiel commun et des règles de gestion standards.
- Paramétrable et adaptable à l’organisation.
- Comporte un moteur de workflow, permettant de gérer de façon automatisée les processus qui
structurent le fonctionnement de l’organisation.
N.B : Le moteur de workflow (flux de travaux) permet, lorsqu’une donnée est entrée dans le
système d’information de la propager dans tous les modules du système qui en ont besoin,
suivant la façon dont les processus ont été définis.

2.2.Caractéristiques du PGI

Un PGI est :
- un progiciel : ensemble de programmes mis sur le marché par un éditeur sous forme d’un
produit complet (progiciel : produit logiciel), conçu pour répondre aux besoins d’un grand
nombre d’entreprises ; il nécessite une adaptation, plus ou moins poussée, au contexte de son
utilisation pour être opérationnel ;
- modulaire : c’est un ensemble de programmes ou modules autonomes correspondant aux
différents processus de gestion (ventes, production, ressources humaines, comptabilité, etc) ;
- intégré : couvre l’ensemble des processus d’une entreprise, en intégrant de façon transversale
les taches correspondant aux différentes fonctions ; les différents modules peuvent fonctionner
indépendamment les uns des autres, mais ils partagent les mêmes données et les flux de données
(workflow) passent d’un module à l’autre.
- paramétrable : l’adaptation du progiciel aux besoins de l’entreprise se fait par un paramétrage
qui consiste à définir les données et les règles de gestion, choisir les modalités de traitement et de
validation aux différentes étapes des flux de données.
- s’appuyant sur un référentiel commun : les données utilisées par les différents modules sont
définies d’une manière standardisée (identique pour tous les modules), encadrées par des règles
de gestion communes et enregistrées dans une base de données unique.

H.BENNANI Page 11
Cours Audit des systèmes d’information S9

 Les principaux modules d’un ERP

L’ERP collecte dans des bases de données diverses toutes les informations des départements pour
les rassembler dans une base de données unique. En terme de départements, on parle notamment
de la direction financière et comptable, de la gestion des achats, de la logistique et des stocks, de
tous ce qui est lié au ventes et clients, des ressources humaines quelles soient internes ou
externes, de toute la gestion des projets en cours, et bien entendu de la gestion de la production.

 L’impact de l’ERP sur l’entreprise

Un ERP apporte donc une visibilité à l’ensemble des directions de l’entreprise. Cela permet
d’obtenir une vue globale et en temps réel de toutes les données de l’entreprise. Ces données vont
permettre également de gérer les risques et donc d’améliorer la conformité financière et légale et
surtout réduire le risque au niveau industriel vis-à-vis des clients.

L’ERP va permettre également d’automatiser un certain nombre de processus dans l’entreprise


(les opérations commerciales, les commandes, les processus d’achat et d’approvisionnement). Et
enfin, la connaissance de toutes les informations dans l’entreprise va impacter l’image (par
exemple la maitrise de toutes les données va améliorer le service client et la relation avec le
fournisseur avec des sources de données qui seront particulièrement fiables).

H.BENNANI Page 12
Cours Audit des systèmes d’information S9

 Impact inter-modulaire : Exemple de l’intégration d’une solution e-Achat dans un ERP

Prenant l’exemple de la direction des achats et d’un système d’information achat : l’impact
sur l’ensemble des directions va être significatif.
Prenant l’exemple tout d’abord de la finance : qui pourra récupérer à partir de la solution e-
achat tous les projets liés à la réduction des coûts mais également toutes les négociations sur
les délais de règlements fournisseurs.
La production quant à elle, va pouvoir remonter toute la partie qualité-produit pour de
meilleure négociation et suivi avec les fournisseurs, mais également piloter les potentielles
ruptures de production.
Les binômes entre les chefs de projets R&D par exemple et les acheteurs vont permettre
d’améliorer l’innovation produit, notamment avec les fournisseurs.
Coté ressources humaines, les acheteurs vont voir l’impact significatif sur la sous-traitance,
les freelances ainsi que le personnel intérimaire en terme de négociation et de suivi des
contrats.
Concernant la relation entre les chargés d’affaire et les acheteurs, la solution e-achat va
permettre d’obtenir des devis et des chiffrages précis pour optimiser les chances de gagner
des appels d’offre.
Et enfin, la relation de proximité assez naturelle entre les achats et la logistique permettra de
travailler sur le on-time-delivery (la gestion des livraison à temps) ainsi que la localisation
des fournisseurs.

2.3.Intégration du PGI

 Intégration horizontale : progiciels généralistes et paramétrables, s’adressant à toutes sortes


d’entreprises, mais complexes à mettre en œuvre.
 Intégration verticale : progiciels « pré-paramétrés » pour prendre en compte l’essentiel des
besoins propres à un métier et demandant un minimum d’adaptations lors de l’installation.

H.BENNANI Page 13
Cours Audit des systèmes d’information S9

Le terme ERP, par son origine, correspond à la première catégorie de solutions. Cependant, il a
pris un sens générique dans le langage courant.

Sur le marché des grandes entreprises, le principal éditeur à l’échelle mondiale est SAP, suivi par
Oracle et Infor. Ce dernier est aussi très présent sur le marché des entreprises de plus petite taille,
avec Microsoft Dynamics, Sage, etc. (Source : Panorama consulting 2019).

Pour toute les entreprises, il y a des points communs dans la façon d’aborder la gestion des
ressources humaines, la comptabilité, la gestion de production ou encore la gestion des achats.
C’est la logique de l’intégration des ERP/PGI autour de la gestion de production.

Cependant, chaque entreprise a aussi ses spécificités. Celles-ci peuvent être prises en compte à
travers le paramétrage du progiciel.

Les PGI ont d’abord concerné les grandes entreprises. Leur coût et leur complexité les mettaient
hors de portée des PME/PMI.

Pour élargir le marché en dehors de celui, saturé, des grands comptes, il faut des offres qui ne
nécessitent pas le réglage de centaines de paramètres. Avec le développement de solutions
métiers verticalistes, le paramétrage devient plus facile du fait du verrouillage d’un grand
nombre de paramètres et de la suppression de certains processus.

Sur cette base, de nouveaux acteurs sont apparus qui se sont orientés vers les petites entreprises,
car les grandes entreprises commençaient à être largement équipées. L’annuaire du CXP (centre
de conseil et d’analyse en solutions logicielles) recense plus de 1000 éditeurs de PGI, pour
certains spécialisés sur un segment très étroit du marché.
Pour sa part, SAP, leader du marché, a fait évoluer son offre pour proposer des solutions adaptées
à une clientèle plus large que son offre historique.

3. L’essor du PGI

L’utilisation de progiciels de toutes sortes s’est largement répandue car elle présente des
avantages d’efficacité, de rapidité et de moindre coût de mise en œuvre par rapport aux solutions
de développement spécifique. Avoir recours à un progiciel permet de disposer des meilleures
solutions du marché à un coût moindre que celui que représente le développement d’applications
spécifiques (en interne ou par une ESN).

