Vous êtes sur la page 1sur 200

ROYAUME DU MAROC

I.S.C.A.E

INSTITUT SUPERIEUR DE COMMERCE


ET D’ADMINISTRATION DES ENTREPRISES

LE ROLE DE L’EXPERT-COMPTABLE FACE AUX RISQUES


DE SECURITE MICRO-INFORMATIQUE DANS LES PME –
PROPOSITION D’UNE DEMARCHE D’AUDIT

MEMOIRE PRESENTE POUR L’OBTENTION DU


DIPLOME NATIONAL D’EXPERT-COMPTABLE

PAR
M. Omar SEKKAT

MEMBRES DU JURY

Président : M. Mohamed EL KHALIFA- Expert-Comptable DPLE

Directeur de recherche : M. Mohamed El Moueffak- Directeur des Etudes de l’ISCAE

Suffragants : M. Larbi KZAZ – Enseignant à l’ISCAE


M. Ahmed BENABDELKHALEK – Expert-Comptable DPLE
M. Med Khalid BENOTMANE – Expert-Comptable DPLE

Novembre 2002
REMERCIEMENTS

A notre jury du mémoire d’expertise comptable

A notre Président du jury Monsieur Mohamed EL KHALIFA :

Qui nous a fait l’honneur d’accepter la présidence de notre jury du mémoire d’expertise
comptable. Qu’il trouve ici l’expression de nos hommages les plus respectueux.

A Messieurs les membres du jury :

Monsieur Ahmed BENABDELKHALEK, Monsieur Med Khalid BENOTMANE, Monsieur


Larbi Kzaz,

Qui ont bien voulu accepter de juger notre travail. Qu’ils trouvent ici l’expression de notre
haute gratitude et de notre profond respect.

A Monsieur le Directeur de Recherche Monsieur Mohamed EL MOUEFFAK :

Qui nous fait l’honneur de diriger ce travail avec un grand intérêt et de l’enrichir avec ses
précieux conseils. Qu’il trouve ici l’expression de nos hommages les plus respectueux.
REMERCIEMENTS

Remerciements

Je tiens à remercier vivement Messieurs Azeddine BENMOUSSA, Maître de stage et Mohamed EL


MOUEFFAK, Directeur de recherche, pour lesquels je demeure sincère, respectueux et
reconnaissant pour le soutien moral permanent et les conseils prodigués.

Mes remerciements s’adressent également à Monsieur Rachid M’RABET, le corps enseignant et


tout le personnel de l’I.S.C.A.E pour les efforts déployés en vue d’assurer la continuité et la réussite
du cycle d’expertise comptable.

Mes remerciements s’adressent également à la profession d’expert-comptable et les entreprises qui


ont bien voulu répondre favorablement aux différents questionnaires qui leurs ont été soumis, et qui
de par leurs réponses m’ont permis d’enrichir et d’améliorer ce travail.

Enfin je tiens à remercier mes parents et surtout mon épouse pour leur soutien moral, ainsi que
l’ensemble des amis qui ont contribué de près ou de loin à la réalisation de ce travail.
SOMMAIRE

Sommaire

Pages
INTRODUCTION GENERALE 1
PREMIERE PARTIE : 7
Les risques informatiques et techniques de protection

Chapitre 1 : Les risques informatiques : identification et moyens de maîtrise 10


1 Définitions et identification des risques informatiques 10
2 Classification des risques informatiques 17
3 La maîtrise des risques informatiques 20

Chapitre 2 : Les techniques de protection adaptées à la micro-informatique 27


1 Les techniques de sécurité assurant l’efficacité de l’environnement 27
micro-informatique
2 Les techniques de sécurité pour une information disponible 34
3 Sécurité des études et développements d’applications informatiques 39
Chapitre 3 : Impact réel et perception de la sécurité micro-informatique 45
dans les PME
1 Impact réel des risques sur le patrimoine et la pérennité des PME 45
2 Appréciation des risques micro-informatiques par les utilisateurs 47
3 Le rôle des professionnels dans la sensibilisation de l’entreprise 53
DEUXIEME PARTIE : 58
Une approche d’audit de la sécurité micro-informatique dans les PME
Chapitre 1 : Audit de la sécurité informatique : les normes et référentiels 60
1 Les normes et référentiels marocains 60
2 Les normes et référentiels internationaux 63
3 Les recommandations de l’OECCA et de la CNCC : incidence de l’informatique 71
sur les missions d’audit
SOMMAIRE

Pages
Chapitre 2 : Méthodologie d’audit de la sécurité micro-informatique dans les PME 74
1 Déroulement de la mission 74
2 Formulation des recommandations 81
3 Particularités d’une mission d’audit de la sécurité micro-informatique 87
Chapitre 3 : Programme de travail et conduite de la mission par thème 93
1 Organisation micro-informatique et environnement de contrôle 93
2 Efficacité de l’environnement micro-informatique 97
3 Disponibilité de l’information 100
4 Sécurité des études et développements d’applications informatiques 103
CONCLUSION GENERALE 108
BIBLIOGRAPHIE 111
ANNEXES 116
LEXIQUE EN ARABE 186
TABLES DES MATIERES 190
SIGLES ET ABREVIATIONS

Sigles et Abréviations utilisés

AFAI Association Française d’Audit et de Conseil Informatique


AFNOR Association Française de Normalisation
AII Association of Internal Auditors
APSAIRD Assemblée Plénière des Sociétés d’Assurances contre l’Incendie et les Risques
Divers
BSA Business Software Alliance
CAC Commissaire aux comptes
CD-ROM Compact Disk, Read Only Memory
CGNC Code Général de Normalisation Comptable
CLUSIF Club de la Sécurité Informatique Français
CNCC Compagnie Nationale des Commissaires aux Comptes
COBIT Control Objectives Information Technology
IFAC International Federation of Acountants
IFACI Institut Français des Auditeurs et Consultants Internes
IFEC Institut Français des Experts-comptables
IS Impôt sur les Sociétés
ISAs International Standard on Auditing
ISACA Information Systems Audit and Control Association
LAN Local Area Network (réseau local)
MARION Méthode d’Analyse des Risques Informatiques Organisés par Niveaux
OECCA Ordre des Experts-comptables et Comptables Agréés
PME Petite et Moyenne Entreprise
PMI Petit et Moyenne Industrie
RIA Robinet d’Incendie Armée
SAC Report System Auditing Control
SSII Société de Service en Ingénierie Informatique
TVA Taxe sur la Valeur Ajoutée
WAN Wide Area Network (réseau étendu)
1 INTRODUCTION GENERALE

INTRODUCTION GENERALE

L’informatique, contraction des mots information et automatique, est définie comme étant :

"La science du traitement rationnel de l’information considéré comme support des connaissances
et communications dans les domaines technique, économique et social",

"Ensemble des applications de cette science, mettant en œuvre des matériels, des logiciels et
différents éléments qui lui sont rattachés"1,

L’informatique s’était fixée comme mission d’automatiser les tâches lourdes et répétitives dans la
gestion des entreprises jusque-là effectuées par l’homme. Cependant en présence de l’outil
informatique, les entreprises se sont vues dans l’obligation de reconsidérer leur organisation
générale, d’une part en vue d’optimiser l’usage de cet outil, et d’autre part, dans le sens d’une
vision globale de l’entreprise. Sur le plan matériel, le développement de la technologie des
microprocesseurs a donné lieu à des machines miniaturisées, de capacités plus grande, et de
moins en moins coûteuses. Cette miniaturisation des composants électroniques a permis
l’apparition au cours des années 1970 de la micro-informatique. Celle-ci a connu une évolution
ininterrompue de ses performances technologiques, entraînant rapidement son implantation dans
les entreprises. Nous avons reporté en annexe n° 2 une description de l’évolution de la micro-
informatique.

Avec le développement des réseaux locaux, la micro-informatique est devenue, outre un outil de
travail, un outil d’échange et de partage de données. Le micro-ordinateur a quitté son espace
strictement individuel (PC : personnal computer) pour se transformer progressivement en un outil
totalement intégré dans le système d’information de l’entreprise.

1 Dictionnaire Larousse Informatique


2 INTRODUCTION GENERALE

Cette mise en liaison d’unités séparées géographiquement, a permis à travers les réseaux
d’augmenter l’efficacité de communication entre les micro-ordinateurs à des coûts raisonnables.

Cet outil de traitement de l’information a pris une place importante dans l’entreprise, a
bouleversé les habitudes de travail de chacun d’entre nous. Il est considéré par beaucoup comme
possédant un haut niveau de fiabilité minimisant les risques d’erreurs et les tâches fastidieuses de
contrôle, calcul ou traitements pris en charge par cet outil.

Pour l’entreprise, l'informatique contribue :

• A l'amélioration de sa compétitivité et la recherche d'avantages compétitifs durables,

• Au respect des lois, règlements et obligations contractuelles auxquels elle est soumise.

Pour maintenir cet avantage compétitif de manière durable et pour rester en conformité avec les
lois, règlements et obligations contractuelles, l'entreprise doit assurer la disponibilité constante de
l'ensemble de ses outils, et notamment l'outil informatique dont elle est de nos jours de plus en
plus dépendante.

Pour les PME, les enjeux de l'informatique sont :

• La disponibilité constante de l'information à laquelle on associe la pérennité et la continuité


de l'exploitation,

• L’intégrité de l'information qui implique son authenticité, exactitude et exhaustivité,

• La confidentialité de l'information : le système d'information doit être capable de se prémunir


contre les risques d'agression visant l'indiscrétion, le détournement de l'information et la
fraude.

Au-delà des ces enjeux, le concept de sécurité a évolué aux rythmes des innovations
technologiques comme en témoigne l'évolution même de sa définition.
3 INTRODUCTION GENERALE

Définie à l'origine comme "la confiance, tranquillité d'esprit, résultant de la pensée qu'il n’y a pas
de péril à redouter"2, la sécurité est définie aujourd'hui comme "la situation dans laquelle
quelqu'un, quelque chose, n'est exposée à aucun danger, à aucun risque d'agression physique,
d'accident, de vol, de détérioration"3.

La sécurité informatique étant définie comme "la propriété d'un système d'information de
présenter pour son environnement comme pour lui-même des risques directs ou indirects
acceptables, déterminés en fonction des dangers potentiels inhérents à sa réalisation et à sa mise
en œuvre".4

La notion de sécurité repose donc sur l’existence de menaces potentielles. La dépendance des
entreprises à l’égard de leur système d’information et de l’outil informatique fait que l’absence de
mesures de sécurité favorise l’apparition d’une vulnérabilité qui peut engendrer des préjudices
entraînant des pertes potentielles pour l’entreprise. L’entreprise et les utilisateurs de manière
générale ont une méconnaissance des risques informatiques liés à l’utilisation de la micro-
informatique. La sauvegarde des actifs de l’entreprise et la fiabilité des informations produites
par le système d’information n’est pas assurée par un cadre de contrôle interne et une
organisation efficiente de l’entreprise.

La micro-informatique présente des risques non négligeables et qui peuvent affecter la


disponibilité des applications ainsi que l’intégrité et la confidentialité des informations traitées. Il
existe néanmoins des solutions pratiques pour réduire le risque encouru par les entreprises. Ces
solutions couvrent les domaines organisationnels, techniques, financiers, etc. Pour garantir leur
efficacité, elles doivent être mises en place par le biais d’une politique de sécurité informatique
globale.

La mise en place de ces solutions ne doit pas exclure leur contrôle par un organe indépendant tel
que l’expert-comptable ou le commissaire aux comptes qui de par leur position d’interlocuteur et
de conseiller de l’entreprise, peuvent porter un avis en toute impartialité et objectivité.

2 Dictionnaire Larousse élémentaire


3 Dictionnaire Larousse Informatique
4 Les principes de sécurité informatique – guide d’audit IFACI 1991
4 INTRODUCTION GENERALE

Néanmoins, afin de pouvoir porter un avis en toute impartialité, et objectivité, l’expert-comptable


doit disposer d’un savoir faire dans le domaine qu’il est amené à contrôler. Or l’informatique et
plus précisément la micro-informatique en raison de l’évolution constante de ses performances
techniques peuvent paraître aux yeux des professionnels comme un domaine réservé aux seuls
spécialistes. Les professionnels ont donc tendance à faire appel à des spécialistes pour une revue
informatique générale.

De ce fait, le caractère généraliste qu’on pourrait associer à l’expert-comptable en matière de


connaissance informatique serait associé non pas à sa formation et son savoir-faire
pluridisciplinaire, mais plutôt dans sa pratique quotidienne de la profession qui fait qu’il a
tendance à occulter ou plutôt négliger l’informatique dans son plan de mission.

C’est dans ce contexte qu’apparaît la problématique du sujet de mémoire proposé. Nous


essaierons de répondre aux questions suivantes :

• Quels sont les risques liés à l’utilisation de l’outil micro-informatique ?

• Quelles sont les techniques de protection à mettre en œuvre pour améliorer la sécurité
micro-informatique au sein de l’entreprise ?

• Quel pourrait être le rôle de l’expert-comptable face aux risques de sécurité micro-
informatique dans les PME ? et quelle serait sa démarche de travail ?

Les objectifs recherchés par le choix d’un tel sujet sont les suivants :

• Faire ressortir l’importance d’une bonne connaissance et maîtrise des risques réels et leurs
conséquences qui pèsent sur l’entreprise, l’expert-comptable paraissant le mieux placé
pour jouer auprès de la Direction Générale le rôle de sensibilisation,

• Sensibiliser les professionnels sur la nécessité d’adopter une démarche par les risques lors
de leurs travaux de contrôle de la sécurité micro-informatique d’une PME,

• Proposer une méthodologie d’audit de la sécurité micro-informatique au sein des PME


sans pour autant centrer les contrôles sur les aspects techniques,
5 INTRODUCTION GENERALE

La présente méthodologie s’adresse davantage aux experts comptables conseillers qu’aux


commissaires aux comptes. L’expert-comptable peut apporter son expérience et son savoir faire
afin d’aider toute entreprise à détecter et analyser les risques liés à l’utilisation de l’outil micro-
informatique et proposer des recommandations en terme de techniques de protection appropriées.
Bien que son rôle de conseiller soit général, il ne peut se substituer à l’entreprise pour mettre en
place lesdites techniques de protection proposées.

Le commissaire aux comptes est lui mandaté par l’assemblée générale de toute entreprise et a
pour mission de certifier ses comptes. L’objectif principal serait d’obtenir l’assurance raisonnable
que les états financiers audités sont réguliers et sincères et donnent une image fidèle du
patrimoine, des résultats et de la situation financière de la société.

Afin d’obtenir cette assurance raisonnable, le commissaire aux comptes devra mettre en œuvre un
ensemble de diligences lui permettant de conforter son opinion. Par l’examen du contrôle interne
et plus précisément l’examen de l’environnement de contrôle informatique, le commissaire aux
comptes jugera nécessaire ou pas d’approfondir ses travaux de contrôle. Toutefois, l’examen de
l’environnement de contrôle informatique ne se focalise pas sur l’aspect risques informatiques
liés à l’utilisation de l’outil micro-informatique et sécurité micro-informatique.

A cet effet, à défaut de référentiels d’audit sur la sécurité micro-informatique, la méthodologie


proposée dans ce mémoire est plus adaptée aux PME, car dans ce type d'organisation, la micro-
informatique constitue l'outil central du système d'information et en l'absence d'un service
informatique, l’aspect sécurité est souvent occulté ou négligé.

Néanmoins, la présente méthodologie pourrait s’appliquer également aux grandes entreprises.


Les risques informatiques sont les mêmes, mais la probabilité de réalisation du risque et donc de
la concrétisation d’une menace est plus importante dans une PME qu’une grande entreprise
disposant d’un service informatique structuré et disposant de plus de moyens financiers. Le choix
des PME s’explique également par le fait qu’elle constitue près de 90% du tissu économique
marocain.
6 PREMIERE PARTIE

Le présent mémoire sera structuré en deux parties. La première partie traitera des risques
informatiques et techniques de protection. Dans un premier chapitre, nous essaierons d’identifier
les risques informatiques et moyens de maîtrise. Dans un second chapitre, nous analyserons les
techniques de protection adaptées à la micro-informatique. Dans un troisième chapitre nous
aborderons l’impact réel et la perception des risques chez les PME avec comme base de travail
une enquête sur la sécurité informatique.

Au niveau de la seconde partie, nous présenterons une approche d’audit de la sécurité micro-
informatique. Nous ferons ressortir dans un premier chapitre les normes et référentiels en matière
d’audit de la sécurité micro-informatique. Dans un second chapitre, nous présenterons une
méthodologie d’audit de la sécurité micro-informatique depuis la phase de prise de connaissance
à la remise du rapport et lette de recommandations, en insistant sur les points communs et les
particularités de cette méthode par rapport aux missions d’audit classiques. Enfin, dans un
troisième chapitre nous traiterons plus en détail le programme de travail de l’expert-comptable et
la conduite de la mission par thème.