H.BENNANI Page 14
Cours Audit des systèmes d’information S9

Les systèmes intégrés s’inscrivent dans cette logique et ont permis aux entreprises d’adapter plus
facilement leurs systèmes d’information aux évolutions du contexte économique et des
technologies :

4. Avantages du PGI

Le principe du PGI est de regrouper différentes applications de manière modulaire tout en


partageant une base de données unique et commune. Cela élimine les saisies multiples et évite les
problèmes qui en découlent tels que la redondance et l’incohérence des données.

Unicité du système d’information : l’intégration d’un PGI supprime les risques de doublons
et prévient ainsi des risques d’erreurs, grâce à sa base de données unique et commune à chacun
des modules.
D’autant plus, par la synchronisation automatique des modifications de données sur tous les
départements d’une entreprise, les ERP assurent la traçabilité des informations et en fournissent
une idée précise et fiable.
Vecteur de productivité : la mise à jour des données en temps réel et l’automatisation des
tâches fait bénéficier les entreprises de gains de temps considérables. Par exemple : si le service
commercial enregistre un bon de commande, le stock est actualisé en temps réel et l’écriture
comptable s’inscrit automatiquement.
Optimisation des processus de gestion : la communication entre les services est facilitée
grâce au rôle structurant joué par le PGI. La coordination entre les équipes est ainsi améliorée.

H.BENNANI Page 15
Cours Audit des systèmes d’information S9

Meilleure maîtrise des coûts : la mise à jour des données en temps réel permet au service
financier et à la direction générale d’analyser l’état de leurs comptes dans un délai réduit. Le PGI
s’avère ainsi être une aide à la prise de décision rapide.
Utilisation évolutive : le PGI étant constitué d’une combinaison de modules, il est ainsi
possible pour les entreprises utilisatrices d’acquérir de nouveaux modules par la suite.

5. Inconvénients des PGI

Des coûts d’intégration élevés : Par ailleurs, les projets PGI induisent généralement
d’importants coûts liés à leur déploiement mais également à leur maintenance (pour les PGI On-
premise). De plus, le haut niveau de complexité du programme va nécessiter la mise en place et
l’entretien de serveurs puissants.
Un projet d’envergure qui nécessite du temps et des ressources : Le Journal du Ne1t, média
IT en ligne, fait état d’une durée moyenne de 12,3 mois d’implémentation d’un PGI. La mise en
place d’un PGI en fait donc un réel projet d’entreprise, devant être approuvé par chacun des
services.
Une certaine dépendance vis-à-vis de l’éditeur : En pratique, il est rare de changer de PGI une
fois que celui-ci a été déployé, les investissements en temps et en coûts étant très élevés. Cela a
pour conséquence d’engendrer une certaine dépendance envers l’éditeur de la solution logicielle.
Des développements spécifiques qui freinent l’évolution du PGI : Les projets PGI ont souvent
bénéficié de développements spécifiques, ce qui a freiné leur évolution dans le temps (montées de
versions complexes et très coûteuses). Cela n’a eu pour autre conséquence que de ralentir la
croissance de certaines entreprises, dont le système d’informations ne parvenait plus à suivre
l’évolution. Globalement, les PGI classiques sont considérés comme des solutions rigides, tant ils
sont complexes à faire évoluer.

H.BENNANI Page 16
Cours Audit des systèmes d’information S9

Partie 3 : Audit des systèmes d’information

Il est nécessaire d’évaluer périodiquement le système d’information. Pour être pertinente, cette
analyse doit être effectuée par des personnes compétentes et extérieures. Ces missions d’audit
présentent les caractéristiques générales de l’audit, mais aussi des spécificités liées à la nature des
systèmes d’information.

1. Objectif de l’audit des systèmes d’information

L’audit, conduit par un auditeur, est un processus systématique, indépendant et documenté


permettant de recueillir des données exhaustives et objectives pour évaluer comment l’entité
auditée satisfait aux exigences des référentiels du domaine concerné. Il a pour objectif de détecter
les anomalies et les risques dans les organisations et secteurs d’activité examinés.

La notion d’audit est reliée à celle de système d’information de deux façons :

 Audit par le SI : utiliser les éléments du système d’information pour un audit de


l’entreprise.
 Audit du SI : le système d’information fait l’objet de l’audit.

La prise en compte de l’informatique par le commissaire aux comptes dans le cadre de sa


démarche d’audit légal ne doit pas être confondue avec l’audit du système d’information qui est à
l’initiative de l’entreprise.

L’audit des systèmes d’information comprend l’examen et l’évaluation des processus, des
systèmes de traitement automatisé de l’information et des interfaces qui les relient, ainsi que des
procédures connexes non automatisées. Il prend en compte l’ensemble des règles en vigueur
(fiscales, juridiques, techniques, etc.). Il vise à mettre en évidence les risques relatifs aux
processus supportés par le système d’information et ceux liés à l’infrastructure technique
(adéquation de l’infrastructure avec les besoins de l’entité, sécurité des éléments matériels, des
données...etc.).

2. Planification et processus d’élaboration de l’audit des systèmes d’information

L’une des principales attributions du responsable de l’audit des systèmes d’information, qui est
aussi l’une de ses missions les plus délicates, consiste à élaborer un plan d’audit pour
l’organisation. Comme l’explique la Norme 2010 de l’IIA (The Institute of Internal Auditors), «
le responsable de l’audit doit établir une planification fondée sur les risques » afin de déterminer
les priorités d'intervention, qui doivent elles-mêmes se conformer aux stratégies et objectifs de
l’organisation. En outre, le responsable de l’audit doit envisager des missions de conseil en
fonction de la valeur ajoutée qu’elles pourraient apporter et des progrès qu’elles pourraient
induire dans les opérations et les activités de management des risques de l’organisation.

H.BENNANI Page 17
Cours Audit des systèmes d’information S9

Pour élaborer un plan d’audit fondé sur le risque, le responsable de l’audit des systèmes
d’information devra d’abord procéder à une détermination des risques portant sur l'ensemble de
l’organisation.
« Pour de nombreuses organisations, l’information et la technologie sur laquelle elle repose
représentent leur actif le plus précieux. En outre, étant donné que les entreprises évoluent dans un
environnement concurrentiel et en constante mutation, la direction exprime, vis-à-vis des
fonctions gérant et mettant en œuvre le SI, un niveau d'exigence croissant à travers : une qualité
de service en constante amélioration, des fonctionnalités et une facilité d’utilisation accrues, un
raccourcissement des délais, le tout alors que les coûts doivent être comprimés ».
Quelles que soient la méthodologie retenue et la fréquence des activités de planification de
l’audit, le responsable de l’audit et l’équipe d’audit des systèmes d’information devront prendre
en compte l’environnement du SI avant de procéder à l’audit.
La plupart des activités d’une organisation font appel à la technologie. Qu’il s’agisse de la
collecte, du traitement et de la communication d’informations comptables, ou bien de la
fabrication, de la vente ou de la diffusion de produits, quasiment toutes les activités d’une
organisation reposent, à plus ou moins grande échelle, sur la mise en œuvre de moyens
technologiques. Ces derniers ont vu leur rôle évoluer : elle n’est plus seulement un support
opérationnel pour les processus de l’organisation, mais fait partie intégrante du contrôle des
processus.
Le contrôle interne des processus et des activités reposent ainsi de plus en plus sur la
technologie, dont les déficiences ou le manque d’intégrité ont un impact important sur l'atteinte
des objectifs et la réalisation des opérations de l'entreprise. Toutefois, l’élaboration d’un plan
d’audit des SI efficace, fondé sur le risque, est une tâche difficile pour les auditeurs
informatiques, surtout lorsqu’ils n’ont pas une connaissance suffisante des SI.
La définition du plan d’audit des systèmes d’information doit respecter un processus
systématique si l’on veut être sûr que tous les aspects fondamentaux de l’activité sont bien
compris et pris en compte. En conséquence, il est essentiel que le plan s’appuie sur les objectifs,
les stratégies et le modèle d’activité de l’organisation. Les étapes suivantes décrivent la
progression logique des flux de travail permettant de définir le plan d’audit des SI qui sera utilisé
comme guide dans le processus des systèmes d’information.

2.1.Prise en compte de l’activité

Il est capital de commencer avec la bonne perspective pour pouvoir définir un plan d’audit
efficace. C’est pourquoi, il faut garder à l’esprit que le seul but de la technologie est de constituer
un levier pour mieux atteindre les objectifs de l’organisation, sachant que toute défaillance du SI
va à l'encontre de ce but et constitue un risque pour l’organisation de ne pas les atteindre. Il est
donc important de commencer par prendre connaissance des objectifs, stratégies et modèles
d’activité de l’organisation, ainsi que la place des moyens technologiques dans son
développement. Pour ce faire, il faut identifier les risques associés aux technologies mises en
œuvre, et déterminer comment chacun d'eux peut entraver la réalisation des objectifs de

H.BENNANI Page 18
Cours Audit des systèmes d’information S9

l’organisation. On aboutira ainsi à une évaluation plus significative et plus utile pour la direction
générale. En outre, l’auditeur doit se familiariser avec le modèle d’activité de l’organisation.
Chaque organisation ayant une mission distincte et des buts et objectifs qui lui sont propres, le
modèle d’activité aide l’auditeur à identifier les produits ou services que propose l’organisation,
ainsi que sa base de clientèle, ses chaînes d’approvisionnement, ses processus de fabrication ou
de production et ses mécanismes de mise à disposition. C’est ainsi que l’auditeur devra prendre
en compte les éléments ci-après :
 Une organisation unique - Chaque organisation est différente. Les organisations d’un
même secteur n’auront pas toutes le même modèle d’activité, des objectifs et des
structures identiques, ni les mêmes environnements et schémas de mise en œuvre du SI.
C’est pourquoi, les plans d’audit doivent être conçus spécifiquement pour chaque
organisation.
 L’environnement opérationnel - Pour se familiariser avec une organisation, les auditeurs
doivent d’abord prendre en compte les objectifs et savoir comment les processus sont
structurés pour atteindre ses objectifs. Les auditeurs peuvent exploiter diverses ressources
internes pour identifier et prendre en compte les buts et objectifs de l’organisation,
notamment : les énoncés de la mission, de la vision et des valeurs ; les plans stratégiques ;
les plans annuels de prévision de l'activité ; le tableau de bord de performance du
management ; les rapports aux actionnaires et annexes ; les documents requis par la
réglementation.
 Facteurs liés à l’environnement des SI - Pour bien prendre en compte l’environnement
opérationnel et les risques qui y sont associés, différents facteurs et techniques d’analyse
seront pris en considération. En effet, la complexité de l’environnement de contrôle d’une
organisation aura une incidence directe sur son profil de risque global et son système de
contrôle interne. Il y a plusieurs facteurs importants à prendre en compte : Le niveau de
centralisation du système et de centralisation géographique (distribution des ressources
SI) ; Les technologies déployées ; Le degré de personnalisation ; Le degré de
formalisation des politiques et référentiels de l’organisation (gouvernance des SI, par
exemple) ; Le degré de réglementation et de conformité ; Le degré et le mode
d’externalisation ; Le degré de standardisation des opérations et Le degré de dépendance
technologique.

2.2.Définition de l’univers de l’audit des systèmes d’information

Définir ce qu’il convient d’auditer est l’une des tâches les plus importantes de l’audit
informatique, étant donné que le programme d’audit des SI aura un impact considérable sur la
performance globale du service d’audit. Par conséquent, le but ultime du plan d’audit des SI
est d’assurer une couverture adéquate des domaines qui représentent la plus grande
exposition au risque et, ceux qui représentent un enjeu majeur pour l’auditeur dans l'apport
qu'il constitue en matière de valeur ajoutée à l’organisation.

H.BENNANI Page 19
Cours Audit des systèmes d’information S9

L’une des premières étapes vers un plan d’audit des SI efficace consiste à définir l’univers
d’audit des SI, c’est-à-dire un ensemble fini et exhaustif des domaines d’audit, schéma
structurel des entités opérationnelles et localisation des activités réalisées par l'organisation,
qui représentent les cibles d'audit permettant de donner une assurance appropriée sur le
niveau de maîtrise des risques auxquels l’organisation est exposée. La définition de l’univers
d’audit des SI nécessite une connaissance approfondie des objectifs de l’organisation, du
modèle d’activité et des prestations assumées par la Direction des SI. La définition de
l’univers des SI consiste à :
 Examiner le modèle d’activité - Pour les organisations, l'atteinte des objectifs repose
sur le fonctionnement des diverses directions opérationnelles et fonctionnelles, à
travers les processus spécifiques qu'elles ont à gérer afin d'atteindre leurs propres
objectifs, en liaison néanmoins avec les autres entités.
 Rôle des technologies d’appui - Il peut être simple d’identifier les infrastructures
technologiques qui soutiennent le SI lorsque l’on détecte des activités qui reposent sur
des applications clés. En revanche, il est bien plus difficile de mettre l’utilisation des
moyens technologiques communs, comme le réseau général, une application de
messagerie électronique ou son logiciel de chiffrement, en relation avec les objectifs
et les risques. Pourtant, ces moyens technologiques existent parce que l’organisation
en a besoin et une défaillance de ces services et équipements peut empêcher
l’organisation d’accomplir sa mission. C’est pourquoi, les moyens technologiques
communs clés doivent être identifiés et représentés dans l’univers des domaines
auditables, même s’ils ne sont pas directement associés à une application ou à un
processus opérationnel.
 Plans d’activité annuels - Un autre point est important : il faut tenir compte du plan
stratégique de l’organisation. Les plans opérationnels peuvent apporter aux auditeurs
des informations sur les changements et projets importants susceptibles de voir le jour
dans l’année à venir, qui pourraient nécessiter l’intervention de l’audit et devenir des
sujets à intégrer dans l’univers d’audit des SI. Les projets peuvent avoir directement
trait aux SI, par exemple la mise en œuvre d’un nouveau système d’ERP, ou porter
sur la gestion d’initiatives majeures d’ingénierie ou de construction.
 Fonctions SI centralisées / décentralisées- Les auditeurs auront à identifier les
fonctions SI administrées au niveau central, qui soutiennent la totalité ou une grande
partie de l’organisation. Les fonctions centralisées sont de bons « candidats » aux
différents audits réalisés au sein de l’univers d’audit des SI. Il s’agit notamment de la
conception et de l’administration de la sécurité du réseau, de l’administration des
serveurs, de la gestion des bases de données, des activités de service ou d’assistance
et des opérations traitées sur des sites centraux (mainframe).
 Conformité à la réglementation - Diverses lois et réglementations à travers la planète,
en particulier la loi Sarbanes-Oxley et Bâle II, imposent d’appliquer des contrôles
internes et des pratiques de gestion du risque, ainsi que de respecter la confidentialité
des données personnelles .Comme indiqué plus haut, certaines de ces réglementations