Il est utile de préciser que ce mémoire ne constitue pas un catalogue des outils de sécurité existant
sur le marché. De plus, le domaine d’analyse a été volontairement restreint à la gestion de la
sécurité des micro-ordinateurs autonomes ou interconnectés en réseau local. La présente étude ne
portera par sur la sécurité des réseaux étendus. Nous avons néanmoins consacré un bref passage à
la sécurité Internet, représentant aujourd’hui une menace importante pour les PME mais sans
toutefois développer dans le détail les méthodes et moyens de défenses répertoriés à ce jour.
7 PREMIERE PARTIE

PREMIERE PARTIE :
LES RISQUES INFORMATIQUES ET
TECHNIQUES DE PROTECTION

INTRODUCTION

Le risque représente la probabilité de rencontrer un événement non souhaité, à savoir une erreur,
une omission ou une inexactitude. L’existence de risques ne signifie pas nécessairement leur
concrétisation en anomalies réelles. On distingue néanmoins différents niveaux de risques :

• Le risque potentiel : défini par l’assujettissement de toute entreprise à une menace,

• Le risque possible : défini par l’absence ou l’insuffisance de moyens de protection,

• L’événement réalisé : défini par la survenance de l’anomalie liée à un risque possible non
couvert.

Le professionnel a tendance à orienter ses travaux d’audit en fonction des zones de risques. A
l’intérieur de ces zones de risques, il est d’usage5 de classer le risque de la façon suivante :

• Les risques généraux

Ces risques sont de nature à influencer l’ensemble des opérations de l’entreprise et dépendent de
la spécificité du secteur d’activité de l’entreprise et de son organisation générale. Ils sont
regroupés sous trois rubriques

- Risques dus au secteur d’activité,

- Risques liés à la situation économique et financière,

- Risques liés à l’organisation générale de l’entreprise.

5 D’après ATH Audit Financier - Clet mai 1991


8 PREMIERE PARTIE

• Les risques liés à la nature et au montant des opérations traitées

Ces risques sont en règle générale liés aux objectifs de régularité et de sincérité de l’information
financière produite. Les opérations et transactions peuvent être routinières et répétitives, non
routinières et ponctuelles ou exceptionnelles.

• Les risques liés à l’organisation comptable et au contrôle interne

Toute entreprise doit disposer d’un système comptable et de contrôle interne à même de lui
permettre de prévenir les erreurs et de détecter celles qui se produisent afin de les corriger. Mais
tel n’est pas toujours le cas dans des logiciels de gestion complexes où l’erreur n’est pas détectée
ou lorsque les utilisateurs de ces systèmes ne sont pas suffisamment formés. Ces risques sont
regroupés sous deux rubriques :

- Risques liés à la conception d’un système,

- Risques dus au fonctionnement du système.

• Les risques de non détection

Il s’agit des risques pouvant amener l’auditeur à tirer des conclusions erronées. Tant pour
l’expert-comptable que le chef d’entreprise, le risque de non détection représente le risque que
des erreurs significatives subsistent en fin de compte.

Il convient de noter que les définitions précédentes sont générales, se rattachent à toute entreprise
quel que soit son secteur d’activité. Néanmoins, en matière informatique, les risques ne sont pas
nécessairement les mêmes que ceux évoqués ci-dessus et nécessitent donc une bonne
compréhension des facteurs d’insécurité qui peuvent peser sur l’entreprise.

L’expert-comptable adoptera une démarche générale afin d’identifier les différents types de
risques informatiques tout en mettant l’accent sur l’impact de ces risques sur le patrimoine et la
pérennité des PME et en proposant des techniques de protection appropriées à la PME.

Nous traiterons dans un premier chapitre des risques informatiques et moyens de maîtrise.
Ensuite, nous étudierons les différentes techniques de protection dont dispose toute entreprise
pour réduire le risque.
9 PREMIERE PARTIE

Enfin dans un troisième chapitre, nous aborderons l’impact réel et la perception de la sécurité
micro-informatique dans les PME sur la base d’un questionnaire remis aux entreprises et dont la
finalité est de déterminer l’appréciation des risques micro-informatiques par les différents acteurs
de l’entreprise et la nécessité de mise en place de techniques de protection dans le cadre d’une
politique de sécurité globale.
10 PREMIERE PARTIE

Chapitre 1 : Les risques informatiques : identification et moyens de maîtrise

L’étape fondamentale lors de la conduite d’une mission d’audit de la sécurité informatique ou la


mise en place d’un plan de sécurité informatique consiste en l’identification des risques qui
menacent la sécurité d’une entreprise. Nous nous intéressons dans ce présent chapitre aux risques
induits par l’utilisation de l’outil micro-informatique. En effet, la progression ininterrompue de
l’outil micro-informatique lors de ces trois décennies et son implantation progressive dans
l’entreprise ne s’est pas effectuée sans risques. Ces risques sont généralement d’ordre interne et /
ou externe à l’entreprise.

1 Définition et identification du risque informatique

Les risques pesant sur l’outil micro-informatique sont permanents. Néanmoins, qu’appelle t’on
risques informatiques et quels seraient les risques spécifiques à la micro-informatique ?

1.1 Définition du risque informatique

L’AFNOR6 définit le risque comme "un danger éventuel, un événement futur, incertain et
indépendant de la volonté des intéressés". Le risque est également défini comme "un danger, un
inconvénient plus ou moins probable auquel on est exposé"7.

Ces définitions mettent surtout l’accent sur le côté éventuel, incertain et par extension peu
probable. En complément à cette définition, nous reproduisons ci-après les définitions suivantes.

Un risque est défini comme "tout événement affectant un système informatique et susceptible
d’entraîner des dommages et des pertes à l’entreprise concernée".8

"Un risque est un péril (si possible) mesurable qui vise des biens (actifs, patrimoine) aux
conséquences économiques dommageables (et si possible) quantifiables."9

Ces deux définitions mettent l’accent sur la notion de danger, en indiquant les conséquences et en
insistant sur la difficulté de mesure du risque.

6 AFNOR (Association Française de Normalisation) – Tour d’Europe – 92049 Paris la Défense


7 Dictionnaire Larousse élémentaire
8 Les principes de sécurité informatique – guide d’audit IFACI 1991
9 Définition empruntée d’un document interne du servie sécurité d’une grande entreprise
11 PREMIERE PARTIE

Le risque existe lorsqu’un système est vulnérable à une menace. La menace étant une donnée sur
laquelle nous n’avons aucune maîtrise, alors qu’il est toujours possible de chercher à diminuer la
vulnérabilité d’un système.

La nature et l’importance des menaces ont beaucoup évolué au fil du temps passant des risques
de pannes matérielles et de cas de force majeure, à des risques apparaissant dans un
environnement économique de plus en plus concurrentiel. Ce sont les informations et les données
(éléments immatériels du système d’information) qu’il y a lieu de protéger.

Mais leur protection ne peut être qu’effectuée au niveau de leur environnement constitué des
éléments logiques, physiques et organisationnels. (Cf. chapitre 2 : les techniques de protection
adaptées à la micro-informatique).

La micro-informatique présente des risques qui lui sont propres et qui peuvent affecter la
disponibilité des applications ainsi que l’intégrité et la confidentialité des données traitées. Les
risques spécifiques à la micro-informatique sont répertoriés ci-dessous10.

1.2 Identification des risques spécifiques à la micro-informatique

1.2.1 Risques spécifiques à la micro-informatique

a) Banalisation de l’outil micro-informatique

La baisse des prix des micro-ordinateurs a engendré un attrait pour leur utilisation, car devenus à
la portée de tout le monde. Toutefois, cette vulgarisation, considérée comme facteur de fiabilité
minimisant les risques d’erreur et réduisant les tâches pénibles de contrôle, calcul ou traitement
pouvant être pris en charge par cet outil, est aussi une source de fragilité pour l’entreprise
lorsqu’il est mal utilisé ou détourné de son objet.

Par ailleurs, si l’introduction du "downsizing"11 (miniaturisation), technique qui concerne plus les
grandes structures que les PME qui consiste à faire migrer un système d’information centralisé
vers un réseau local de micro-ordinateurs en mode clients / serveurs, ou à insérer des micro-
ordinateurs dans les architectures déjà existantes (traitements coopératifs) a été mal préparée ou
mal adaptée, cela peut avoir de graves conséquences pour l’entreprise et mettre en péril sa
sécurité (manque d’expérience des utilisateurs, erreurs, malveillances, etc.)

10 D’après ouvrage IFACI : "l’audit de la micro-informatique".


11 Dictionnaire Larousse Informatique
12 PREMIERE PARTIE

b) Absence d’un plan micro-informatique

Les entreprises qui disposent d’une politique informatique centralisée et formalisée sont rares.
Celles qui disposent d’un plan micro-informatique décrivant les évolutions de l’informatique au
sein de l’entreprise le sont encore moins. Néanmoins, un système d’information implique la
cohérence de l’ensemble de ses constituants, à savoir :

• Les informations et données,

• Les moyens de traitement de l’information

• Le réseau de communication de l’information,

• Les personnes impliquées comprenant : informaticiens, utilisateurs et dirigeants de


l’entreprise.

Même si ces documents ne sont pas aisés à réaliser en raison de l’évolution permanente de la
technologie, ils restent néanmoins indispensables à la bonne maîtrise de la micro-informatique au
sein de toute entreprise.

c) Des développements mal maîtrisés

Les développements mal maîtrisés sont dus notamment à :

• L’absence de séparation de fonctions entre le personnel de développement et le personnel


d’exploitation : la micro-informatique ne permet pas une vraie séparation de ces fonctions ce
qui accroît inéluctablement la notion de risque,

• L’absence de démarche et méthode de développement : les méthodes de conception et de


développement d’applications employées dans l’informatique traditionnelle (ordinateurs
centraux, mini-ordinateurs) ne sont pas adaptées totalement à la micro-informatique, même si
celles-ci sont indépendantes des infractructures matérielles. Cela ne justifie en rien l’absence
de méthode de développement, de procédure de réception et de maintenance des applications
(suivi des mises à jour des versions de programmes), qui peuvent entraîner des résultats
incohérents et non fiables et fausser le processus de prise de décision par les dirigeants de
l’entreprise,
13 PREMIERE PARTIE

• L’absence ou la carence de documentation : l’absence de documentation utilisateur, de


documentation d’exploitation, de documentation de maintenance, de procédures de contrôle
et de sauvegarde peut conduire à des risques de tout genre.

d) Les malveillances

Les malveillances comprennent généralement :

• Le manque de confidentialité des données en l’absence de l’utilisation généralisée des mots


de passe, ou lorsque que ceux-ci sont connus de l’ensemble des utilisateurs,

• Le vol de matériel micro-informatique ; en particulier les micro-ordinateurs portables,

• Le piratage des logiciels, c’est-à-dire l’utilisation illégale de logiciels ou de leur copie.


L’entreprise s’expose à des sanctions pénales prévues par la loi sur la propriété intellectuelle
et les droits d’auteur,

• Les actes de sabotage qui entraînent l’altération ou la destruction des programmes ou de


données par l’introduction de virus, ver, etc.

e) risques Internet

Les risques sur Internet qui sont de trois ordres : attaque directe, espionnage et e-mail indésirable.

L’attaque directe de l’ordinateur repose au moins sur une faille de sécurité humaine ou une faille
de sécurité logicielle.

Celle-ci peut avoir lieu par le biais d’un virus, ver ou une intrusion qui consiste à se connecter sur
l’ordinateur depuis n’importe qu’elle endroit.

Les dégâts causés par ce type d’attaques sont nombreux empêchant le redémarrage de
l’ordinateur, bloquant ou perturbant le système d’exploitation ou les applications logicielles,
détruisant les fichiers, etc.

L’espionnage Internet est un autre type de risque Internet consistant à divulguer des informations
concernant l’entreprise, pouvant être d’ordre technique ou personnel.
14 PREMIERE PARTIE

L’espionnage Internet représente une menace pour la sécurité de l’entreprise, la confidentialité


étant la première ligne de défense.

Les e-mail indésirérables sont sources de risques non négligeables. Il s’agit généralement des
spams ou e-mail purement commercial, qui consistent à vous inonder de dizaines de publicité par
jour, les mails-bombing purement agressif qui vous noie sous un raz de marée de plusieurs mails.

Ces risques sont la conséquence de failles de sécurité humaine dus essentiellement à l’attitude
inconsciante des utilisateurs ou des failles de sécurité du système d’exploitation, des logiciels
Internet.

L’identification des risques micro-informatiques faite, il devient nécessaire d’identifier les


facteurs d’insécurité qui pèsent sur cet outil. Ces facteurs menacent l’entreprise et son
environnement micro-informatique pris dans leur ensemble et sont regroupés en divers axes tels
que définis ci-dessous.

1.2.2 Identification des facteurs d’insécurité

L’informatique a entraîné des bouleversements dans les habitudes de travail des entreprises et
plus particulièrement des PME. Aujourd’hui, chaque utilisateur dispose de son propre PC ou
micro-ordinateur portable entraînant inéluctablement de nouveaux risques. L’explosion de
nouvelles applications et logiciels et l’apparition de logiciels de gestion intégrés dont l’interface
avec la comptabilité est automatique laisse présager des menaces et risques importants pour
l’entreprise.

Ainsi, l’entreprise a à sa disposition une multitude d’applications logicielles, telles que la paie, la
comptabilité, la gestion commerciale, la gestion des stocks, etc. et même de nouvelles
applications qui se sont greffées telles que système ERP, etc.

Le développement des réseaux locaux et la concentration de l’outil informatique représente un


danger (risque) en raison de :

• La mise en place d’un outil de production commun et unique,

• Le caractère vital de cet outil : on ne peut plus s’en passer,


15 PREMIERE PARTIE

• La dématérialisation des opérations (disparition des opérations manuelles relayées par des
opérations informatisées) marquée par la diminution du support papier et de la séparation des
fonctions,

• La modification immédiate du patrimoine et des actifs de l’entreprise en raison de


l’intégration des actes de gestion à la comptabilité.

La prise en compte de l’aspect sécurité n’a pas suivi le développement de la micro-informatique.


Par ailleurs, l’informatique est utilisée dans les PME comme outil central du système
d’information.

Cela génère des risques liés au principe de séparation des fonctions. En effet, en l’absence d’un
service informatique structuré ou lorsque le responsable informatique est également responsable
de la sécurité informatique, le principe de séparation des fonctions (règles essentielles d’un bon
contrôle interne) n’est plus respecté. Le responsable informatique se voit chargé :

• D’évaluer le budget d’investissement et de maintenance du parc informatique de l’entreprise,

• Du développement d’applications informatiques spécifiques se greffant aux applications déjà


existantes pour en améliorer la performance et facilité d’utilisation,

• Du plan de sécurité informatique (s’il existe),

• De l’administration et de la maintenance du système informatique,

• Du lancement d’applications et des programmes pour récupération d’états de sortie en


relation avec la paie, la comptabilité, etc.

Cette concentration des fonctions clés entre les mains d’une seule personne est dangereuse et peut
remettre en cause la pérennité de l’entreprise en cas d’absence prolongée ou de départ du
responsable informatique.

Tous ces facteurs d’insécurité qui ont été évoqués ci-dessus interagissent entre eux et peuvent
entraîner une aggravation des risques de sécurité micro-informatique pour les PME. Il résulte de
la convergence de ces divers facteurs :
16 PREMIERE PARTIE

• Une fragilité des systèmes informatiques qui constituent un terrain propice aux risques de
tous genres. Il conviendra alors d’analyser ces différents risques ainsi que les actifs à protéger
afin de pouvoir définir les contre mesures et parades à mettre en œuvre,

• La mise en place d’organisation ou de structure favorisant l’apparition et l’amplification de


ces risques. Il conviendra alors de revoir l’organisation actuelle et la réadapter à une
utilisation efficiente de son outil informatique.

Quelle pourrait-être le rôle de l’expert-comptable en matière d’identification des risques ?

1.3 Rôle de l’expert-comptable dans l’identification des risques

Toute mission d’audit est basée sur une approche par les risques. L’expert-comptable recherchera
les points forts sur lesquels il pourra s’appuyer pour limiter ses contrôles. L’entreprise peut faire
appel à un expert-comptable pour la conseiller, l’aider à identifier les risques qui peuvent peser
sur son système informatique. En effet, l’association d’un expert indépendant est intéressant à
plus d’un titre. Celui-ci dispose d’un certain nombre de techniques et d’outils lui permettant
d’avoir une vision globale de l’entreprise et des risques qui menacent son système informatique.

La phase de prise de connaissance de l’entreprise et de son environnement informatique permet


de mieux comprendre les spécificités de l’entreprise, de son environnement, de son
fonctionnement et de son système informatique. L’expert-comptable identifiera les zones de
risques potentiels. Pour parvenir à cet objectif, il focalisera son travail sur :

• Les entretiens à conduire auprès des dirigeants de l’entreprise et du responsable


informatique,

• La prise de connaissance détaillée de l’environnement informatique de l’entreprise,

• L’évaluation du contrôle interne du département informatique.