H.BENNANI Page 20
Cours Audit des systèmes d’information S9

imposent de protéger les informations relatives aux clients en matière de cartes de


crédit (par exemple, la GLBA et la PCI DSS) ainsi que les informations médicales
personnelles (par exemple l’HIPAA). Même si la plupart de ces règles ne concernent
pas directement les contrôles des SI, elles supposent l’existence d’un environnement
de SI soumis à un contrôle adéquat. En conséquence, ces points de la réglementation
sont susceptibles d’être intégrés dans l’univers d’audit : les auditeurs doivent
déterminer si l’organisation a mis en place des processus rigoureux et si elle opère
efficacement afin de garantir la conformité.
 Définir les domaines soumis à l’audit - La division de l’environnement des SI en
plusieurs thèmes d’audit peut être quelque peu influencée par des préférences
personnelles ou des considérations relatives aux effectifs. Toutefois, le but ultime est
de déterminer comment scinder l’environnement de façon à obtenir les audits les plus
efficients et les plus efficaces. Bien que les auditeurs n’aient pas à évaluer les risques
à cette étape du processus de planification de l’audit, l’objectif est de disposer d’un
plan d’audit centré sur les domaines présentant le risque le plus élevé, dans lesquels
les auditeurs peuvent apporter le plus de valeur ajoutée.
 Les applications - Le responsable de l’audit interne doit déterminer quel groupe
d’audit sera chargé de planifier et de réaliser l'audit des applications. Selon le mode de
fonctionnement du service d’audit, les applications peuvent être incluses dans
l’univers d’audit des SI, dans celui de l’organisation ou dans les deux. Les services
d’audit interne s’accordent, de plus en plus, à dire que les applications doivent être
auditées en même temps que les processus qu’elles supportent. On obtient ainsi une
assurance sur toute la suite des contrôles, automatisés ou manuels, portant sur les
processus examinés, en minimisant les risques de lacunes ou de chevauchements
susceptibles d'être rencontrés au cours des travaux d'audit, et éviter autant que
possible les confusions quant à ce qui fait partie ou non du champ de la mission.

2.3.Détermination des risques de l’audit des systèmes d’information

L’IIA définit le risque comme la « possibilité que se produise un événement qui aura un impact
sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité ».
Il est donc absolument crucial que les organisations fassent périodiquement l'inventaire des
risques auxquels elles sont exposées et qu’elles entreprennent les actions nécessaires pour
maintenir ces risques à un niveau acceptable.

Après avoir pris connaissance de l’organisation, son environnement, son SI et déterminer


précisément les limites du système, l’auditeur procède à l’identification des assets business
constituant la valeur de l’organisation. Ensuite, le lien doit être fait entre ces assets business et les
assets système, afin de mieux identifier les risques techniques et organisationnels.
Ex. : Un site de e-commerce dispose d’une base de données clients, présente sur un serveur de
son parc informatique et contenant les informations bancaires de ces derniers.

H.BENNANI Page 21
Cours Audit des systèmes d’information S9

N.B : Les assets sont définis comme étant l’ensemble des biens, actifs, ressources ayant de la
valeur pour l’organisme et nécessaires à son bon fonctionnement. On distingue ici les assets du
niveau business des assets liés au SI. Du côté des assets business, on retrouve principalement des
informations (par exemple des numéros de carte bancaire) et des processus (comme la gestion des
transactions ou l’administration des comptes). Les assets business de l’organisme sont bien
souvent entièrement (ou presque) gérés au travers du SI, ce qui entraîne une dépendance de ces
assets vis-à-vis de ce dernier. C’est ce que l’on appelle les « assets système ». On retrouve dans
les assets système les éléments techniques, tels les matériels, les logiciels et les réseaux, mais
aussi l’environnement du système informatique, comme les utilisateurs ou les bâtiments. C’est
cet ensemble qui forme le SI. Le but de la gestion des risques est donc d’assurer la sécurité des
assets, sécurité exprimée la plupart du temps en termes de confidentialité, intégrité et
disponibilité, constituant les objectifs de sécurité.

Les risques liés à la fonction informatique sont relatifs à l’organisation de la fonction


informatique, au développement et mise en service des applications, à la gestion de l’exploitation
et à la gestion de la sécurité.
L’auditeur peut matérialiser l’ensemble des risques collectés dans une cartographie des risques tout en
indiquant le risque inhérent à chaque objet auditable du processus.

Cartographie des risques

2.4.Formalisation du plan de l’audit des systèmes d’information

La définition de l’univers d’audit des SI et la détermination des risques sont les étapes préalables
qui permettent de définir ce qu’il faut inclure dans le plan d’audit des SI. Le responsable de
l’audit des systèmes d’information doit ainsi créer un programme d’audit tenant compte des
contraintes du budget opérationnel de la fonction d’audit et les ressources disponibles. La
formalisation du plan de l’audit des systèmes d’information comprend les éléments suivants :
 Contexte du plan d’audit - Dans l’évaluation des risques, l’objectif est d'appréhender les
risques dans un contexte relatif. La cible principale (axe central) en est donc le risque,
tandis que les ressources disponibles peuvent constituer un facteur déterminant quant à la
réalité du travail effectué. Lors de la définition du programme d’audit, l’objectif est
d’examiner les domaines à risque élevé pour définir l’affectation des ressources

H.BENNANI Page 22
Cours Audit des systèmes d’information S9

disponibles. Dans ce cas, les ressources constituent la cible, mais les risques représentent
au final le facteur décisif.
 Demandes des parties prenantes - Tout au long de l’élaboration du programme d’audit des
SI, les auditeurs informatiques devront discuter avec les principales parties prenantes afin
de mieux prendre en compte l’activité et les risques de l’organisation. Ces discussions
leur permettront de rassembler des informations sur l’organisation, ainsi que sur les
éventuelles préoccupations exprimées par ces parties prenantes. C’est aussi l’occasion de
prendre connaissance des demandes spécifiques de missions de conseil et d’assurance,
adressées à l’audit et appelées ci-après « demandes des parties prenantes ». Les demandes
des parties prenantes peuvent émaner du Conseil d’administration, du comité d’audit, des
cadres dirigeants ou des responsables d’exploitation. Elles doivent être prises en compte
au cours de la phase de planification de l’audit, en fonction de la capacité de la mission à
améliorer le management global des risques et l’environnement de contrôle de
l’organisation. Il se peut que ces demandes soient suffisamment précises pour que l’on
puisse déterminer l’allocation des ressources nécessaires, ou que l’allocation des
ressources se fonde sur les travaux d’audit précédents. Ces missions peuvent également
comporter des enquêtes sur des soupçons de fraude qui peuvent survenir de manière
inopinée et des demandes d’examen des activités de prestataires de services.
 Fréquence des audits - La fréquence des audits est définie sur la base d’une évaluation de
la probabilité d’occurrence et de l’impact des risques en regard des objectifs de
l’organisation. Les audits étant cycliques, des programmes d’audit pluriannuels sont
élaborés et présentés à la direction générale et au comité d’audit, pour examen et
validation. On élabore un plan pluriannuel, qui s’étend généralement sur trois à cinq ans,
pour spécifier quels audits seront menés et quand, pour veiller à l’étendue adéquate des
travaux effectués sur cette période et pour identifier les audits pouvant nécessiter des
ressources externes spécialisées, voire des ressources internes supplémentaires. De
surcroît, la plupart des organisations établissent un programme sur un an, qui découle du
plan pluriannuel. Elles y énoncent les activités d’audit planifiées pour l’année à venir.
Outre la fréquence des audits, l’élaboration du programme d’audit prendra en compte
d’autres facteurs : les stratégies de sous-traitance de l’audit interne ; Estimation des
ressources disponibles pour l’audit des SI ; L’obligation de se conformer à la
réglementation et aux autres dispositions en vigueur ; Les audits externes à synchroniser
avec le plan d’audit ; Les initiatives et efforts internes destinés à améliorer la fonction
d’audit ; La mise en réserve d’un budget et d’un programme d’audit des SI, permettant de
faire raisonnablement face à des situations non prévues.
 Principes relatifs au plan d’audit - Lorsque les auditeurs des systèmes d’information
définissent les principes relatifs au plan d’audit, ils doivent prendre en compte les risques
et les menaces pour l’élaboration du plan d’audit
 Le contenu du programme d’audit des SI - Le contenu du programme d’audit des SI
reflétera directement l’évaluation des risques décrite dans les sections précédentes. Le
plan présentera également différents types d’audit des SI, par exemple : Audits intégrés

H.BENNANI Page 23
Cours Audit des systèmes d’information S9

des processus de l’organisation ; Audits des processus SI (audits de la stratégie et de la


gouvernance des SI, pour la gestion des projets, activités, politiques et procédures de
développement des logiciels, et sécurité de l’information, gestion des incidents, et gestion
des changements) ; Audits des projets de l’organisation et des initiatives portant sur les SI
(notamment les revues du cycle de développement des logiciels) ; Audits de
l’infrastructure technique (revues de la gestion de la demande, évaluations de la
performance, évaluations des bases de données, audits des systèmes d’exploitation,
analyses des opérations, etc.) ; Audit du réseau (examen de l’architecture du réseau, tests
d'intrusion, évaluation des vulnérabilités et de la performance).
 Intégration du programme d’audit des SI - L’un des volets essentiels du processus de
planification est la définition du degré d’intégration du plan d’audit des SI aux autres
activités du service d’audit. Ici, les auditeurs déterminent quelle entité d’audit sera
chargée de planifier et de surveiller les audits des applications métier. Cette analyse
pourrait être élargie à toutes les composantes des SI.
 Validation du programme d’audit - Il n’existe malheureusement pas de test direct
permettant de vérifier que le plan d’audit est adéquat et son efficacité potentielle
maximale. Les auditeurs devront donc disposer de critères pour évaluer l'efficience de ce
plan en regard de ses objectifs. Comme nous l’avons vu précédemment, le plan d’audit
inclura les audits fondés sur le risque, les domaines d’audit obligatoires et les demandes
de la direction générale relatives à des activités d’assurance et de conseil. L’un des
objectifs de la phase de planification étant d’allouer des ressources aux domaines dans
lesquels l’audit des systèmes d’information peut créer le plus de valeur ajoutée, comme
aux domaines de la sécurité informatique induisant le plus de risques, les auditeurs
détermineront la manière dont le programme pourra refléter cet objectif.
 La nature dynamique du programme d’audit des SI - La technologie ne cessant d’évoluer,
l’organisation se retrouve confrontée à de nouveaux risques, vulnérabilités et menaces. De
surcroît, les changements technologiques peuvent amener à définir un nouvel ensemble
d’objectifs pour les SI, ce qui débouche sur de nouvelles initiatives, acquisitions ou
transformations dans le domaine des SI, ou des changements visant à répondre aux
besoins de l’organisation. Lors de l’élaboration du plan d’audit, il importe donc de
prendre en considération le caractère dynamique et évolutif de l'organisation. Plus
précisément, les auditeurs devront alors tenir compte du rythme de changement des SI,
plus rapide que celui des autres activités, de l’adéquation du calendrier de développement
d’un système avec le résultat des audits de ce cycle de développement.
 Communiquer, obtenir le soutien de la direction et faire approuver le programme d’audit -
Le service d’audit interne présente le programme d’audit à la direction générale et au
comité d’audit. D’après la Norme 20209, il doit, en particulier, informer ces instances du
niveau de ressources requis, de tous les remplacements significatifs susceptibles
d’intervenir en cours d’exercice et de l’impact potentiel d’une limitation de ses
ressources. Il importe également que le volet SI du programme d’audit ou que le
programme d’audit du SI fasse l’objet d’une discussion avec la direction générale et

H.BENNANI Page 24
Cours Audit des systèmes d’information S9

l'organe délibérant, ainsi qu’avec les principaux acteurs impliqués à travers le SI, telles
que le DSI, les directeurs de la production et des développements, les cadres de la DSI, les
propriétaires d'application et d’autres membres du personnel exerçant des fonctions
analogues. La contribution de ces parties prenantes est cruciale pour le succès de la
planification de l’audit comme devant permettre aux responsables de l’audit et aux
auditeurs de mieux cerner l’environnement de l’organisation, d’identifier les risques et les
préoccupations et de sélectionner les domaines d’audit. De plus, le dialogue sur le
programme d’audit définitif aidera à valider la contribution des parties prenantes tout au
long du processus et donnera un premier aperçu des travaux à mener. Les auditeurs
discutent du plan d’audit des SI avec les principaux responsables, les gestionnaires et le
personnel chargé des SI de façon à obtenir leur soutien. La compréhension, la
coordination et le soutien de l’équipe chargée des SI rendront le processus d’audit plus
efficace et plus efficient. De plus, la connaissance anticipée du programme facilite un
dialogue franc et permanent, qui permet de discuter de l’évolution des risques et de
l’environnement opérationnel, à chaque étape de la réalisation du plan d'audit, et de
procéder à des ajustements en continu. L’interaction avec les « clients » lors de
l’évaluation des risques et avant l’approbation du plan d’audit final est fondamentale pour
la qualité globale du plan.

3. La démarche d’audit du SI

La démarche d'audit informatique se définit à partir des préoccupations du demandeur d'audit qui
peut être le directeur général, le directeur informatique, le directeur financier,… Il va pour cela
mandater l'auditeur pour répondre à une liste de questions précises qui font, plus ou moins
implicitement, référence à l'état des bonnes pratiques connues dans ce domaine. Celui-ci va
ensuite s'attacher à relever des faits puis, il va mener des entretiens avec les intéressés concernés.
Il va ensuite s'efforcer d'évaluer ses observations par rapport à des référentiels largement
reconnus. Et c’est sur cette base, qu’il va proposer des recommandations.