Pour documenter son travail, l’expert-comptable pourra utiliser des questionnaires de contrôle
interne, des aides mémoire qui permettent en règle générale :

• De rappeler les objectifs de contrôle,

• D’indiquer les vérifications à effectuer par l’expert-comptable par objectif de contrôle.


17 PREMIERE PARTIE

L’examen des procédures de contrôle interne de l’entreprise et notamment les procédures de


sécurité mises en place peuvent également constituer un facteur déterminant dans l’identification
des risques car l’absence de sécurité est un risque en lui-même.

L’expert-comptable doit faire ressortir le ou les liens existant entre les risques liés à la sécurité
informatique et la fiabilité des informations comptables et financières produites. L’identification
et la maîtrise des risques par le biais de l’audit de la sécurité informatique permet de conforter
l’opinion du commissaire aux comptes et / ou de l’auditeur financier quant à la régularité des
états de synthèse.

Cette phase de prise de connaissance et d’identification des zones de risques est similaire à toute
mission d’audit. L’identification des risques informatiques donne donc lieu à leur classification.

2 Classification des risques informatiques

Il existe différentes typologies des risques informatiques. Toutefois avant de définir les
principales classifications de risques informatiques, il est nécessaire de garder à l’esprit que
l’outil micro-informatique, l’information elle-même ou son traitement peuvent être soit le but de
l’agression (vol de matériel et supports informatiques, escroquerie, fraude informatique, etc.) ou
au contraire le moyen de l’agression (accès non autorisé, vol de temps machine, vol de données,
piratage de logiciels, etc.).

Le terme agression étant défini comme "toute action dommageable qu’elle soit volontaire ou
involontaire"12. L’outil micro-informatique est pris ici dans son sens large regroupant l’unité
centrale, les périphériques d’entrées et sorties, les supports de stockage, les applications et
logiciels, les moyens de communication, etc. Les classifications que l’on retrouve couramment
sont citées ci-dessous :

12 Dictionnaire Larousse Informatique


18 PREMIERE PARTIE

2.1 Classification usuelle13

Les risques informatiques sont regroupés en trois grandes catégories répertoriés ci-dessous :

2.1.1 Risques dont l’origine est naturelle

• La foudre,

• L’inondation,

• Le glissement de terrain,

• L’avalanche.

On notera que la probabilité de survenance d’un de ces événements est faible voire quasiment
nulle.

2.1.2 Risques dont l’origine est un incident technique

• L’incendie (court-circuit dans l’installation électrique, feu dans la corbeille à papier, etc.),

• Le dégât des eaux suite à une inondation (rupture d’une canalisation),

• La panne et bris de machine (matériel obsolète ou mal entretenu),

2.1.3 Risques dont l’origine est humaine

Il est nécessaire de distinguer à ce niveau les événements accidentels et involontaires des


événements volontaires et actes délictueux.

a) Les événements accidentels

• Erreur dans la saisie de données,

• Erreur dans la conception d’un logiciel,

• Erreur dans l’exploitation et le paramétrage d’une application,

• Problèmes humains (grève, démission collective, départ du responsable informatique, conflit


avec la direction, etc.)

13 D’après l’ouvrage de l’IFACI : "les principes de sécurité informatique – guide d’audit"


• 19 PREMIERE PARTIE

b) Les actes délictueux

Il est certes difficile de définir la frontière entre un acte involontaire et un acte délictueux avec
intention de nuire. Néanmoins, les actes délictueux sont classés en cinq catégories :

• Vol ou sabotage de matériel,

• Détournement d’informations,

• Détournement de logiciels,

• Fraude,

• Sabotage immatériel (virus, bombe logique, cheval de troie, etc.)

2.2 Classification de l’APSAIRD

L’APSAIRD14 regroupe les sociétés d’assurance et de dommage en France. Celle-ci est


composée de plusieurs commissions dont une spécialisée dénommée "sous commission globale
informatique", son rôle étant :

• De définir une typologie des risques et leurs conséquences,

• D’établir annuellement des statistiques (en terme de sinistralité),

• D’améliorer les garanties existantes et d’étudier de nouvelles garanties (garanties spécifiques


aux risques informatiques),

• De proposer une démarche technique (méthode MARION15) quant à l’audit des


vulnérabilités, analyse des risques, recommandation en matière de prévention.

Son rôle est également de présenter les polices types en matière de sécurité informatique en
apportant les commentaires et recommandations nécessaires à leur compréhension.

L’APSAIRD a identifié 10 types de risques informatiques classés en 2 catégories. Nous avons


reporté en annexe n° 3 la typologie des risques informatiques ainsi que les liens entre les types de
risques et les conséquences physiques tel que ressortant de l’étude conduite par l’APSAIRD.

14 APSAIRD (Assemblée Plénière des Sociétés d’Assurances contre l’Incendie et les Risques Divers) – 9, rue d’Enghien 75010 Paris
15 Méthode d’analyse des risques informatiques organisée par niveaux diffusés par le Clusif (Club de la Sécurité Informatique Français)
20 PREMIERE PARTIE

2.2.1 Risques accidentels ou non intentionnels :

• Risques entraînant la destruction partielle ou totale des matériels informatiques et supports


contenant l’information et résultant en général des incendies, dégât des eaux, perturbations
électriques, etc.

• Pannes ou dysfonctionnements des matériels et logiciels entraînant des coûts indirects


importants,

• Erreurs de saisie, de transmission ou d’utilisation de l’information,

• Erreurs d’exploitation entraînant la destruction de fichiers, sauvegardes, ou mauvaise


manipulation du matériel ou interprétation erronée d’instructions,

• Erreurs de conception et de réalisation pouvant entraîner des pertes très importantes du fait de
la non-conformité des applications et traitements aux besoins de l’entreprise.

2.2.2 Risques "criminels"

• Vol et sabotage du matériel et supports informatiques,

• Fraude et sabotage "immatériel" comme le piratage, détournement de biens, virus, etc.

• Indiscrétions et détournements d’information comme l’espionnage industriel,

• Détournements de logiciels par copie illicite entraînant des pertes importantes pour les
concepteurs et distributeurs de logiciels,

• Grèves, départs de personnel stratégique, ces derniers représentent également un risque non
négligeable (même si à priori ne s’apparentent pas à la criminalité informatique).

3 Les moyens de maîtrise des risques informatiques

3.1 Les moyens internes à l’entreprise

3.1.1 Démarche d’analyse des risques

L’analyse des risques informatiques liés à l’utilisation de l’outil micro-informatique consiste en


"l’identification des actifs à protéger, les risques et menaces qui pèsent sur l’entreprise et sa
micro-informatique et les contre-mesures pour maîtriser le risque à un niveau jugé acceptable".16

16 Michel Hoffmann – sécurité informatique FAQ


21 PREMIERE PARTIE

• Actifs : identification des actifs informatiques dont l’entreprise ne peut se passer,

• Risques : le risque est constitué par la combinaison des menaces et vulnérabilités,

• Contre-mesures : elles doivent être mises en place dans un souci d’équilibre entre risques et
coût de la protection.

Les méthodes d’analyse des risques constituent un auto-diagnostic qui permet une évaluation
actuelle du niveau de sécurité. Elles permettent :

• La détection des risques par un audit diagnostic interne ou externe à l’entreprise,

• L’analyse des risques informatiques en ce qui concerne leurs causes potentielles et


conséquence de leur survenance,

• L’estimation des coûts de ces risques pour l’entreprise,

• La rédaction d’un rapport préalable à la mise en place de mesures générales de sécurité


(procédures préventives, de détection et de secours),

• Le contrôle périodique de l’application des mesures et procédures retenues par la Direction


Générale.
La démarche d’analyse des risques de sécurité micro-informatique doit être conduite en fonction
des objectifs arrêtés par la direction générale de l’entreprise, objectifs retracés dans la définition
suivante : "protéger les actifs informatiques de l’entreprise contre les risques d’une manière
adaptée à l’entreprise et son environnement et l’état de son outil informatique." Chaque aspect de
cette définition est couvert par une activité spécifique.17

• Protéger : conception, mise en œuvre et maintenance des techniques de protection ; rôle


primordial du responsable de la sécurité informatique,

• Actifs informatiques : identification des actifs dont l’entreprise ne peut se passer et


détermination de la valeur de ces actifs tant pour l’entreprise elle-même que pour d’éventuels
intrus,

17 Michel Hoffman – sécurité informatique FAQ


22 PREMIERE PARTIE

• Contre les risques : identification et classification des risques, ce qui implique l’identification
des actifs vulnérables sur lesquels pèsent des menaces,

• Et ce d’une manière adaptée à l’entreprise : détermination du meilleur équilibre risque / coût


de protection,

• A son environnement : identification des menaces internes et externes qu’elles soient


d’origines accidentelles ou intentionnelles,

• A l’état de son outil informatique : identification de la vulnérabilité des actifs informatiques.

Face aux risques informatiques tels que décrits ci-dessus et notamment ceux spécifiques à
l’utilisation de la micro-informatique, la sécurité du système d’information de l’entreprise ne peut
être sérieusement appréhendée sans l’instauration d’une réelle politique de sécurité.

3.1.2 La politique de sécurité informatique

a) Les objectifs et fondements

La définition et la mise en œuvre d'un plan de sécurité informatique doivent permettre de montrer
la volonté de la Direction Générale de sensibiliser et d'impliquer les différentes personnes à tous
les niveaux. L’objectif est de mettre en œuvre les différentes mesures préventives nécessaires afin
d'éviter tout préjudice grave au système d'information lorsque la menace s'est réalisée,
garantissant à cet effet la pérennité de l'entreprise.

La politique de sécurité informatique doit définir le niveau des ressources nécessaires, mais
également fixer les priorités dans les domaines de la prévention, protection et mesures de
dissuasion.

Elle doit être diffusée le plus largement possible au sein de l’entreprise, car la sécurité micro-
informatique est l’affaire de tous les membres de l’entreprise et non uniquement le responsable
de sécurité informatique.

b) Le contenu

La politique de sécurité informatique soutient la politique générale de l’entreprise et doit décrire


au moins les aspects suivants :
23 PREMIERE PARTIE

• La déclaration et les objectifs de cette politique,

• Les procédures de sécurité physique, sécurité logique, du personnel et de l’information,

• L’autorité, les responsabilités et les rôles du personnel intéressé,

• Le plan de survie ou continuité d’exploitation en cas d’incident grave ou de sinistre.

Elle doit établir les standards et les principes sur lesquels la sécurité de l’environnement
informatique de l’entreprise est basée. Elle doit également inclure la maintenance de la sécurité
en termes de :

• Confidentialité des données : empêcher tout accès illicite,

• Intégrité des données et des traitements : garantir l’absence de modification ou d’altération


des données,

• Disponibilité : avoir les résultats en temps voulu, possibilité d’utiliser le système


informatique dans des conditions d’accès et d’usages normaux,

• Continuité des traitements : assurer la pérennité de l’entreprise et la durabilité de


l’information,

• L’authenticité et la preuve : permettre l’auditabilité de toute application, la reconstitution de


la piste d’audit, l’imputabilité de toute interaction avec le système informatique.

Elle doit enfin informer les différents utilisateurs sur leur responsabilité dans l’utilisation du
système d’information de l’entreprise et son environnement micro-informatique.

Nous avons reporté en annexe n° 4.a un exemple de politique de sécurité informatique tiré d’un
document interne à une grande entreprise que nous avons adapté à la PME.

c) Les acteurs

Tous les salariés de l’entreprise doivent être sensibilisés à la politique de sécurité informatique. A
cet effet, un groupe de travail comprenant les principaux responsables de l’entreprise doit œuvrer
à la définition et la conception du plan de sécurité informatique. Appelé communément comité de
sécurité, ce groupe doit comprendre les responsables des directions ou services suivants :
24 PREMIERE PARTIE

• Le responsable de la sécurité informatique en tant qu’animateur et coordinateur du comité de


sécurité,

• La direction générale,

• Le directeur informatique ou à défaut le responsable informatique,

• Les représentants des divers services utilisateurs : GRH, comptabilité et finances, technique,
commercial, etc.

Afin de pouvoir garantir l’efficacité de la fonction du responsable sécurité informatique, celui-ci


doit être rattaché hiérarchiquement à un niveau élevé dans l’organigramme de l’entreprise. Pour
les PME, un rattachement au directeur financier constitue une bonne solution afin de pouvoir
conserver son indépendance vis-à-vis des autres services. Voir en annexe n° 4.b une définition du
rôle et de la mission du responsable de la sécurité informatique.

En dehors des outils internes, contribuant à la maîtrise des risques, l’entreprise dispose également
d’outils externes à la maîtrise des risques par le biais de l’audit, les assurances ou les S.S.I.I en
tant que conseiller externe en terme de sécurité informatique.

3.2 Les éléments extérieurs d’aide à la maîtrise des risques

3.2.1 L’audit

Face à ces risques liés en général à l’absence d’un contrôle interne efficace au sein de
l’entreprise, nous pensons qu’il devient nécessaire, voire indispensable de sensibiliser la
Direction Générale aux risques informatiques et aux conséquences de la non mise en place de
techniques de protection suffisantes. L’audit de la sécurité informatique doit être systématique à
toute intervention. Néanmoins, la mise en place de l’aproche développée en seconde partie n’est
nécessaire que si l’entreprise est dépendante de l’outil informatique. Dans cette esprit, l’auditeur
doit parfaitement cerner le domaine qu’il analyse en vue de mettre en place les contrôles
généraux appropriés.

Dans un environnement micro-informatique en perpétuel changement, la mise en place ou la mise


en œuvre de contrôles suffisants par la PME pour réduire le risque à un niveau jugé acceptable
peut être considéré comme fastidieux et non rentable. Pour cette raison l’auditeur contractuel voit
leur rôle s’accroître, se positionnant comme révélateurs potentiels des faiblesses du système
informatique.
25 PREMIERE PARTIE

En tant que conseiller externe à l’entreprise et son statut d’interlocuteur privilégié de la Direction
Générale, l’expert-comptable a un rôle et un devoir de sensibilisation et d’explication sur ce
domaine. Il y va de la sauvegarde des actifs et du patrimoine de l’entreprise ainsi que de la
fiabilité de l’information produite. L'expert-comptable ne doit pas se désintéresser de ce domaine
et se contenter d'émettre une opinion sur les états financiers de l'entreprise. Son rôle en tant que
conseiller de l'entreprise doit être général.

L’expert-comptable peut assister l’entreprise dans la mise en place d’une politique de sécurité
informatique ou superviser toutes les opérations préalables à la mise en place d’une politique de
sécurité informatique. Bien que son rôle de conseiller soit général, il n’est pas responsable de la
mise en pratique d’un tel plan, l’aspect technique étant laissé aux spécialistes informatiques.

3.2.2 Les assurances

La dépendance de plus en plus forte des entreprises des systèmes d’information induit des risques
qui peuvent générer de lourdes pertes liées aux dommages matériels et immatériels. Ces pertes
peuvent être directes, mais surtout indirectes (pertes d’exploitation, reconstitution de fichiers,
etc.) Les assurances se distinguent des autres types de protection car elles n’interviennent qu’en
terme d’indemnisation financière des préjudices subis, mais ne constituent en aucun cas un
facteur de protection contre les risques de sécurité micro-informatique. Les garanties couvertes
par les polices d’assurances sont généralement :

• Les dommages matériels dus à des événements accidentels y compris les pannes et erreurs de
manipulation,

• Les frais supplémentaires engagés et frais de reconstitution des médias.

La couverture par une police d’assurance ne doit pas se substituer à la politique de sécurité
informatique. En effet, comme signalé précédemment au niveau de la démarche d’analyse des
risques informatiques, le transfert à l’assurance n’intervient qu’en dernier ressort après :

• Identification et classification des actifs à protéger : matériel, réseaux & télécoms, données,
etc.

• Détermination des domaines concernés : sécurité physique, logique ou organisationnelle,


26 PREMIERE PARTIE

• Evaluation des risques supportables pour l’entreprise et mesure du coût de la sécurité,

• Prise en compte éventuel des aspects légaux et réglementaires.

Néanmoins afin de connaître les différents types d’assurance couvrant les risques informatiques
et les statistiques sur la sinistralité au Maroc, nous avons préparé un questionnaire à destination
des compagnies d’assurances. Un exemplaire dudit questionnaire est fournit en annexe n° 5.a.

Par ailleurs, nous avons reporté en annexe n° 5.b le descriptif des différents types de polices
couvrant les risques d’origine informatique existant au Maroc.

Le présent chapitre nous a permis d’identifier les risques spécifiques à la micro-informatique et


les moyens de maîtrise à la disposition de l’entreprise. Le chapitre suivant nous permettra de
présenter les différentes techniques de protections adaptées à la micro-informatique.