Afin de préparer une mission d'audit du système d’information, il convient de déterminer un


domaine d'études pour délimiter le champ d'investigation. En ce sens il est conseillé d'effectuer
un pré-diagnostic afin de préciser les questions qui feront l’objet de l’audit. Cela se traduit par
l'établissement d'une lettre de mission détaillant les principaux points à auditer et donne les
pouvoirs nécessaires à l'auditeur. Pour mener à bien l’audit du système d’information il est
recommandé de suivre les cinq phases suivantes :

H.BENNANI Page 25
Cours Audit des systèmes d’information S9

3.1.Le cadrage de la mission

Les objectifs du cadrage de la mission se présentent comme suit :


 Une délimitation du périmètre d’intervention de l’équipe d’audit du SI. Cela peut être
matérialisé par une lettre de mission3 , une note interne, une réunion préalable organisée
entre les équipes d’audit financier et d’audit informatique ;
 Une structure d’approche d’audit et organisation des travaux entre les deux équipes ;
 Une définition du planning d’intervention ;
 Une définition des modes de fonctionnement et de communication. Lors de cette phase,
l’auditeur informatique prendra connaissance du dossier de l’équipe de l’audit financier
(stratégie d’audit, rapports d’audit interne, points d’audit soulevés au cours des précédents
audits).

3.2.La compréhension de l’environnement informatique

Elle doit permettre de déterminer comment les systèmes clés contribuent à la production de
l’information financière. Elle se fait sur la base des 3 aspects suivants:
1. L’organisation de la fonction informatique : A ce stade, l’auditeur devra saisir les
éléments suivants :
 La stratégie informatique de l’entreprise : il s’agit bien d’un examen du plan
informatique, du comité directeur informatique, des tableaux de bords etc.
 Le mode de gestion et d’organisation de la fonction informatique : il s’agit
notamment de comprendre dans quelle mesure la structure organisationnelle de la
fonction informatique est adaptée aux objectifs de l’entreprise. En outre, il
faudrait apprécier si la fonction informatique est sous contrôle du management. A
cet effet, il faudrait examiner les aspects suivants : L’organigramme de la fonction
informatique (son adéquation par rapport aux objectifs assignés à la fonction, la
pertinence du rattachement hiérarchique de la fonction, le respect des principes du
contrôle interne) ; La qualité des ressources humaines (compétence, expérience,
gestion des ressources, formation) ; Les outils de gestion et de contrôle (tableaux
de bord, reporting, contrôles de pilotage) ; Les procédures mises en place (leur
formalisation, leur respect des principes de contrôle interne, leur communication
au personnel).
2. Les caractéristiques des systèmes d’information : L’auditeur devra se focaliser sur les
systèmes clés de façon à identifier les risques et les contrôles y afférents. Ainsi, il faudrait
documenter l’architecture du matériel et du réseau en précisant:
 Les caractéristiques des systèmes hardware utilisés (leur architecture, leur
procédure de maintenance, les procédures de leur monitoring) ;

3
L’établissement de la lettre de mission. Ce document est rédigé et signé par le demandeur d'audit et permet de
mandater l'auditeur. Il sert à identifier la liste des questions que se pose le demandeur d'audit. Très souvent
l'auditeur participe à sa rédaction.

H.BENNANI Page 26
Cours Audit des systèmes d’information S9

 Les caractéristiques des systèmes software (systèmes d’exploitation, systèmes de


communication, systèmes de gestion des réseaux, de la base des données et de la
sécurité, utilitaires).
3. La cartographie des applications : Il reviendra à l’équipe d’audit informatique
d’inventorier les applications informatiques utilisées dans ces processus ainsi que leurs
caractéristiques (langage de développement, année de développement, bases de données
et serveurs utilisés).

3.3.l’évaluation des risques et des contrôles afférents aux systèmes

Il est capital, quel que soit le modèle ou l’approche d’évaluation des risques retenu, que cette
évaluation cerne les domaines de l’environnement du SI susceptibles d’entraver fortement la
réalisation des objectifs de l’organisation. En d’autres termes, l’évaluation des risques doit
intégrer l’infrastructure, les applications et les opérations informatisées et, de façon générale, tous
les composants du SI, qui pèsent le plus sur la capacité de l’organisation à veiller à la
disponibilité, à la fiabilité, à l’intégrité et à la confidentialité du système et des données.

En outre, les auditeurs doivent tenir compte de l’efficacité et de la pertinence des résultats de
l’évaluation des risques, lesquels dépendent de la méthode employée et de sa bonne mise en
œuvre. En somme, si les données d’entrée utilisées pour évaluer les risques (c’est-à-dire l’univers
d’audit des SI et sa relation avec l’univers d’audit de l’organisation) sont déficientes ou utilisées
incorrectement, il est vraisemblable que les résultats de l’évaluation en seront, à certains égards,
insatisfaisants.

Ainsi, la collecte des faits constitue une partie importante du travail effectué par les auditeurs.
Les entretiens avec les audités permettent de compléter les faits collectés grâce à la prise en
compte des informations détenues par les opérationnels. Cette phase peut être délicate et
compliquée. Souvent, les informations collectées auprès des opérationnels ressemblent plus à des
opinions qu'à un apport sur les faits recherchés.

Pour l’estimation des risques, il est possible en théorie de les quantifier à l’aide de distributions
de probabilités sur les menaces et les vulnérabilités, ainsi qu’en estimant les coûts occasionnés
par les impacts. En pratique, il se révèle difficile de donner des valeurs absolues et on se contente
bien souvent d’une échelle de valeurs relatives, par exemple, allant de 1 à 4. Cette estimation
permet de faire un choix dans le traitement du risque, avant de passer à la détermination des
exigences de sécurité.

H.BENNANI Page 27
Cours Audit des systèmes d’information S9

Figure : Les différentes zones de risque

D’une manière générale, on considère que :

 Les risques ayant une occurrence et un impact faible sont négligeables.

 Les risques ayant une forte occurrence et un impact important ne doivent pas exister,
autrement une remise en cause des activités de l’entreprise est nécessaire (on évite le
risque, avoidance en anglais)

 Les risques ayant une occurrence forte et un impact faible sont acceptés, leur coût est
généralement inclus dans les coûts opérationnels de l’organisation (acceptation du
risque).

 Les risques ayant une occurrence faible et un impact lourd sont à transférer. Ils peuvent
être couverts par une assurance ou un tiers (transfert du risque).

 Enfin, les autres risques, en général majoritaires, sont traités au cas par cas et sont au
centre du processus de gestion des risques ; l’objectif, étant de diminuer les risques en
les rapprochant au maximum de l’origine de l’axe (mitigation du risque à l’aide de
contrôles).