3.2.3 Les S.S.I.I : société de conseil en terme de sécurité

Les S.S.I.I proposent des services allant de la conception d’un cahier des charges à la mise en
place des solutions combinant programmes et matériels et au suivi de la clientèle sont assimilées
au même titre que l’audit que les assurances comme des éléments extérieurs d’aide à la maîtrise
des risques.

Cette aide peut être assurée en prodiguant des conseils en terme de sécurité ou en élaborant une
véritable politique de sécurité comprenant aussi bien la charte que la tactique.

Le rôle des S.S.I.I est de protéger le patrimoine des PME face aux nombreux risques menaçant
l’outil micro-informatique.
27 PREMIERE PARTIE

Chapitre 2 : Les techniques de protection adaptées à la micro-informatique

1 Les techniques de protection assurant l’efficacité de l’environnement micro-


informatique

1.1 Protections physiques

1.1.1 Les fléaux et agressions naturels (risques naturels),

L’objectif est d’éviter la destruction ou l’endommagement de l’outil micro-informatique à la suite


d’un incendie naissant dans la salle informatique ou se propageant à partir des bureaux extérieurs
ou à la suite d’une inondation.

Risques Prévention Protection


Destruction de l’ordinateur et de Portes coupes feu, Système de détection de
ses périphériques, fumée et incendie,
Utilisation de faux plancher,
Destruction des supports Extincteurs manuels et
Implantation stock de papier
magnétiques et supports de à l’extérieur de la salle RIA,
stockage, informatique, Coffre fort ignifugé à
Endommagement des circuits Installation bloc de l’extérieur de la salle
électriques de l’ordinateur, informatique,
climatisation à l’extérieur de
Endommagement de la la salle, Siphons de sol pour
documentation papier. Absence conduite d’eau évacuation écoulement
traversant les salles. d’eaux.

L’entreprise doit élaborer des règles élémentaires de prévention de ces sinistres visant à atténuer
leur probabilité de survenance, règles consignées dans un document mis à jour régulièrement.

Il y a lieu de souligner que ces mesures de protection contre les risques d’incendie et
d’inondation n’ont pas pour vocation d’éradiquer totalement ces risques, et s’appliquent plutôt
aux entreprises disposant d’une salle informatique ou d’ordinateur central et d’un ensemble de
terminaux.

Par ailleurs, en raison de la dispersion de l’outil micro-informatique au sein de l’entreprise entre


les différents utilisateurs, ces mesures ne sont pas totalement appropriées. A notre avis la
limitation du risque passerait plutôt par la prévention (sensibilisation par notes, affichage,
archivage des sauvegardes comprenant données et programmes à l’extérieur de l’entreprise) et la
protection financière par le biais des assurances.
28 PREMIERE PARTIE

1.1.2 Les atteintes humaines (volontaires ou accidentelles),

Les atteintes humaines peuvent être accidentelles ou intentionnelles. L’attitude inconsciente des
utilisateurs est souvent à l’origine de multiples pannes, indisponibilité de l’outil micro-
informatique (mise hors tension de l’ordinateur sans sortir des applications, connexion à des sites
non sécurisés d’Internet, téléchargement de jeux, etc.).

Risques Prévention / Protection


Indisponibilité de l’outil micro-informatique, Affichage notes de service,
Erreurs dans la saisie des données, Formation élémentaire sur exploitation des
Erreurs dans la conception des logiciels, données et logiciels

Vol ou sabotage de matériels et périphériques, Procédure pour déménagement du matériel,

Sabotage. Contrôle accès physique aux locaux pour les


visiteurs et personnel nettoyage,
Ne jamais se séparer de son ordinateur
portable.
1.1.3 Les incidents techniques.

Il s’agit de mettre en place des techniques de protection contre les incidents involontaires, mais
qui ne sont pas dus à un fléau naturel.

Risques Prévention / Protection


Perte des données en raison coupure Onduleurs couvrant les postes sensibles,
intempestive du courant, Onduleurs couvrant l’ensemble du réseau et
Endommagement du matériel micro- périphériques,
informatique ainsi que ses périphériques, Groupe électrogène pour les entreprises
Indisponibilité du matériel, situées dans des zones de délestage,
Retard dans la production des résultats. Climatiseur maintenant une température
ambiante dans la salle informatique,
Maintenance préventive du climatiseur,
Maintenance du matériel et logiciels,
Stock de secours pièces de rechange.
Néanmoins, ces mesures de prévention tels que citées ci-dessus peuvent s’avérer insuffisantes
pour protéger l’entreprise en cas de sinistre rendant inutilisable l’ensemble de son outil
informatique.
29 PREMIERE PARTIE

1.2 Les protections logiques :

La sécurité logique consiste en l’ensemble des contrôles inclus dans les logiciels et permettant :

• D’identifier individuellement les utilisateurs des données et ressources,

• De limiter l’accès à des données et ressources spécifiques,

• De produire des pistes d’audit (en anglais audit-trail).

La protection logique vise à garantir l’accès d’une part au système d’exploitation et aux
applications (logiciels) et aux données d’autre part.

1.2.1 Catégories de piratage et moyens de lutte

L’entreprise ne doit pas permettre la manipulation du code source des applications mises en
service. Les utilisateurs ne doivent disposer que des versions utilisables en lecture seulement,
c’est-à-dire des programmes objet à exécuter par opposition aux programmes sources. Un
programme source étant défini comme "un programme résultant de l’écriture d’un algorithme
dans un langage de programmation".

Par ailleurs, l’entreprise ne doit pas permettre le piratage des logiciels, opération qui consiste à
les copier de façon illicite et / ou les utiliser sans disposer de leur licence d’utilisation. Le
piratage des logiciels constitue un délit aux yeux de la loi sur la propriété intellectuelle et droits
d’auteur. Le piratage des logiciels peut prendre diverses formes :

• A l’intérieur de l’entreprise : utilisation d’un logiciel pour plus de postes que de licences
d’utilisation achetées,

• De l’intérieur vers l’extérieur de l’entreprise : copie de logiciels à des fins d’utilisation


personnelle,

• De l’extérieur vers l’intérieur de l’entreprise : il peut s’agir de jeux, d’utilitaires, d’outils


bureautiques amenés sur les lieux de travail, téléchargement à partir d’Internet de logiciels
sans autorisation de leur auteur, etc.

Les moyens de lutte contre ces agissements sont nombreux. Nous pouvons citer parmi l’ensemble
de ces moyens :
30 PREMIERE PARTIE

• Actions de la BSA : il s’agit d’une association d’éditeurs de logiciels qui mène une campagne
de sensibilisation, de mise en garde sur de tels pratiques. Au Maroc, cette association est
présente et mène des actions de sensibilisation, d’éducation sur la protection des droits de la
propriété intellectuelle.

De nombreux articles de presse18 font état d’un taux de piratage des logiciels informatiques de
près de 90%. Les dirigeants d’entreprises préfèrent payer mois cher au départ et de courir le
risque par la suite. Nous avons reporté en annexe n° 6 l’article de presse parue suite à la
conférence organisée par la BSA le 18 juin 2002 ainsi que les statistiques de piratage au Maroc et
à travers le monde.

• Actions internes à l’entreprise : par le biais d’affichage, de notes de service, courrier


électronique, l’entreprise peut sensibiliser et moraliser ses salariés sur les sanctions
encourues, le cadre légal, les mesures disciplinaires qui seront appliquées, etc.

C’est ainsi que le responsable informatique peut mener des actions de contrôle tels que :

• Contrôle des licences achetées avec les licences installées par poste de travail,

• Tenir hors de portée des utilisateurs les justificatifs des licences,

• Régularisation et mise en conformité de la situation de l’entreprise le cas échéant.

A côté des risques de piratage des logiciels, l’entreprise doit mettre en place des techniques de
protection visant à garantir l’intégrité et la confidentialité des données. Les contrôles d’accès
logiques sont assimilés le plus souvent aux contrôles des mots de passe et constituent l’un des
éléments clés de la sécurité micro-informatique.

1.2.2 Maîtrise des accès logiques

L’intégrité et la confidentialité des données sont garanties par des outils basés sur les principes
d’identification et d’authentification et d’habilitation. L’identification et l’authentification
permettent de garantir la protection de l’accès aux traitements, tandis que l’habilitation permet
une protection de l’accès aux données.

18 Les dossiers de la Vie Economique du 1er février 2002


31 PREMIERE PARTIE

L’identification est l’opération qui consiste à un utilisateur à s’identifier auprès du système


d’exploitation. En général, l’identification s’effectue par la saisie du nom de l’utilisateur.
L’authentification est l’opération qui consiste à s’assurer de l’authenticité de l’utilisateur
préalablement identifié. Cette authentification s’effectue généralement par la saisie d’un mot de
passe, seul connu de l’utilisateur préalablement identifié. L’habilitation est l’opération qui
consiste à s’assurer que l’utilisateur est autorisé à obtenir une communication des données
protégées, d’accéder à une partie des applications liée à sa fonction.

Il n’est pas rare de voir au sein des PME des micro-ordinateurs partagés entre plusieurs
utilisateurs ou l’existence d’un serveur central où sont logés les applications et données. Il est à
ce sujet plus recommandé d’opter pour une configuration pour chaque utilisateur définissant les
limites d’accès en fonction des profils, et d’imposer des normes internes en terme de nomination
de répertoires et fichiers rendant difficile leur reconnaissance par un utilisateur curieux ou un
éventuel intrus.

La multiplicité des mots de passe augmente le risque d’oubli ou d’erreur de la part des
utilisateurs, entraînant soit leur communication aux collègues, soit leur notation sur des bouts de
papier à côté du PC, etc. Néanmoins, pour assurer à cette technique de protection une efficacité, il
y a lieu de respecter certaines règles de base19 :

Risques Prévention / Protection


Pertes d’intégrité et confidentialité des Mots de passe généralisés à l’ensemble du
données, personnel,
Destruction de fichiers, Mots de passe comportant au moins 5
Perte du chemin de révision, caractères de types alphanumérique,

Absence de journalisation de l’activité Mots de passe changés périodiquement,


Interdiction d’échange ou de prêt des mots de
passe,
Mots de passe saisis par l’utilisateur sur des
zones non affichables,
Blocage système après 3 tentatives illicites.

19 H.J Highland : "comment protéger votre micro"


32 PREMIERE PARTIE

Toutefois ces règles de protection se heurtent à une contrainte pour les PME en raison de la
limitation de leur effectif et le problème posé lors des départs en congé (permanence), et la
distinction entre tentative d’accès illicite et simple oubli de la part de l’utilisateur dû notamment à
la multiplicité des mots de passe.

A ces règles de base, on peut rajouter le principe de révocation des mots de passe par le système
après un certain temps, poussant les utilisateurs à changer leurs mots de passe.

L’efficacité de la protection logique repose sur la confidentialité des mots de passe. A ce sujet, le
responsable de la sécurité informatique a un rôle de sensibilisation auprès des différents
utilisateurs, car il n’est que trop courant de voir l’échange de mots de passe entre les différents
utilisateurs. Le responsable de la sécurité détient l’ensemble des identifiants de chaque utilisateur
et doit imposer les règles élémentaires d’élaboration des authentifiants tel que décrit dans le
paragraphe précédent.

1.3 La protection des données :

Les données doivent être protégées contre les risques de destruction partielle ou totale car elles
sont en général les plus exposées à ce type de menace.

Avant d’examiner en détail les moyens de protection des données, nous pensons qu’il est
nécessaire d’éclairer le lecteur sur les différentes catégories de virus.

1.3.1 Les différentes catégories de virus

Une infection informatique ou virus est "un programme parasite dont la plupart se chargent en
mémoire afin de perturber, modifier ou détruire tout ou partie des éléments indispensables au
fonctionnement de l’ordinateur et notamment les données présentes sur disque dur"20. Il existe
différentes catégories d’infection par virus, répertoriées néanmoins en deux classes :

• Les programmes simples tels que le cheval de Troie et la bombe logique,

• Les programmes auto reproducteurs tels que les virus polymorphes, virus système, virus
macro, etc.

20 Dictionnaire Larousse Informatique


33 PREMIERE PARTIE

Les programmes simples sont des infections informatiques insérées dans un corps de programme
sain, ou placés dans un logiciel d’aspect anodin (jeux, utilitaires, etc.). La bombe logique comme
le cheval de Troie agissent en fonction d’un critère de déclenchement préalablement déterminé
avec la différence près que l’origine de l’infection provient de l’intérieur pour la bombe logique
et de l’extérieur pour le cheval de Troie.

Les programmes auto reproducteurs infectent les mémoires vives des micro-ordinateurs, et ont la
capacité de se déplacer d’un micro-ordinateur à l’autre s’ils sont connectés entre eux
(configuration réseaux) ou être transportés par le Web à l’aide de programmes tels que Java, Java
Script, Active X, etc.

Les conséquences de ces infections sont redoutables et variables, pouvant aller jusqu’à la
destruction totale des données et mettre en péril la pérennité de l’entreprise.

1.3.2 Les moyens de protection

En raison de la prolifération et de la multiplication des virus, les PME ne sont jamais à l’abri des
risques de perte des données même si elles disposent des dernières mises à jour des logiciels
d’antivirus. En effet, le comportement insouciant des utilisateurs est à l’origine de nombreuses
attaques. Le responsable de la sécurité informatique doit avoir un rôle de sensibilisation et de
contrôle afin de s’assurer que les consignes de sécurité de l’entreprise sont respectées.

Risques Prévention / Protection


Destruction des données suite à des erreurs de Politique de sensibilisation et formation des
manipulation involontaires, utilisateurs,
Suppression, modification ou altération de Procédure de sauvegarde efficace,
fichiers, Désactivation des lecteurs disquettes,
Malveillance et sabotage immatériel. Se déconnecter du réseau local lors de l’accès
à Internet,
Logiciel antivirus installé sur l’ensemble des
postes.
Néanmoins, certaines des techniques de protection proposées dans le présent tableau sont à
éliminer d’office car sont impossible à respecter dans un monde communicant (Intranet et
Extranet).

Nous avons reporté en annexe n° 7 les différentes méthodes d’éradication des virus.
34 PREMIERE PARTIE

En complément des moyens de protection cités ci-dessus, nous pensons qu’il est utile de mener
des actions d’information et de sensibilisation des utilisateurs. Cette action doit être menée par le
responsable de la sécurité informatique, au même titre que les contrôles inopinés. En effet, nous
pouvons remarquer que les utilisateurs ont tendance à désactiver le logiciel d’antivirus sous
prétexte qu’il ralentit la vitesse de traitement des opérations de leur micro-ordinateur.

2 Les techniques de sécurité pour une information disponible

2.1 La disponibilité du matériel

La gestion du parc micro-informatique de l’entreprise est rendue délicate tant au niveau de


l’investissement que de son entretien (maintenance) vu la grande diversité des produits et des
technologies existantes.

2.1.1 Achat du matériel

La politique d’investissement doit être centralisée par un responsable informatique informé des
évolutions technologiques. Un plan micro-informatique intégrant les périphériques doit être mis
en place, recensant les besoins à satisfaire (capacité et performances, compatibilité du matériel,
etc.) ainsi que son évolutivité.

A cet effet, le responsable informatique doit disposer d’une liste de fournisseurs et fabricants de
matériels à même de satisfaire la demande de l’entreprise. Le choix et la sélection du fournisseur
sont fonction de la politique d’investissement de l’entreprise et de son plan micro-informatique
tels que décrit ci-dessus.

Choisir un seul fournisseur peut poser de sérieux problèmes en cas de défaillance financière, et
disposer d’un parc hétéroclite peut poser des difficultés en terme de maintenance dudit parc.
L’entreprise doit donc opérer un choix entre ces deux solutions, en fonction bien évidemment de
l’importance qu’elle accorde à l’outil micro-informatique dans son système d’information.

2.1.2 Maintenance et gestion du parc

L’entreprise doit disposer des ressources nécessaires pour maintenir son parc et ce dans le but
d’éviter les défaillances, les pannes ou conflits entre matériels et composants. Il devient donc
impératif de signer un contrat de maintenance fixant le coût des interventions, délais d’exécution
afin que les micro-ordinateurs puissent être dépannés le plus vite possible.
35 PREMIERE PARTIE

Les matériels sont généralement sous garantie à l’origine. Nous pensons qu’il est préférable
d’opter systématiquement pour l’extension de garantie en vue de se prémunir de la fragilité des
composants notamment en raison de leur miniaturisation.

L’entreprise ne doit pas chercher à détenir systématiquement les dernières technologies, du fait
de l’accroissement ininterrompu des performances et des capacités du matériel. Il est possible
depuis quelques années d’opter pour une politique continue de renouvellement du parc machine.
En effet, le fournisseur ou représentant du fabricant donne la possibilité d’échanger le matériel
vieillissant et obsolète par un matériel récent. Cette technique évite de se préoccuper de la gestion
de machines vieillissantes et difficilement vendables.

L’outil micro-informatique constitue un actif immobilisé pour l’entreprise. Il devient intéressant


de disposer de l’inventaire de cet actif faisant ressortir :

• L’année d’acquisition,

• La marque et modèle,

• Les références techniques,

• Le prix d’acquisition,

• L’emplacement au sein de l’entreprise.

Enfin, l’entreprise peut posséder des micro-ordinateurs supplémentaires afin de pouvoir pallier
aux risques de pannes ou mises hors service de micro-ordinateurs opérationnels. Néanmoins,
cette méthode, même si elle présente des garanties supplémentaires de disponibilité reste
onéreuse pour l’entreprise où il n’est pas rare de voir un micro-ordinateur partagé par plusieurs
utilisateurs.

2.2 La disponibilité des logiciels

2.2.1 Acquisition des logiciels

Un micro-ordinateur comprend généralement une unité centrale de traitement et divers


périphériques. A celui-ci sont associées diverses applications logicielles. C’est ainsi que
l’entreprise peut opter pour l’acquisition de logiciels de marché ou développer ses applications en
interne ou par recours à une SSII.
36 PREMIERE PARTIE

Les développements extérieurs peuvent être des progiciels standard ou au contraire des
développements spécifiques à l’entreprise. Généralement, l’entreprise préfère opter pour
l’acquisition d’un logiciel de marché. En effet, les produits proposés sont nombreux et largement
diffusés, ce qui évite tout problème d’installation ou de mise à jour de la version.

En revanche, s’il s’agit d’applications développées en interne, l’entreprise peut s’exposer aux
risques de retard de mise en service pouvant entraîner l’indisponibilité de son outil micro-
informatique.

Il est recommandé d’acquérir des logiciels compatibles entre eux et de veiller à ce que les
versions utilisées soient identiques du moins par groupe d’utilisateurs. De plus, pour éviter tout
risque de bogue ou erreur de programmation, l’entreprise ne doit pas acquérir la première version
d’un logiciel mais plutôt attendre les versions stabilisées.

Il est enfin primordial que le support d’origine des logiciels (sur CD-ROM) soit livré avec le
matériel lorsque les logiciels sont préinstallés sur un micro-ordinateur à son achat.

2.2.2 Maintenance et gestion des logiciels

La pérennité d’un logiciel passe inéluctablement par sa maintenance. Celle-ci doit avoir lieu au
vu d’un contrat de maintenance signé avec une SSII. L’entreprise doit disposer en règle générale
d’une copie de secours du logiciel afin de pouvoir rapidement le réinstaller en cas de panne ou de
dysfonctionnement.

Toutefois, s’il s’agit d’applications logicielles conçues sur mesure, il devient primordial de
disposer d’une documentation complète.

Même si a priori cette méthode permet d’assurer une plus grande sécurité de l’entreprise, les
codes sources des programmes restent la propriété du prestataire de service. Les utilisateurs ne
peuvent effectuer de modifications sur les programmes compilés et exécutables. La gestion des
logiciels est rendue plus efficace si les micro-ordinateurs sont connectés en réseau. Cette
configuration ou plutôt architecture facilite au responsable informatique la mise à jour des
logiciels à partir de son poste de travail.
37 PREMIERE PARTIE

Néanmoins, il y a lieu de souligner que les logiciels sont souvent installés sur le disque dur de
chaque poste et non sur un serveur lorsque le réseau existe. C’est le cas notamment du logiciel de
comptabilité installé sur les micro-ordinateurs du département comptable, du logiciel de la paie
installé sur le micro-ordinateur du département administratif ou ressources humaines, etc.

2.3 La disponibilité des données : sauvegarde et archivage

L’utilisation par l’entreprise d’un système informatique fait naître un risque lié à la concentration
d’une multitude d’informations et de données, toutes accessibles par les mêmes personnes. Face
aux risques de pertes des données pendant les traitements, de production de résultats erronés, de
perte de fichiers, etc. l’entreprise doit mettre en place un certain nombre de mesures visant la
sécurisation des méthodes et procédures d’exploitation de l’outil informatique.

La sécurisation des méthodes et procédures d’exploitation de l’outil micro-informatique


impliquent la classification et la protection des données produites par l’entreprise.

2.3.1 Identification et classification des données à protéger

Afin de pouvoir assurer l’intégrité, la confidentialité et la disponibilité des données produites par
l’entreprise, il est impératif d’identifier les données à protéger. Le recensement de ces données
est fondamental dans la mise en place d’un cadre de contrôle interne efficace, ciblé sur les
éléments du patrimoine de l’entreprise, dont la protection doit être assurée avec la plus grande
vigilance. L’identification des données à protéger donne lieu à leur classification en quatre
niveaux, rappelés ci-dessous :

• Secret : il s’agit de données et fichiers considérés comme vitales pour le fonctionnement de


l’entreprise. Leur importance est telle que la pérennité de l’entreprise peur être remise en
cause en cas de "consultation" non autorisée ou d’endommagement desdites données,
• Confidentiel : il s’agit de données ou fichiers contenant des informations dont la diffusion
peut porter atteinte à l’image de l’entreprise (par exemple : fiche de paie du directeur général,
état des ventes, etc.),
• A usage interne : il s’agit de données et fichiers utiles à la vie courante de l’entreprise et
pouvant être partagés entre plusieurs utilisateurs,
• Non classé : autres catégories de données non susceptibles d’être classées dans l’une des trois
catégories ci-dessus.
38 PREMIERE PARTIE

Cette classification des données est fonction de l’analyse des risques et de l’évaluation faite de
ces risques. La détermination de la valeur de ces données permet de mettre en place les
techniques de protection efficace. La classification des données permet enfin :

• D’une part d’indiquer les données et systèmes à protéger,

• D’autre part de définir les données et systèmes ne nécessitant pas d’investissement important
en terme de sécurité.

2.3.2 Gestion des sauvegardes

Chaque utilisateur doit procéder à des enregistrements fréquents de son travail en cours, sur le
disque dur de son micro-ordinateur, afin d’éviter de le perdre en cas d’éventuels incidents.

Toutefois, cette mesure élémentaire de sécurité ne constitue qu’une mesure provisoire qui n’a pas
vocation de protéger durablement l’entreprise contre le risque de perte de disponibilité,
d’intégrité et de confidentialité des données et ressources informatiques.

Le principe de sauvegarde est de pouvoir disposer d’une copie de secours des données à protéger.
Selon les besoins et les moyens de chaque entreprise, une procédure de sauvegarde centralisée et
automatique des données doit être mise en place. Cette procédure doit faire l’objet d’un document
écrit définissant pour chaque fichier à sauvegarder les règles strictes mentionnant le nombre de
générations, la périodicité, le lieu et la durée de stockage. Cette procédure doit également préciser
le rôle à jouer par le responsable de la sécurité informatique et les utilisateurs.

Le tableau ci-dessous synthétise les risques et techniques de protection en matière de sauvegarde.

Objectifs Risques Prévention / Protection


Assurer le redémarrage du Pertes de données et fichier, Procédure de sauvegarde et
traitement en cas d’incident, Destruction des documents ou gestion des sauvegardes
Pallier à un incident sur supports magnétiques, confiées à un responsable,
support physique, Altération et divulgation Jeux de sauvegarde avec un
support entreposé en dehors de
Redémarrage sur site d’informations confidentielles,
extérieur en cas d’incident l’entreprise,
Etc.
grave, Conservation supports de
Assurer la conservation des sauvegarde dans un coffre fort
données pour répondre aux ignifugé,
obligations légales. Etc.
39 PREMIERE PARTIE

Enfin, le responsable de la sécurité doit être chargé de la gestion et de l’archivage des copies de
sauvegarde, quelle que soit la taille de l’entreprise et l’organisation de sa micro-informatique.

Nous avons reporté en annexe n°8 le rappel de certaines règles relatives à la sauvegarde des
données ainsi qu’un exemple de procédure de sauvegarde applicable aux PME.

3 Sécurité des études et développements d’applications informatiques :

L’entreprise a le choix dans la mise en place d’un nouveau système informatique, d’une nouvelle
application, etc. entre le développement interne ou le recours à un prestataire de service extérieur.
Les développements extérieurs peuvent être des progiciels standard ou au contraire des
développements spécifiques à l’entreprise. Les entreprises utilisent généralement un mélange de
ces deux types de développement, dépendant du niveau de spécificité requis.

Qu’il s’agisse de développement interne ou de développement externe d’applications


informatiques, il est nécessaire de respecter un certain nombre de règles et procédures dans la
conception desdites applications.

3.1 Méthodes et normes de programmation

Le développement d’une application informatique doit être effectué selon une démarche
systématique et rigoureuse ; démarche inspirée de celle publiée par l’IFEC.

Dès le lancement de la phase de développement, des procédures de secours doivent être prévues
en définissant le fonctionnement en "mode dégradé". Ce mode consiste à s’appuyer sur des
procédures non informatiques en vue de réaliser certaines opérations et processus effectués
jusque là par l’outil informatique. Ces procédures, consistent en :

• Le traitement manuel des documents,

• La transmission des données et informations par téléphone, fax, courrier, etc.

• Le contrôle et la surveillance humaine en remplacement de certains traitements automatisés


jusque là et effectués par l’outil micro-informatique.

Le tableau ci-dessous fait ressortir de manière synthétique les différentes étapes et documents
nécessaires au développement d’une application informatique.
40 PREMIERE PARTIE

Etapes Documents requis


Etude d’opportunité Identification des zones de changement,
Description et critique de l’existant afin de pouvoir justifier la
demande de changement,
Présentation succincte des fonctions à développer,
Identification des besoins, des objectifs et des contraintes de mise en
œuvre,
Description et étude des différents scénarios possibles,
Décision finale.
La définition précise des objectifs,
Analyse fonctionnelle
La description des fonctions à développer,
La circulation des informations,
L’étude des entrées / sorties,
Analyse organique
Les traitements à effectuer,
La définition des contrôles à effectuer.
La conception du système général (liens avec l’étape précédente),
La définition des fichiers à créer et à mettre en œuvre,
Les états et écrans de sortie,
Les jeux d’essais
3.2 Elaboration et documentation

Sans un programme et une documentation compréhensible, le système informatique devient


difficile à maintenir (en termes de problème d’exploitation, d’utilisation et de mise à jour).

Une documentation non basée sur un certain nombre de standards préétablis peut contenir des
informations inadaptées, sans intérêts, voire dépassées. En parlant de documentation, il y a lieu
de distinguer la documentation technique de la documentation des applications.

La documentation technique, fournie en général par le constructeur concerne généralement le


matériel et logiciels de base. A ce sujet, l’entreprise ne court pas de risque vu l’abondance de la
documentation technique, ainsi que sa bonne qualité.
41 PREMIERE PARTIE

La nécessité de rédaction d’une documentation des programmes et applications informatiques


n’est encore que trop souvent mal ressentie tant par les dirigeants de l’entreprise que le personnel
chargé du développement d’applications informatiques, surtout en ce qui concerne les PME. Or,
cette mesure doit répondre en premier lieu à un besoin interne quotidien de l’entreprise.

L’absence de documentation entraîne les risques suivants :

• Absence ou insuffisance de connaissance sur le système de traitement des informations,

• Maintenance difficile et coûteuse,

• Dépendance vis-à-vis du personnel de développement (pas de séparation de tâches).

Nous avons reporté en annexe n° 9.a un descriptif des différents types de documentation des
applications informatiques et leur contenu.

Après les phases d’étude et de développement, l’application informatique doit être mise en
exploitation.

3.3 Règles d’exploitation des applications informatiques

3.3.1 Séparation des tâches

Une des règles de sécurité en terme d’exploitation des applications informatiques (développées
en interne ou par un prestataire de service) est la séparation des tâches entre le personnel de
développement (études) et le personnel d’exploitation.

Toutefois cette règle ne peut toujours s’appliquer dans les PME où il n’est pas rare de rencontrer
une seule personne cumulant l’ensemble des fonctions traditionnellement distinguées dans un
service informatique. Cette situation ne rend que plus nécessaire le contrôle des résultats par les
utilisateurs et contrôle des données a posteriori (Cf. 3.4 : contrôle des données a posteriori).

Néanmoins, l’objectif de la règle de séparation des tâches vise la prévention de l’utilisation non
autorisée ou frauduleuse des moyens informatiques (micro-ordinateur, logiciel, données, etc.)
ainsi que la prévention de la manipulation et la modification non autorisée des applications
informatiques et des données.
42 PREMIERE PARTIE

3.3.2 Procédure de test des programmes

La programmation d’une application informatique est une tâche minutieuse et souvent assez
complexe. Les applications mises en exploitation doivent faire l’objet d’une mise au point
attentive, et de tests plus ou moins nombreux selon les procédures suivantes :

• Mettre en exploitation des applications suffisamment testées,

• Préserver la sécurité de l’environnement de production,

• S’assurer que le système fonctionne selon les spécificités prévues lors de l’étude
d’opportunité (définition des besoins).

La réception ou recette donnée par les utilisateurs à l’équipe de développement avant la mise en
exploitation d’une nouvelle application est donnée au vu :

• De jeux d’essais comprenant les jeux d’essais conçus par les informaticiens et les jeux
d’essais utilisateurs,

• Du système d’exploitation en double qui consiste à faire fonctionner simultanément le


nouveau système développé avec l’ancien afin de comparer les résultats desdites applications.

3.3.3 Procédures de mise en exploitation des applications informatiques

Les procédures de mise en exploitation des applications informatiques nécessitent la mise en


place d’un cadre de contrôle assurant la séparation des fonctions études et exploitation. Cela se
traduit par le fait que le personnel d’études ne doit pas avoir accès aux bibliothèques de
programmes d’exploitation. Cette séparation de fonction vise plus à prévenir les risques d’erreur
de manipulation que les opérations à caractère frauduleux du personnel d’études. (Cf. sous
paragraphe 3.3.1 séparation des tâches).

Nous avons reporté en annexe n° 9.b le mode de passage d’un environnement de test à un
environnement d’exploitation et les risques auxquels s’expose l’entreprise en l’absence de
procédures et normes.

Enfin, la mise en place d’une nouvelle application informatique doit s’accompagner d’une
formation adaptée des utilisateurs.
43 PREMIERE PARTIE

A cet effet, le responsable informatique doit susciter l’intérêt d’une telle formation en soulignant
les avantages d’une telle application et ses répercussions sur les habitudes de travail
préexistantes.

Néanmoins, pour assurer à la formation un succès total, il y a lieu de prendre en considération les
aspects suivants :

• La formation ne doit pas être dispensée trop longtemps à l’avance,

• La formation doit être adaptée au profil des utilisateurs,

• Le rôle de l’animateur est fondamental : c’est son rôle pédagogique qui va permettre
l’adhésion ou au contraire le refus des utilisateurs à leur nouvel environnement de travail.

3.4 Le contrôle des données a posteriori :

Les mesures que nous avons analysées dans les paragraphes précédents sont destinées à protéger
l’entreprise des erreurs de conception lors du développement d’applications et leur mise en
exploitation. Toutefois, ces mesures ne peuvent garantir qu’aucune erreur ne subsistera en fin de
chaîne de traitement. Il revient donc aux utilisateurs finaux, destinataires des résultats produits
par l’exploitation de veiller au contrôle de ces résultats.

Le contrôle des données a posteriori est trop souvent négligé par les entreprises en général, car
celles-ci se concentrent plus sur les contrôles a priori (en amont) et les contrôles programmés (en
cours de traitement). Elles ont tendance à se voiler la face quant à l’efficacité des mesures de
protection mises en place, sans vérifier périodiquement cette efficacité.

Le contrôle des données a posteriori est le seul qui puisse garantir que des actions non autorisées
réalisées directement sur les données ont été détectées. Il implique de s’assurer au préalable de
l’exhaustivité et l’intégrité des données prises en compte, la validité et la qualité des informations
fournies et le contrôle de la cohérence des traitements pour se prémunir contre tout risque
d’erreur de programmation, d’exploitation ou de manipulation.

Ce contrôle sera effectué généralement par l’édition périodique d’états d’anomalies, états pouvant
d’ores et déjà être paramétrés sur l’application, même si non prévus au départ.
44 PREMIERE PARTIE

Chaque entreprise doit être en mesure de prévoir la génération d’états d’anomalies pour
l’ensemble de son système d’information ou du moins pour les applications les plus utilisées
telles que :

- La comptabilité,

- La paie,

- La facturation,

- La gestion des stocks,

- Etc.

Ces états d’anomalies seront générés sur la base d’un ensemble de contrôles programmés,
contrôles visant à s’assurer que les procédures de contrôle interne s’appliquent en permanence et
sont en mesure de détecter tout vice de procédure pouvant entraîner en fin de compte une
anomalie ou erreur.