H.BENNANI Page 28
Cours Audit des systèmes d’information S9

Ex. : L’analyse des risques montre un certain nombre de scénarios ayant un niveau de risque
inquiétant pour la base de données clients. Un des risques identifiés est l’accès aux données par
un utilisateur non-autorisé à travers le réseau. Cela aurait pour conséquence de nuire à la
confidentialité des données. Ce risque nécessite d’être traité par des contrôles de sécurité.

Cartographie des risques :

L’auditeur complète ainsi la cartographie des risques (pré remplie) :

- Pour chaque objet auditable de la procédure, les risques inhérents listés sont qualifiés.

- La cotation se fait en évaluant le poids (Impact X Probabilité) de chacun des risques selon
l’évaluation suivante

- Pour les risques élevés l’auditeur indique les contrôles qui doivent être réalisés pour permettre
leur maitrise. L’auditeur indique « ce qui doit être fait », pour ensuite procéder à une
comparaison avec « ce qui est fait ».

- Evaluer le risque du contrôle : Après avoir évalué le niveau des risques inhérents, l’auditeur
recense les contrôles réalisés pour déterminer le niveau des risques de contrôle. Le niveau du
risque de contrôle est élevé si le contrôle mis en œuvre pour maitriser le risque inhérent élevé
apparait comme insuffisant.

H.BENNANI Page 29
Cours Audit des systèmes d’information S9

- S’assurer que les exigences de sécurité sont prises en compte : elles peuvent être des
exigences générales, qui définiront l’intention de contrer les risques identifiés (de niveau
stratégique), pour les raffiner ensuite en des exigences plus précises (vers le niveau opérationnel).
Toutefois les exigences sont censées être génériques et applicables à tout SI. Il faut également
rappeler que ces exigences de mitigation des risques porteront à la fois sur le système
informatique (comme le besoin d’encryption des mots de passe), mais aussi sur son
environnement (par exemple, « l’utilisateur du système ne doit pas dévoiler son mot de passe à un
tiers »).

Ex : Le serveur doit être protégé, dans sa globalité, des intrusions éventuelles. De même, on
décide de mettre en place un contrôle d’accès adéquat sur la base de données. Une
authentification à distance, plus forte que l’authentification actuelle par login/password, est
nécessaire. Toutefois le coût et la simplicité d’utilisation de la solution choisie doivent rester à
un niveau acceptable.

- Evaluer les contrôles (ou contre- mesures) de sécurité : Les contrôles sont l’instanciation des
exigences de bas niveau pour le système cible étudié. Il faut donc évaluer les choix techniques
des solutions de sécurité, influencés par le système déjà en place, les compétences disponibles,
les coûts de mise en œuvre…

Ex : On sélectionne l’ajout d’un IDS au firewall déjà en place. De plus, on décide de mettre en
place une politique de password plus exigeante constituée d’un login/password ainsi que d’un
code de contrôle distribué à l’utilisateur lors de son inscription. Une authentification par carte à
puce est trop contraignante.

3.4.Les tests des contrôles informatiques

Les tests des contrôles informatiques peuvent être effectués en utilisant aussi bien des techniques
spécifiques aux environnements informatisés (contrôles assistés par ordinateurs, revue des codes,
jeux de tests) que des techniques classiques (examen des pièces et documents).

3.5.La rédaction du rapport d’audit et les recommandations

La rédaction du rapport d'audit est un long travail qui permet de mettre en avant des constatations
faites par l'auditeur et les recommandations qu'il propose.
Au terme de la mission, l’auditeur est parfois mené à établir un plan d’action et éventuellement à
mettre en place un suivi des recommandations. Le non-respect de cette démarche peut entrainer
une mauvaise réalisation et mise en place d'outils qui ne sont pas conformes aux réels besoins de
l'entreprise. Cette démarche est essentielle pour l'auditeur car il lui apporte des éléments
fondamentaux pour le déroulement de sa mission mais celle-ci est encore plus bénéfique pour
l'organisation.

H.BENNANI Page 30
Cours Audit des systèmes d’information S9

En effet, les acteurs audités ne sont pas passifs. Ils sont amenés à porter une réflexion sur leurs
méthodes de travail et à s’intéresser au travail des autres acteurs de l'entité. Cela conduit à une
cohésion d'équipe et à un apprentissage organisationnel. Il s'agit d'un facteur positif car en cas de
changement les acteurs seront moins réticents.

4. Référentiels

La notion de contrôle est au cœur de la démarche d'audit du système d’information. L'objectif est
de mettre en place des dispositifs de contrôle efficaces et performants permettant de maîtriser
efficacement l'activité informatique.
Le contrôle interne est un processus mis en œuvre à l'initiative des dirigeants de l'entreprise et
destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :
 la conformité aux lois et aux règlements,
 la fiabilité des informations financières,
 la réalisation et l'optimisation des opérations....
N B : Il est évident que l'audit informatique s'intéresse surtout au troisième objectif. L'auditeur
informatique va se servir de référentiels d'audit informatique lui donnant l'état des bonnes
pratiques dans ce domaine. Il existe différents référentiels comme :
 CobiT : (Control Objectives for Information and related Technology). C'est le principal
référentiel des auditeurs informatiques ;
 Val IT : permet d'évaluer la création de valeur par projet ou par portefeuille de projets ;
 Risk IT : a pour but d'améliorer la maîtrise des risques liés à l'informatique.
NB : Ces trois principaux ci-haut référentiels sont gérés par l’entreprise L'ISACA (Information
Systems Audit & Control Association) qui est l'association internationale des auditeurs
informatiques, créé en 1967et est représenté en France depuis 1982 par l'AFAI (Association
Française de l'Audit et du conseil Informatique), C’est un cadre de contrôle qui fournissent de
nombreux supports et vise à aider le mangement à gérer les risques (la sécurité, la fiabilité et la
conformité) et les investissements.
Mais on peut aussi utiliser d'autres référentiels comme :
ISO 27002 : c’est un code des bonnes pratiques en matière de management de la sécurité des
systèmes d'information ;
CMMi (CapabilityMaturity Model integration) : qui est une démarche d'évaluation de la qualité
de la gestion de projet informatique ;
ITIL : qui est un recueil des bonnes pratiques concernant les niveaux et de support des services
informatiques.

4.1.Le référentiel Cobit

La démarche d’audit du système d’information s’appuie sur le référentiel COBIT (Control


Objectives for Information and related Technology : Objectifs de contrôle de l’information et des
technologies associées).

H.BENNANI Page 31
Cours Audit des systèmes d’information S9

COBIT est un cadre de référence international fondé sur les meilleures pratiques en audit de
système d’information. Il a été créé par l’ISACA (Information Systems Audit ans Control
Association).
Les composants de COBIT sont :
- des concepts et principes clés, fondés sur une approche structurée de la fonction informatique ;
- un cadre de référence : besoins de l’entreprise, ressources informatiques, processus
informatiques ;
- des objectifs de contrôle : efficacité, efficience, confidentialité, intégrité, disponibilité,
conformité, fiabilité ;
- un guide d’audit fondé sur 4 principes : acquisition, évaluation, vérification, justification ; avec
un ensemble de propositions pour des actions correctives ;
- un guide de management : valeur, équilibre risques/bénéfices, indicateurs clés ;
- des outils de mise en œuvre : restitution expérience acquise, diagnostic de sensibilisation du
management, diagnostic de contrôle de l’informatique.
COBIT est une approche multidimensionnelle et multicritère, qui permet à chaque utilisateur
d’obtenir pour chaque processus les informations qui l’intéressent.
Les bonnes pratiques de COBIT sont le fruit d’un consensus d’experts. Elles sont très axées sur le
contrôle et moins sur l’exécution des processus. Elles ont pour but d’aider à optimiser les
investissements informatiques, à assurer la fourniture des services et à fournir des outils de
mesure (métriques) auxquels se référer pour évaluer les dysfonctionnements.

Composants du référentiel Cobit

H.BENNANI Page 32
Cours Audit des systèmes d’information S9

Pour que l’informatique réponde correctement aux attentes de l’entreprise, les dirigeants
doivent mettre en place un système de contrôle ou un cadre de contrôle interne. Pour
répondre à ce besoin, le cadre de référence de contrôle de COBIT :
- établit un lien avec les exigences métiers de l’entreprise ;
- structure les activités informatiques selon un modèle de processus largement reconnu ;
- identifie les principales ressources informatiques à mobiliser ;
- définit les objectifs de contrôle à prendre en compte.

COBIT concourt ainsi à la gouvernance des systèmes d’information en fournissant un cadre de


référence qui permet de s’assurer que :
- les SI sont alignés sur les métiers de l’entreprise ;
- les SI apportent un plus aux métiers et maximisent les résultats ;
- les ressources des SI sont utilisées de façon responsable ;
- les risques liés aux SI sont gérés comme il convient.

Le référentiel CobiT Quickstart s’intéresse à la direction générale en indiquant ce que


l'implantation d'un processus donné va apporter sur les informations (par exemple sur
l'information décisionnelle) et se base sur les procédés dont :
 Efficacité : qualité et pertinence de l'information, distribution cohérente ;
 Efficience : rapidité de délivrance ;
 Confidentialité : protection contre la divulgation ;
 Intégrité : exactitude de l'information ;
 Disponibilité : accessibilité à la demande et protection (sauvegarde) ;
 Conformité : respect des règles et lois ;
 Fiabilité : exactitudes des informations transmises par le management.

H.BENNANI Page 33
Cours Audit des systèmes d’information S9

Les différentes ressources sont:


 Les compétences : le personnel, et collaborateurs (internes et externes) ;
 Les applications : ensemble des procédures de traitement ;
 L’infrastructure : ensemble des installations, Data Center, … ;
 Les données : informations au sens global (format, structure, …) ;
 Les techniques : équipement, logiciels, bases de données, réseaux, …

Le référentiel COBIT fournit aux gestionnaires, auditeurs et utilisateurs de TIC (Technologies de


l'information et de la communication), des indicateurs, des processus et des bonnes pratiques
pour les aider à maximiser les avantages issus des techniques informatiques et à l'élaboration de
la gouvernance et du contrôle d'une entreprise.
Il les aide autant à comprendre leurs systèmes informatiques et à déterminer le niveau de sécurité
et de contrôle qui est nécessaire pour protéger leurs entreprises. Ainsi, le référentiel COBIT
fournit des indicateurs clés d'objectifs, des indicateurs clés de performances et des facteurs clés
de succès pour chacun de ses processus. Le référentiel (modèle) COBIT se focalise sur ce que
l'entreprise a besoin de faire et non sur la façon dont elle doit le faire.
Il constitue une structure de relations et de processus (cadre de référence ou framework) visant à
un pilotage et un contrôle des techniques informatiques par le management de l'entreprise pour
atteindre ses objectifs, en utilisant ces techniques comme moyen pour améliorer l'activité et de
répondre aux besoins métiers, besoins consolidés dans le plan stratégique de l'entreprise. Il est
basé sur 5 clés principales de la gouvernance et gestion IT :
 Répondre aux besoins des parties prenantes ;
 Couvrir l'entreprise de bout en bout ;
 Appliquer un seul cadre de référence ;
 Séparer la gouvernance et la gestion ;
 Favoriser une approche globale.
Il existe plusieurs versions du référentiel CobiT, telles que Le référentiel CobiT version 4 ; Le
référentiel CobiT version 5 et Le référentiel CobiT version Quickstart…
Le recours au référentiel COBIT constitue un appui pour l’auditeur. Cependant son usage
présente des limites.
D’une part, le référentiel doit être adapté aux objectifs de la mission et au contexte de mise en
œuvre. Le référentiel nécessite une démarche critique de l’auditeur et une appréciation des
risques liés au contexte spécifique d’intervention.
D’autre part, si le référentiel COBIT reste exhaustif et pertinent, pour l’appréciation des risques
liés à la fonction informatique, sa portée est limitée pour ce qui concerne l’évaluation des risques
informatiques liés au fonctionnement des autres processus opérationnels ou à un environnement
légal et réglementaire donné.

H.BENNANI Page 34
Cours Audit des systèmes d’information S9

4.2.Référentiel ITIL

Le référentiel ITIL (« Information Technology Infrastructure Library » ou « Bibliothèque pour


l'infrastructure des technologies de l'information ») est un ensemble d'ouvrages recensant les
bonnes pratiques (best practices) du management du système d'information. C'est un référentiel
très large qui aborde les sujets suivants :
Comment organiser un système d'information ?
Comment améliorer l'efficacité du système d'information ?
Comment réduire les risques ?
Comment augmenter la qualité des services informatiques ?
Les recommandations du référentiel ITIL positionnent des blocs organisationnels et des flux
d'informations. De nombreux logiciels d'exploitation informatique sont conformes à ces
recommandations.
L'adoption des bonnes pratiques du référentiel ITIL par une entreprise permet d'assurer à ses
clients (internes comme externes) un service répondant à des normes de qualité préétablies au
niveau international.
Le référentiel ITIL est à la base de la norme BS15000 (première norme de Gestion de Services
Informatiques formelle et internationale) un label de qualité proche des normes ISO par exemple.
Le référentiel ITIL permet, grâce à une approche par processus clairement définie et contrôlée,
d'améliorer la qualité des SI et de l'assistance aux utilisateurs en créant notamment la fonction
(département de l'entreprise) de Centre de services ou « Service Desk » (extension du « help desk
») qui centralise et administre l'ensemble de la gestion des systèmes d'informations. Ainsi, le
référentiel ITIL devient finalement une sorte de « règlement intérieur » du département
informatique des entreprises qui l'adoptent.
Les bénéfices qu’offrent le référentiel ITIL aux entreprises qui l’adoptent, sont une meilleure
traçabilité de l'ensemble des actions du département informatique. Ce suivi amélioré permet
d'optimiser en permanence les processus des services pour atteindre un niveau de qualité
maximum de satisfaction des clients.

H.BENNANI Page 35
Cours Audit des systèmes d’information S9

Le référentiel ITIL décrit comment on s'assure que le « client » a accès aux services
informatiques appropriés, et comprend :
Le centre de services (service desk)
La gestion des incidents (incident management)
La gestion des problèmes (problem management)
La gestion des changements (change management)
La gestion des mises en production (release management)
La gestion des configurations (configuration management).

H.BENNANI Page 36