Le présent chapitre nous a permis de présenter de manière synthétique les différentes techniques
de protection adaptées à la micro-informatique. Le chapitre suivant nous permettra de mesurer
l’impact réel des risques sur le patrimoine et la pérennité des PME et de connaître l’appréciation
de la sécurité informatique dans nos PME avec comme support un questionnaire d’enquête sur la
sécurité informatique dans les PME.
45 PREMIERE PARTIE

Chapitre 3 : Impact réel et perception de la sécurité micro-informatique dans les PME

Les risques informatiques tels que définis au chapitre 1 sont nombreux et peuvent avoir des
conséquences négatives sur le patrimoine et la pérennité de l’entreprise. En effet, en l’absence ou
l’insuffisance de techniques de protection au vu d’une politique de sécurité globale, l’entreprise
s’expose à des risques de tout genre allant de la simple panne machine à des sinistres entraînant la
destruction totale de son outil informatique.

1 Impact réel des risques sur le patrimoine et la pérennité des PME

Les risques informatiques ont, selon le cas, des conséquences directes, indirectes sur le
patrimoine et la pérennité de l’activité de l’entreprise. De même, que ces conséquences peuvent
être financières.

1.1 Conséquences directes

Les conséquences directes sont :

• Les pertes d’exploitation se traduisant par une perte de revenus directs ou la baisse des
marges bénéficiaires,

• La baisse de productivité avec les conséquences que cela peut avoir sur le social
(chômage technique, licenciement pour cause de sureffectif, etc.)

• Les pénalités pour défaut ou retard de livraison d’une commande, non exécution de
clauses d’un marché, etc.

• Le coût de réparation ou de remplacement de matériels, logiciels, etc.

• Les frais supplémentaires liés à l’utilisation de systèmes de secours (exécution de clauses


d’un contrat de back up).

• Le dépôt de bilan (conséquence la plus pessimiste possible)

1.2 Conséquences indirectes

A l’opposé des conséquences directes qui peuvent être évaluées de manière approximative, les
conséquences indirectes sont difficiles à identifier et évaluer. Il peut s’agir selon le cas de :
46 PREMIERE PARTIE

• La perte de compétitivité : en effet le phénomène de globalisation implique que


l’entreprise puisse disposer de l’ensemble de ses ressources et notamment ses ressources
informatiques pour évoluer dans un environnement concurrentiel,
• La perte d’image de marque en raison de l’ampleur du sinistre survenu : en effet
l’importance d’un sinistre peut entraîner la perte de confiance des partenaires
(insatisfaction de la clientèle, suppression d’approvisionnement, etc.)
• La perte de marché : pendant la période du sinistre, l’entreprise est dans l’impossibilité de
mener à terme ses divers engagements, ce qui peut entraîner la perte de confiance des
banquiers (fermeture des lignes de crédit, de découvert, etc.)
• Pertes liées aux préjudices moraux, corporels ou suite à l’introduction d’une action en
justice que peut subir l’entreprise et ses dirigeants.
1.3 Conséquences financières

Au-delà des conséquences directes et indirectes tels que ceux énumérées ci-dessus, l’impact
financier des risques informatiques est, selon le cas :

• Frais liés au remplacement ou la réparation du système informatique : il s’agit en fait des


frais liés aux dommages physiques tels qu’expertise, réparation et / ou remplacement de
matériel ou des frais liés à des dommages logiques tels que la restauration d’éléments
immatériels, reconstitution de fichiers perdus, etc.
• Frais supplémentaires : frais qui correspondent en général à des mesures destinées à
maintenir les fonctionnalités et performances du système informatique à un niveau
similaire ou du moins assez proche de celles avant sinistre,
• Les pertes comprenant selon le cas :

o Les pertes d’exploitation tels que pertes d’affaires, de clients ou d’image de


marque,

o Pertes de fonds et de biens, d’informations.

Nous avons reporté en annexe n° 10 quelques scénarios de réalisation de risques informatiques


47 PREMIERE PARTIE

2 Appréciation des risques micro-informatiques par les utilisateurs

Comme signalé au niveau du chapitre 1, la sécurité concerne l’entreprise et l’ensemble des


ressources matérielles, logicielles et humaines associées au système d’information. La sécurité
informatique passe donc par la prise de conscience des différents types de risques liés à
l’utilisation de l’outil micro-informatique.

La presse spécialisée européenne fait souvent écho de statistiques sur la sinistralité correspondant
à l’estimation des pertes dues à des sinistres déclarées ou l’estimation des pertes financières
découlant directement au manque de sécurité. Nous avons reporté en annexe n° 11 les statistiques
de sinistralité en France publiées par l’APSAIRD ainsi qu’un article de presse sur "la
sensibilisation des entreprises au problème de sécurité".21

Nous avons voulu connaître le niveau de perception de la sécurité micro-informatique au sein de


nos entreprises. Pour ce faire, nous avons préparé un questionnaire à destination des entreprises
pour connaître leur degré d’informatisation et leur perception des risques informatiques et de la
nécessité de mise en place d’une politique de sécurité globale.

2.1 Mise en place du questionnaire : finalités et règles d’élaboration

Comme signalé ci-dessus, l’expert-comptable ou le commissaire aux comptes doivent être


conscient des risques réels et de l’environnement micro-informatique des entreprises marocaines
afin de pouvoir mener une mission d’audit de la sécurité micro-informatique.

A cet effet, nous avons préparé un questionnaire à destination des entreprises pour connaître leur
perception du niveau de sécurité qui prévaut dans leurs organisations. Ledit questionnaire annexé
au présent mémoire comprend quatre parties :

• La première partie correspondant à l’identification de l’entreprise,

• La seconde partie correspondant aux fonctions informatisées au sein de l’entreprise ainsi


que la composition de son outil micro-informatique et des applications logicielles qui y
sont associées,

21 Article mis en ligne sur Internet


48 PREMIERE PARTIE

• La troisième partie traite de l’organisation de la fonction informatique au sein de


l’entreprise,

• Enfin la quatrième partie correspondant à la perception de la sécurité informatique au sein


de l’entreprise.

Nous avons volontairement restreint le champ de notre enquête aux PME qui constituent en fait
plus de 90% du tissu économique marocain. Pour ce type d’entreprise, nous avons voulu savoir le
niveau de perception des risques informatiques aussi bien par la direction générale, le responsable
informatique que les utilisateurs d’une part et de connaître les techniques et outils de sécurité mis
en place d’autre part.

Néanmoins, la principale difficulté que nous avons rencontrée consiste en la sélection d’un
échantillon représentatif de PME en l’absence d’une véritable base de données d’une part et en
raison de la complexité de la définition de la PME telle qu’elle ressort du livre blanc édité par le
Ministère chargé des Affaires Générales du Gouvernement en décembre 2000.

Il ressort du "livre blanc des PME" qu’il n’existait pas jusqu’à une date récente de définition
unifiée de la PME mais une coexistence de plusieurs définitions.

La PMI était désigné comme "toute entreprise dont le programme d’investissement comporte des
équipements de production d’une valeur minimale de 100.000 Dhs et maximale de 5.000.000 Dhs
et dont le coût d’investissement par emploi stable est inférieur à 70.000 Dhs".22

A cette même époque la Banque Mondiale finançait ce secteur en accordant des crédits aux
entreprises dont l’actif net ne dépassait pas 5.000.000 Dhs. Par ailleurs, le Ministère du
Commerce de l’Industrie et de l’Artisanat définissait la PMI dans le cadre de ses opérations de
recensement comme toute entreprise employant au maximum 200 personnes.

Il a fallu attendre l’an 2000 pour voir émerger pour la première fois une définition unifiée de la
PME, définition qui ressort du "livre blanc des PME" tel que susvisé.

La définition 23proposée par le Ministère24 se base sur 2 critères : quantitatifs et qualitatifs.

22 Code des investissements industriels de 1983


23 Livre Blanc des PME édition décembre 2000 page 56
24 Ministère Chargé des Affaires Générales du Gouvernement
49 PREMIERE PARTIE

a) les critères quantitatifs : ils sont relatifs à l’effectif, le chiffre d’affaires et le total bilan
Très petite entreprise Petite entreprise Moyenne entreprise
Effectif < 25 personnes < 100 personnes < 200 personnes
Chiffre d’affaires < 5.000.000 Dhs < 25.000.000 Dhs < 50.000.000 Dhs
Total Bilan < 5.000.000 Dhs < 15.000.000 Dhs < 30.000.000 Dhs
b) critères qualitatifs : ils sont au nombre de trois
• Le chef d’entreprise est à la fois propriétaire et gestionnaire,

• L’entreprise est indépendante vis-à-vis d’un holding ou groupe d’entreprises,

• L’entreprise n’a pas de monopole ou de position dominante dans son marché.

Néanmoins, il ressort des critères, aussi bien quantitatifs que qualitatifs, édictés par le livre blanc,
qu’il devient tout à fait difficile de trouver des entreprises répondant parfaitement à la
juxtaposition de ces critères avec en surprime l’absence d’une base de données fiable.

En effet ni la CGEM25, ni le Ministère du Commerce et de l’Industrie à travers sa base de


26
données "qui produit quoi au Maroc ?" qui de plus n’est pas actualisée, ni le Kompass ne
fournissent une base de données répondant parfaitement aux critères requis.

Nous avons adressé le questionnaire à 200 entreprises susceptibles de répondre à certains des
critères édictés par le livre blanc, en se referant à l’ensemble des bases de données tels que
mentionnées ci-dessus.

A ce questionnaire, nous avons joint une note de présentation à destination des dirigeants des
PME faisant ressortir l’objectif d’une telle enquête ainsi que l’importance de leur contribution
dans la réussite d’une telle entreprise.

Afin d’obtenir des réponses représentatives, nous avons demandé à chaque entreprise de faire
remplir le questionnaire qui lui est destiné soit par le Directeur Général ou un mandataire habilité
et par le responsable informatique.

25 Répertoire du patronat marocain édition 2001


26 Source www.mcinet.gov.ma
50 PREMIERE PARTIE

2.2 Résultats des enquêtes

Seulement 50 questionnaires nous ont été retournés, dont les résultats figurent en annexe n° 12.

A la question "votre entreprise dispose t-elle d’un service informatique ?", la plupart des
entreprises ont répondu oui. Mais ce qui est intéressant de remarquer est le fait que parmi ces
réponses, près de 20% souligne que le service est composé d’une seule personne.

A la question "pensez-vous que la Direction Générale exerce un contrôle sur la fonction


informatique ?", 18% reconnaisse que non, ce qui est assez inquiétant. Un des principes de base
en terme de sécurité du management de l’informatique est que les dirigeants doivent conserver la
maîtrise de la fonction informatique.

A la question de connaître la place de l’outil micro-informatique au sein de l’entreprise, les


réponses sont assez mitigées. Certaines entreprises considèrent que la place de l’outil micro-
informatique est importante voire prépondérante. Toutefois, nous estimons que nous devons
atténuer cette affirmation au vu de la proportion de micro-ordinateurs par rapport à l’effectif total
de l’entreprise.

A la question de connaître les fonctions informatisées au sein de l’entreprise, il ressort qu’en


règle générale, la plupart des entreprises disposent d’applications de gestion classiques, à savoir
la comptabilité, la paie, la gestion commerciale, etc. Néanmoins pour ce qui de l’intégration de
ces applications à la comptabilité, les réponses reçues méritent d’être nuancées.

Les entreprises disposant d’un système informatique intégré de type ERP, SAP, etc. sont rares.
Seules les entreprises disposant d’un budget informatique important ont la possibilité à recourir à
de telles applications. Dans la majorité des cas, il s’agit de système de gestion où les données
peuvent être "exportées" par interface vers la comptabilité.

A la question de déterminer si l’entreprise recourt au développement interne d’applications ou


fait appel à des applications du marché, il ressort clairement des réponses reçues que les
entreprises préfèrent achetées des applications existantes sur le marché.

Lorsqu’on aborde la partie relative à la perception de la sécurité informatique au sein des


entreprises, les réponses reçues méritent qu’on s’y attarde quelque peu.
51 PREMIERE PARTIE

A la question de savoir si l’entreprise a été victime d’un sinistre informatique, les réponses qui se
dégagent des questionnaires reçues ne permettent pas de faire ressortir une conclusion. 45% des
entreprises intérogées afirment que oui, alors que 55% affirment le contraire. Il apparaît
clairement que le premier type d’agression subi par l’entreprise consiste en l’infection par virus
informatiques, suivi par les accidents physiques puis le vol de matériel.

Il est intéressant de remarquer que les personnes interrogées reconnaissent rencontrer des
difficultés dans l’utilisation normale de leur outil micro-informatique, celui-ci étant rendu
inutilisable pour une raison ou une autre tout en estimant être dépannés rapidement. Néanmoins,
ils considèrent que ces avaries et pannes en règle générale n’affectent pas leur travail, ce qui en
notre sens est à nuancer. En effet, nous avons tous fait l’objet d’un endommagement d’un fichier
ou de données.

Il se dégage des réponses reçues que la sécurité micro-informatique au sein des entreprises est
insuffisante même si de l’avis des responsables informatiques, la sécurité des micro-ordinateurs
est correctement appréhendée (67% des responsables informatiques pensent que les micro-
ordinateurs de leur entreprise sont suffisament protégés).

Toutefois, en matière de politique de sécurité, les réponses reçues méritent quelques


commentaires. Même si à première vue, 64% des entreprises affirment disposer d’une politique
de sécurité adaptée à la micro-informatique, il est intéressant de noter que celles-ci ne disposent
pas en fait de véritable politique de sécurité stricto sensu, mais seulement de quelques mesures de
protection.

A la question d’existence ou non au sein de l’entreprise de réunions de sensibilisation sur la


sécurité micro-informatique, 27% des entreprises avouent en tenir régulièrement, 42% de temps
en temps et 15% jamais.

A la question "votre entreprise a t’elle souscrit une police d’assurance contre les risques
spécifiques à l’informatique ?", 36% des entreprises ont répondu par l’affirmative. Ce
pourcentage doit être revu à la baisse, l’assurance multirisque n’étant pas à confondre avec la
tous risques informatiques.
52 PREMIERE PARTIE

Les entreprises semblent conscientes des risques informatiques, puisque la majorité des réponses
reçues sont orientées vers les virus informatiques en premier lieu, les accidents physiques en
secon lieu, l’absence régulière de sauvegarde des données en troisième lieu et le vol de matériel
ou données en dernier lieu.

Toutefois, lorsqu’on aborde les parades possibles pour atténuer ces risques, les réponses reçues
sont quelque peu contradictoires avec la perception des risques. A l’exception des virus
informatiques pour lesquelles les entreprises insistent sur la présence d’un logiciel antivirus, les
autres parades mises en avant ne respecte pas l’ordre d’importance des risques recensés.

Il ressort clairement de notre enquête que le budget alloué à la sécurité informatique est très
faible, car il ne dépasse pas les 5% du budget informatique total, soit moins de 15.000 Dhs pour
la plupart.

Enfin, les entreprises reconnaissent à près de 70% ne pas faire appel à leur expert-comptable pour
les conseiller dans le choix de solutions de sécurité ou la mise en place d’un plan de sécurité.

2.3 Enseignements à tirer

Il ressort clairement des questionnaires reçus que les entreprises ne disposent pas d’une vision
globale en terme de sécurité micro-informatique. Elles sont conscientes mais de manière confuse
de l’importance de l’outil micro-informatique et des ressources informatiques en général et de
l’intérêt de les protéger contre tout type d’agression.

Mais la vision des agressions qu’elles peuvent subir ne peut être que limitée, se résumant aux
attaques virales, vol de matériel et absence régulière de sauvegarde.

Ainsi, les risques d’accès physiques ou logiques pouvant entraîner une perte d’intégrité ou de
confidentialité des données, les erreurs de manipulation, erreurs de conception des applications,
etc. ne semblent pas constituer aux yeux des entreprises des risques réels pouvant porter atteinte à
leur outil micro-informatique.

La sécurité micro-informatique n’est donc que partiellement perçue, aucune personne interrogée
ne dispose d’une vision globale des risques et de la nécessité de mise en place d’une politique de
sécurité globale.
53 PREMIERE PARTIE

L’importance d’une politique de sécurité dont l’objectif principal est, rappelons le, d’assurer la
pérennité de l’entreprise et de ses ressources informatiques est peu ou pas du tout connue.
Lorsque c’est le cas, les concepts de cette politique sont mal appréhendés.

Enfin, il semblerait que la politique de sécurité informatique soit sous la responsabilité du


responsable informatique, ce qui en fait constitue une entorse au principe de séparation de
fonctions, règle essentielle d’un bon contrôle interne.

Il ressort de ce questionnaire que les réponses reçues sont assez disparates, faute de
communication suffisante au sein de l’entreprise et dépendent de la fonction exercée :

• Dirigeants et responsables PME : n'ayant qu'une vague conscience des différents types de
risques informatiques entraînant une confusion dans leur esprit, sont prêts à investir dans
les moyens de sécurité sans être convaincus des résultats attendus,
• Responsables informatiques : ils sont généralement plus conscients des risques de sécurité
informatiques, mais auront tendance à se plaindre de l'insuffisance des moyens mis à leur
disposition (humains, matériels, financiers, etc.),
• Utilisateurs: ne se satisfont pas totalement des mesures de sécurité mises en place se
plaignant de leur contrainte, leur non adéquation à leur utilisation de la micro-
informatique, etc.
En conclusion, même si la sécurité est perçue comme une notion importante, elle reste encore
assez confuse dans l’esprit des dirigeants de nos PME. Dans ce contexte, le niveau de sécurité
reste faible et ne met donc pas toute entreprise à l’abri de risques informatiques.

Face à ce constat, l’expert-comptable et / ou le commissaire aux comptes ont un rôle important à


jouer en matière de sensibilisation des dirigeants.

3 Le rôle des professionnels dans la sensibilisation de l’entreprise

3.1 L’expert-comptable

Comme signalé précédemment, en tant que conseiller externe à l’entreprise et son statut
d’interlocuteur privilégié de la Direction Générale, l’expert-comptable a un rôle et un devoir de
sensibilisation et d’explication sur ce domaine. Il y va de la sauvegarde des actifs et du
patrimoine de l’entreprise ainsi que de la fiabilité de l’information produite.
54 PREMIERE PARTIE

L'expert-comptable ne doit pas se désintéresser de ce domaine et se contenter d'émettre une


opinion sur les états financiers de l'entreprise. Son rôle en tant que conseiller de l'entreprise doit
être général.

Les risques informatiques ont des répercussions ou incidences physiques sur les entreprises et
notamment les PME. L’expert-comptable doit focaliser sa sensibilisation sur les aspects
suivants :

• Perte de disponibilité résultant de l’incapacité pour l’utilisateur d’utiliser l’outil micro-


informatique dans des conditions d’accès et d’usage normal. La disponibilité est définie
comme "la qualité d’utilisation d’un système informatique caractérisée par le pourcentage
de fonctionnement correct dans un temps donné."27
Les PME ne disposent généralement pas d’un plan micro-informatique et d’une politique
d’investissement. La disponibilité de l’outil micro-informatique devant être assurée par :
o Une politique d’investissement du matériel et des logiciels tenant compte des
contraintes internes à l’entreprise (compatibilité et homogénéité du parc) et des
contraintes externes (fiabilité des logiciels installés, notoriété du revendeur de
matériel, etc.),
o Une politique de maintenance préventive comprenant une formation adéquate des
utilisateurs à l’utilisation de l’outil micro-informatique, la qualité de l’assistance
technique, les conditions d’intervention, le suivi des pannes (registre, historique, etc.),
o La signature d’un contrat d’assistance technique avec une SSII,
o Une procédure de sauvegarde des données comprenant le suivi des l’existence
physique des sauvegardes, leur emplacement et conditions d’archivage, etc.
• Perte d’intégrité résultant de la perte de propriété prouvant qu’une information n’est pas
modifiée dans des conditions d’accès normal par des utilisateurs non autorisés et non
habilités. L’intégrité est définie comme "la qualité et la sécurité d’un système ou d’un
logiciel qui empêche la modification ou la suppression non autorisée d’informations."28

27 Dictionnaire Larousse Informatique


28 Dictionnaire Larousse Informatique
55 PREMIERE PARTIE

Les PME ne disposent pas généralement de procédures donnant l’assurance qu’elles ne risquent
pas de subir une altération physique ou logique du matériel, des logiciels et des données suite à
des dégradations involontaires ou intentionnelles. L’intégrité de l’outil micro-informatique
devant être assurée par une :
o Procédure préservant l’entreprise contre les risques naissant suite à un incident
technique, acte humain ou phénomène naturel,
o Procédure de suivi et gestion des licences des logiciels en vue de se prémunir contre
les risques de piratage,
o Procédure de détection et d’éradication des virus pour assurer l’intégrité des données
du système d’information de l’entreprise.
• Perte de confidentialité consistant en la perte de l’assurance que seuls les utilisateurs
habilités dans des conditions normalement prévus ont accès aux informations. La
confidentialité est définie comme "un élément de la sécurité visant à interdire aux
personnes n’ayant pas la qualité pour le faire l’accès à des informations stockées, traitées
ou communiquées dans un système d’information."29
Les PME ne disposent pas généralement de procédures permettant la maîtrise des accès aux
sauvegardes, aux ressources informatiques, aux programmes et données. La confidentialité de
l’outil micro-informatique devant être assurée par :
o une classification des données à protéger,
o des règles d’autorisation d’accès des différents utilisateurs aux micro-ordinateurs,
données en fonction des habilitations conférées par la Direction Générale.
3.2 Le commissaire aux comptes

Le commissaire aux comptes est rappelons-le mandaté par l’assemblée générale de toute
entreprise et a pour mission de certifier ses comptes. L’objectif principal est d’obtenir l’assurance
raisonnable que les états financiers audités sont réguliers et sincères et donnent une image fidèle
du patrimoine des résultats et de la situation financière de la société. Il a une mission
d’information, de prévention et de protection.

29 Dictionnaire Larousse Informatique


56 PREMIERE PARTIE

Il est tenu d’apprécier et d’évaluer le cadre de contrôle interne existant au sein de l’entreprise. A
cet effet, il apprécie la fiabilité des contrôles et procédures informatiques mises en place par
l’entreprise lors de l’évaluation des procédures de contrôle interne et l’organisation comptable.
Rappelons que le contrôle interne a été défini par l’OECCA30 comme suit : "le contrôle interne
est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but d’un côté,
d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre
l’application des instructions de la direction et de favoriser l’amélioration des performances". Le
commissaire aux comptes peut formuler des recommandations sur la sécurité informatique qui
prévaut au sein de l’entreprise sur la base de son évaluation du contrôle interne.

En raison des règles d’incompatibilité de fonctions, il peut proposer à l’entreprise l’assistance


d’un confrère pour l’audit de sécurité micro-informatique au sein de l’entreprise. Cela ne modifie
en rien son rôle de contrôle et de sensibilisation de la Direction Générale sur les risques
informatiques et les techniques de protection à mettre en place.

Le présent chapitre nous a permis d’identifier de manière explicite l’impact réel des risques ainsi
que leur perception par les différents utilisateurs de l’outil micro-informatique au sein de
l’entreprise, ainsi que le rôle des professionnels en terme de sensibilisation de l’entreprise.

30 XXXII° congrès de l’OECCA 1977


57 PREMIERE PARTIE

CONCLUSION DE LA PREMIERE PARTIE

L’identification des risques informatiques qui menacent la sécurité d’une entreprise est un
préalable à toute mission d’audit de la sécurité micro-informatique. Cette identification permet
d’apporter un cadre de référence pour élaborer une approche d’audit globale adaptée aux
spécificités de toute entreprise. L’approche par les risques dans toute mission d’audit conditionne
l’orientation, le déroulement et l’évaluation de l’ensemble des travaux de l’expert-comptable.

Une appréciation insuffisante des risques informatiques et de l’impact de ces risques sur le
patrimoine et la pérennité de l’entreprise peut être dans certains cas lourd de conséquences. C’est
dans ce contexte particulier que l’analyse préalable des risques et des facteurs d’insécurité qui
menacent une entreprise et son environnement micro-informatique trouve toute sa raison d’être.

Néanmoins, l’entreprise ne dispose pas nécessairement des ressources nécessaires pour identifier
les risques qui pèsent sur son outil micro-informatique et mettre en place les techniques de
protection appropriées. Pour cette raison, l’expert-comptable apparaît comme le mieux placé pour
jouer auprès de la direction générale de l’entreprise le rôle de sensibilisation.

En effet, l’association d’un expert indépendant est intéressant à plus d’un titre. Celui-ci dispose
d’un certain nombre de techniques et d’outils lui permettant d’avoir une vision globale de
l’entreprise et des risques qui menacent son système informatique.

Au niveau de la seconde partie, nous présenterons une méthodologie d’audit de la sécurité micro-
informatique dans les PME, en insistant sur le principe qu’une organisation et un cadre de
contrôle interne efficace constituent un facteur déterminant en matière de sécurité.
58 DEUXIEME PARTIE

DEUXIEME PARTIE :
UNE APPROCHE D’AUDIT DE LA SECURITE
MICRO-INFORMATIQUE DANS LES PME

INTRODUCTION

Les risques spécifiques à la micro-informatique sont nombreux et importants. Il existe cependant


des techniques de protection visant la maîtrise des risques, offrant une garantie suffisante aux
entreprises, à condition de les utiliser correctement ; techniques de protection évoquées tout au
long du deuxième chapitre de la première partie.

Néanmoins, ces techniques peuvent ne pas être suffisamment connues, maîtrisées ou


correctement appliquées par les entreprises. En effet, dans un environnement micro-informatique
en perpétuel changement, la mise en place ou la mise en œuvre de contrôles suffisants par le
management pour réduire le risque à un niveau jugé acceptable peut être considéré comme
fastidieux et non rentable.

Pour cette raison, nous pensons que l’expert-comptable et / ou commissaire aux comptes voient
leur rôle s’accroître, se positionnant comme révélateurs potentiels des faiblesses du système
informatique.

Néanmoins, pour remplir pleinement cette mission de sensibilisation auprès des entreprises quant
aux risques propres à la micro-informatique et / ou d’assistance dans la mise en place d’un plan
de sécurité informatique, cet organe doit être conscient du risque réel et de l’environnement
micro-informatique des PME marocaines, afin de proposer une approche d’audit de la sécurité
micro-informatique.

Nous traiterons dans un premier chapitre les différentes normes et référentiels en matière d’audit
de la sécurité informatique en nous focalisant sur le fait que ceux-ci ne constituent pas un
référentiel d’audit de la sécurité applicable à la micro-informatique.
59 DEUXIEME PARTIE

Dans un second chapitre nous présenterons une démarche d’audit de la sécurité micro-
informatique depuis la phase de prise de connaissance de l’entreprise et de son environnement
micro-informatique à la remise du rapport d’audit tout en insistant sur les particularités d’une
telle méthodologie par rapport aux autres missions d’audit et sa possibilité d’application par
l’expert-comptable. Dans un troisième chapitre, nous présenterons plus en détail le programme de
travail et la conduite de la mission par thème.
60 DEUXIEME PARTIE

Chapitre 1 : Audit de la sécurité de la micro-informatique : les normes et référentiels

1 Les normes et référentiels marocains

1.1 Les normes comptables et le droit fiscal

Le législateur s’est efforcé à travers certaines obligations comptables et certains textes fiscaux
d’introduire la notion de comptabilité tenue à l’aide de moyens informatiques et d’obligation de
conservation des documents comptables.

Le CGNC stipule qu’en "matière d’organisation comptable, un système comptable ne peut


prétendre à la fiabilité que si il remplit certaines obligations formelles telles que :

• L’identification, la classification et la conservation des documents de base et des pièces


justificatives,

• L’exhaustivité de la saisie des informations,

• La continuité de la chaîne de traitement allant de l’enregistrement de base aux états de


synthèse,

• La description du système comptable et des procédures"31.

De même que "l’organisation du traitement informatique doit garantir toutes les possibilités de
contrôle et donner droit accès à la documentation relative à l’analyse, à la programmation et aux
procédures de traitement informatique"32.

L’article 4 de la loi 9-8833 stipule que "les personnes … doivent établir un manuel que a pour
objet de décrire l’organisation comptable de leur entreprise", sans préciser son contenu. De même
que l’article 22 stipule que "les documents comptables et les pièces justificatives sont conservées
pendant 10 ans". Cette précision est identique à celle que l’on retrouve en matière de
réglementation fiscale.

La réglementation fiscale fait référence quant à elle au droit de communication sur support papier
ou sur support magnétique des documents et livres comptables lorsqu’une entreprise fait l’objet
de la part de l’administration fiscale d’une procédure de vérification fiscale34.

31 CGNC (Code Général de Normalisation Comptable) volume 1 page 31


32 CGNC (Code Général de Normalisation Comptable) volume 1 page 57
33 Loi 9-88 relative aux obligations comptables des commerçants promulguée par le Dahir 1-82-138 du 25 décembre 1992
34 Article 36 de la loi 24-86 relative à l’IS et article 39 de la loi 30-85 relative à la TVA
61 DEUXIEME PARTIE

Cette précision s’apparente à l’obligation d’archivage pour répondre à des obligations légales.

A l’exception de ces quelques références en la matière, nous ne pouvons que déplorer l’absence
de cadre réglementaire en matière de protection de l’entreprise contre les risques informatiques.

1.2 L’arsenal juridique

La loi n° 2-00 du 15 février 2000 relative aux droits d’auteur et droits voisins constitue en
véritable fait une innovation en matière de protection des logiciels.

En effet, l’article 3 de la loi 2-00 précise que "la présente loi s’applique aux œuvres … telles que
les programmes d’ordinateur". L’article 10 de la loi 2-00 stipule que "sous réserve des
dispositions des articles 11 à 22, l’auteur d’une œuvre a le droit … de faire ou autoriser la
location ou le prêt public de l’original ou de la copie d’un programme d’ordinateur". L’article 21
de la loi 2-00 précise "nonobstant les dispositions de l’article 10, le propriétaire légitime d’un
exemplaire d’un programme d’ordinateur peut…réaliser un exemplaire ou l’adaptation de ce
programme… à condition qu’il soit :
a) nécessaire à l’utilisation du programme d’ordinateur…,
b) nécessaire à des fins d’archivage et pour remplacer l’exemplaire licitement détenu dans le
cas où celui-ci serait perdu, détruit ou rendu inutilisable."
Enfin les articles 62 et 64 de la loi 2-00 font référence aux sanctions civiles auxquelles s’exposent
les contrevenants aux droits d’auteur.

Par ailleurs, la protection des entreprises est assurée par la loi 11-99 du 25 juillet 1993 formant
code pénal. Ci-dessous quelques références à la loi précitée.

En effet, l’article 540 stipule que "quiconque en vue de se procurer…un profit pécuniaire
illégitime, induit en erreur une personne par des affirmations fallacieuses ou par dissimulation de
faits vrais ou exploite astucieusement l’erreur où se trouvait une personne … est coupable
d’escroquerie".

De même que l’article 357 stipule que "toute personne qui des manières prévues à l’article 354
commet ou tente de commettre un faux en écritures… est punie de l’emprisonnement de un à
cinq ans et d’une amende de 250 Dhs à 20.000 Dhs.
62 DEUXIEME PARTIE

1.3 Le manuel des normes : Audit légal et contractuel

Le manuel des normes définit le contrôle interne comme "l’ensemble des mesures de contrôle,
comptable ou autre, que la direction définit, applique et surveille, sous sa responsabilité, afin
d’assurer la protection du patrimoine de l’entreprise et la fiabilité des enregistrements comptables
et des états de synthèse qui en découlent"35.

De même que ledit manuel précise que "l’évaluation du contrôle interne d’un système de
traitement informatisé de l’information financière est effectuée selon la démarche suivante :

• L’évaluation du contrôle interne de la fonction informatique (c'est-à-dire, l’ensemble


formé par le service informatique et par les utilisateurs dans leurs relations avec le
service) qui a pour objectif de s’assurer que le système fonctionne de manière à garantir :
o La fiabilité des informations produites,
o La protection du patrimoine,
o La sécurité et la continuité des travaux,

• L’évaluation du contrôle interne d’un système ou d’une application où seront considérés


plus particulièrement :
o Les contrôles sur la préparation et la saisie des données, aussi bien au niveau des services
utilisateurs qu’au niveau informatique,
o Les contrôles sur l’exploitation : prévention contre des erreurs et des fraudes pendant le
traitement,
o Les contrôles destinés à s’assurer de l’intégrité, de l’exactitude, et de l’autorisation des
opérations à enregistrer,
o Le maintien du chemin de révision (ou système de référence),
o La qualité de la documentation,
o Les modifications intervenues d’un exercice à l’autre dans les programmes, notamment
pour les méthodes d’enregistrement et d’évaluation"36.

35 Commentaire 1 de la norme 2102 : Evaluation du contrôle interne


36 Commentaire 9 de la norme 2102 : Evaluation du contrôle interne
63 DEUXIEME PARTIE

Néanmoins, la norme 2102 ainsi que les commentaires proposées par l’OEC ne constituent pas
un référentiel d’audit de la sécurité applicable à la micro-informatique dans le sens où elles ne
présentent que des objectifs de contrôle en terme d’efficacité de la fonction informatique et du
système ou d’une application informatique.

2 Les normes et référentiels internationaux

2.1 IFAC

L’IFAC37 est une organisation internationale dont l’objectif principal est de promouvoir les
normes internationales d’audit : ISAs applicables pour l’audit des états financiers. Celles-ci
constituent les principes de base ainsi que les procédures essentielles à mettre en œuvre dans
toute mission d’audit des états financiers. Parmi ces normes, la norme 401 traite notamment de
l’audit réalisé dans un environnement informatique38.

Il ressort de la norme 401 "qu’un ordinateur est utilisé en règle générale pour le traitement, le
stockage et la communication des informations financières et peut affecter :

• Les procédures poursuivies par l’auditeur pour l’obtention des preuves d’audit et la
compréhension du système comptable et système de contrôle interne,

• La perception du risque inhérent et risque de contrôle interne,

• La nature et le volume des tests substantifs et procédures analytiques à mettre en


œuvre en vue d’atteindre les objectifs d’audit."

De même que la norme 401 fait référence aux risques d’absence ou d’insuffisance de séparation
de fonctions, d’absence de documentation des applications et aux erreurs dans le développement
et la maintenance des applications ainsi que la possibilité d’accès non autorisé induits par
l’utilisation de l’ordinateur.

A cette norme, l’IFAC a jugé utile d’associer les directives 1001 39(micro-ordinateurs autonomes)
et 100240 (micro-ordinateurs interconnectés) pour assister les auditeurs dans leur mission d’audit
réalisé dans un environnement informatique.

37 IFAC : International Federation Of Accoutants


38 IFAC Handbook 1996 norme 401 "Auditing in a Computer Information Systems Environment
39 IFAC Juin 2001 "IT Environnements – Stand Alone PC"
40 IFAC Juin 2001 "IT Environnements – On Line Computer Systems"
64 DEUXIEME PARTIE

La directive 1001 a été approuvé en juin 2001 pour entrer en application à compter de juillet
2001. Selon celle-ci "certains contrôles et mesures de sécurité utilisés dans de gros systèmes
informatiques ne sont pas réalisables et adaptés aux micro-ordinateurs. A l’opposé, certains types
de contrôle interne sont essentiels en raison des caractéristiques des micro-ordinateurs et des
environnements dans lesquels ils sont utilisés."

Il ressort également de cette directive que "les micro-ordinateurs sont en règle générale utilisés
par une ou plusieurs personnes qui peuvent accéder aux mêmes programmes et aux différentes
applications d’un même ordinateur". Cela implique une organisation interne de l’entreprise
adaptée à une telle utilisation de l’outil micro-informatique.

Enfin la directive 1001 préconise pour le cas des ordinateurs autonomes un certain nombre de
mesures de sécurité tels que :

• La protection des micro-ordinateurs et des supports de stockage contre les risques de


vol, de dégâts physiques, d’accès non autorisés et de mauvaise utilisation,

• La protection des données et programmes contre les risques d’altération, d’accès non
autorisé, d’utilisation de logiciels sans licence,

• La continuité des opérations.

Ces contrôles doivent être mis en place par une personne indépendante qui en règle générale :

• Recevra les données à traiter,

• S’assurera que ces données sont autorisées et enregistrées,

• Suivra les erreurs survenues pendant le traitement,

• Restreindra les accès physiques et logiques aux programmes, applications et données.

La directive 1002 quant à elle a été approuvé en juin 2001 pour entrer en application à compter
de juillet 2001. Celle-ci définit les micro-ordinateurs interconnectés en réseau comme "tout
système permettant aux utilisateurs d’accéder à des données, programmes et applications à partir
de leur machine ou station de travail. Il peut s’agir selon le cas de gros systèmes, mini-
ordinateurs ou un réseau de micro-ordinateurs interconnectés".
65 DEUXIEME PARTIE

Les principales caractéristiques de ce type de système reposent sur la possibilité d’accès "on-line"
des utilisateurs aux applications, programmes et données à partir de leur station de travail,
l’absence de chemin de révision pour l’ensemble du processus et la possibilité d’accès au système
par des personnes non autorisées. Elle fait état des contrôles à mettre en place au cas où le
système informatique de l’entreprise serait composé d’un réseau de micro-ordinateurs
interconnectés, tels que :

• La mise en place d’une infrastructure de sécurité permettant d’assurer l’intégrité des


informations produites, l’absence de risque d’infection de l’entreprise par des virus,
l’absence d’accès non autorisé, et la non "destruction" du chemin de révision,

• L’utilisation de mots de passe pour l’accès aux logiciels d’application,

• La mise en place de contrôles physiques sur les terminaux comme le verrouillage du


terminal en cas d’inactivité au-delà d’une certaine période,

• Un journal de suivi des transactions et logs,

• Un firewalls au cas où l’entreprise utiliserait Internet.

La directive 1002 fait nécessairement référence à l’association de spécialistes pour la


compréhension du système informatique, la revue des applications ainsi que le contrôle des
données "alimentant" le système comptable.

Néanmoins, la norme 401 ainsi que les directives 1001 et 1002 proposées par l’IFAC ne
constituent pas un référentiel d’audit de la sécurité applicable à la micro-informatique dans le
sens où elles présentent des procédures de contrôle portant sur la sécurité de l’information
comptable selon les axes traditionnels de sécurité (disponibilité, intégrité et confidentialité) plutôt
que sur la sécurité de la micro-informatique elle-même.

2.2 SAC Report

Le SAC Report est un ouvrage composé de 10 volumes et traitant de l’audit et le contrôle des
systèmes d’information. La version originale a été publié aux Etats-Unis en 1987 par l’IAA et
traduit en français par l’IFACI41 en 1993.

41 IFACI (Institut Français des Auditeurs Consultants internes) - 40 Avenue HOCHE, 75008 Paris
66 DEUXIEME PARTIE

Celui-ci se compose de 10 modules organisés selon une architecture spécifique qui, selon les
professionnels de l’audit sécurité informatique, peut être représenté sous la forme d’un édifice
aux éléments interdépendants :

• Les deux premiers modules forment la toiture de l’édifice dans la mesure où ils traitent
des principes fondamentaux permettant une bonne utilisation de l’outil informatique à
savoir les modules 1 et 2 respectivement "management de l’audit et du contrôle interne"
et "les outils informatiques de l’audit",

• Les cinq modules suivants forment les "poutres" supportant l’édifice à savoir les modules
3, 4, 5, 6 et 10 respectivement "gestion des ressources informatiques", "gestion de
l’information et développement des systèmes", "audit des systèmes applicatifs",
"informatique départementale et individuelle" et "technologies nouvelles",

• Enfin le socle de l’édifice se compose des modules 7, 8 et 9 respectivement


"télécommunications", "sécurité" et "plan de secours"42.

Parmi les 10 modules que comprend le SAC Report, le module 8 traite spécialement de la
sécurité et représente la synthèse de ce qu’un auditeur doit savoir pour auditer la sécurité des
systèmes d’information. Dans ce module, sont exposés les contrôles fondamentaux à mettre en
œuvre pour assurer l’intégrité, la confidentialité et la disponibilité des données et ressources
informatiques.

Le module 8 aborde en 3 chapitres successivement la gestion de la sécurité, la sécurité physique


et la sécurité logique. Chacun de ces 3 chapitres aborde les concepts de risques liés à la sécurité
après en avoir rappelé le contexte, les mesures de contrôle à mettre en place ainsi que la
démarche d’audit.

Ce module rappelle en introduction le rôle de la direction générale en matière d’évaluation des


risques, d’établissement d’une politique de sécurité et de mise en place d’une structure
organisationnelle destinée à respecter les politiques et procédures.

42 Yvon Michel LOREAU – spécial SAC Report, revue française de l’Audit Interne - Avril 1993
67 DEUXIEME PARTIE

De même qu’en introduction sont listées les menaces qui pèsent sur les données et ressources du
système d’information.

Le chapitre relatif à la sécurité physique identifie les risques relatifs :

• Aux accès physiques non autorisés : accès aux zones informatiques et accès aux
télécommunications (câblage réseau, réseau téléphonique, etc.),

• A l’environnement : environnement physique et environnement d’exploitation


(risques en général d’origine humaine ou naturelle),

• Aux incendies et inondations qui représentent les 2 causes les plus fréquentes des
dommages subis par le matériel et les ressources informatiques.

La démarche d’audit préconisée consiste en :

• L’identification des "zones sensibles",

• L’examen des procédures d’autorisation d’accès,

• Le contrôle du système d’alarme et dispositif de surveillance,

• Le contrôle de l’alimentation électrique,

• L’examen du schéma de configuration physique (circuits des canalisations d’eau et


matériels de détection et d’extinction des incendies).

Le chapitre relatif à la sécurité logique traite de la sécurité des micro-ordinateurs en indiquant que
"les contrôles à mettre en œuvre doivent tenir compte de la valeur relative des informations, au
coût lié à leur protection et de la perte probable et potentielle liée aux risques encourus"43.

Ce chapitre fait également ressortir une distinction en matière de sécurité qu’il s’agisse de micro-
ordinateurs autonomes ou micro-ordinateurs connectés.

Dans le premier cas, le module 8 du SAC Report préconise :

• La protection des micro-ordinateurs et supports de stockage contre les risques de vol


et sabotage,

43 SAC Report – module 8 Sécurité page 41


68 DEUXIEME PARTIE

• La mise en place de contrôle d’accès par le biais de mots de passe et de profils


utilisateurs au cas où les ressources informatiques sont partagées entre plusieurs
utilisateurs,

• De mettre l’accent sur l’éthique personnelle au sein de l’entreprise pour lutter contre
le piratage des logiciels,

• De restreindre l’accès aux disquettes car la copie des informations qu’elles


contiennent est une opération facile à exécuter et difficile à détecter,

• La sauvegarde régulière des données et programmes,

• La lutte contre les virus informatiques en limitant autant que possible le partage des
micro-ordinateurs et l’utilisation de copies de programmes fiables tout en signalant la
difficulté de mise en oeuvre de cette mesure dans un monde communiquant.

Dans le second cas, le module 8 du SAC Report préconise la protection du réseau des risques liés
au transfert d’informations sensibles ou essentielles à l’organisation du fait que les micro-
ordinateurs se transforment en véritable outil de communication (réseaux LAN, WAN ou
connexion via lignes spécialisées, RTC, etc.)

En conclusion, il s’agit au même titre que la norme 401 de l’IFAC d’un référentiel sur la sécurité
des systèmes d’information puisqu’il aborde la sécurité des systèmes d’information selon les axes
traditionnels de confidentialité, d’intégrité et de disponibilité.

Néanmoins, il présente une démarche générale d’audit articulée autour des domaines suivants :

• Examen des politiques, procédures et directives de sécurité,

• Gestion et administration de la sécurité,

• Contrôle de la sécurité physique, y compris les risques liés à l’environnement,

• Contrôle de la sécurité logique y compris les contrôles concernant l’accès aux données
et aux programmes, les contrôles de modification et de maintenance des applications,
les pistes d’audit (chemin de révision) et les caractéristiques des logiciels de contrôle
d’accès.
69 DEUXIEME PARTIE

2.3 COBIT : Control Objectives

Le COBIT est un ouvrage composé de 5 fascicules et correspond à un véritable référentiel des


contrôles en environnement informatique. Il a été conçu par l’ISACA44 aux Etats-Unis et traduit
en France par l’AFAI45.

L’objectif du référentiel COBIT est de fournir au management un modèle de "gouvernance" en


matière de technologies de l’information qui les aide à comprendre et gérer les risques liés à ces
technologies. COBIT établit un lien entre les risques de l’entreprise, les besoins de contrôle et
problèmes techniques. Il s’agit en fait d’un modèle de contrôle permettant de satisfaire les
besoins de "gouvernance" en matière des technologies de l’information et d’assurer l’intégrité de
l’information et des systèmes d’information.

La deuxième édition de COBIT est parue aux Etats-Unis en 1998. Sa traduction et distribution
dans les pays francophones par l’AFAI a été effectuée en 2000. Elle a apporté de nombreuses
nouveautés par rapport à la première édition et en a corrigé les quelques imperfections.

Le COBIT a identifié 7 objectifs de contrôle de l’information reproduit ci-dessous :

• Intégrité : exactitude, justesse, validité et conformité,

• Disponibilité : au moment voulu, aujourd’hui et demain,

• Confidentialité : non divulgation aux personnes non autorisées,

• Efficacité : répond aux besoins des utilisateurs,

• Efficience : rapport qualité / prix,

• Conformité : respect aux exigences légales et contractuelles,

• Fiabilité : information appropriée pour gérer les opérations.

Ces 7 objectifs peuvent être regroupés selon "les impératifs de l’entreprise en matière
d’information"46 :

44 Fondation de l’ISACA (Information Systems Audit and Control Association) – 3701 Algonquin Road, Rolling Meadows IL 60008 USA
45 AFAI (Association Française d’Audit et de Conseil Informatique) – 88 rue de Courcelles, 75008 Paris
46 AFAI – Présentation 2ème version Cobit
70 DEUXIEME PARTIE

• Impératif économique comprenant l’efficacité et l’efficience des opérations, la


fiabilité des opérations et la conformité aux lois et réglementation,

• Impératifs de sécurité correspondant aux 3 axes traditionnels de la sécurité à savoir la


confidentialité, l’intégrité et la disponibilité.

Le COBIT comprend :

• Une synthèse qui correspond en une présentation et définition des concepts et


principes COBIT ainsi qu’un résumé du cadre de référence,

• Un cadre de référence qui décrit de façon détaillée les 34 processus de management de


l’informatique,

• Des objectifs de contrôle par la mise en place de 302 objectifs de contrôle détaillés et
correspondant aux 34 processus informatiques,

• Un guide d’audit qui comprend les points d’audit suggérés pour chacun des 34
processus de façon à faciliter les auditeurs informatiques à réviser les processus
informatiques par rapport aux 302 objectifs de contrôle,

• Des outils de mise en œuvre qui correspondent à des outils d’analyse et d’évaluation
des risques informatiques.

Il est destiné à trois publics différents47 :

• Le management pour l’aider à trouver le juste équilibre entre le risque et


l’investissement en contrôles,

• Les utilisateurs pour obtenir des garanties concernant la sécurité et les contrôles de
leurs services informatiques,

• Les auditeurs informatiques pour justifier leur opinion et/ou donner des conseils au
management sur les contrôles internes.

Maintenant on parle de troisième édition du COBIT dont la traduction en français date de 2002.
Par rapport à la précédente, nous n’avons pas été en mesure de connaître les modifications et
améliorations apportées.

47 AFAI – Synthèse Cobit


71 DEUXIEME PARTIE

Néanmoins on peut reprocher à ce référentiel le fait qu’il ne corresponde pas parfaitement aux
auditeurs généralistes que nous sommes, et que le modèle a adopté une méthode proactive
(orientée vers l’atteinte des objectifs) plutôt qu’une approche réactive (orientée vers la réduction
des risques).

L’aspect sécurité n’est abordé que dans le domaine support processus sécurité des systèmes qui
aborde 20 objectifs de contrôle en matière d’accès aux ressources, de sauvegarde, de sécurité des
données et programmes et enfin sécurité physique du matériel.

3 Les recommandations de l’OECCA et de la CNCC : incidence de l’informatique sur


les missions d’audit

Face aux risques informatiques et notamment ceux de la micro-informatique, l’OECCA48 comme


la CNCC49 ont émis un certain nombre de recommandations quant à l’incidence de l’informatique
sur leur mission d’audit.

3.1 Recommandations de l’OECCA

En janvier 1985, l’OECCA a émis la recommandation n° 21-0550 qui précise que "dans le cadre
de la prise de connaissance des procédures de contrôle interne et d’organisation comptable,
l’expert-comptable met à jour son dossier permanent sur le système comptable informatisée."

De même qu’en février 1985, l’OECCA a émis la recommandation n° 22-0751 qui rappelle les
risques d’audit issus du milieu informatique tels que :

• L’absence de séparation de fonctions,

• La limitation des accès,

• L’absence de documentation sur les logiciels et programmes,

• Les erreurs de paramétrages des logiciels.

Afin d’assurer la confidentialité, disponibilité et intégrité des données et ressources du système


d’information, ladite recommandation fait ressortir les points de contrôles généraux
informatiques suivants :

48 OECCA (Ordre des Experts Comptables et des Comptables Agréés) Conseil National : 109, Boulevard Malesherbes – 75008 Paris
49 CNCC (Compagnie Nationale des Commissaires aux Comptes)
50 Recommandation 22-05 : Particularités des travaux comptables dans le cadre d’une entreprise informatisée
51 Recommandation 22-07 : La révision en milieu informatisé
72 DEUXIEME PARTIE

• Contrôles portant sur l’organisation (séparation de fonctions),

• Contrôles relatifs à la sécurité, sauvegarde et reprise des travaux,

• Contrôles portant sur les traitements informatiques,

• Les contrôles sur le développement d’applications et la documentation.

En octobre 1985, l’OECCA émet une recommandation sur "le diagnostic des systèmes
informatisées." Celle-ci précise que "l’expert-comptable peut intervenir dans des missions
d’assistance à l’informatisation de ses clients (sécurité, évolution cohérence système, etc.)" tout
en précisant que sa mission ne va pas au-delà d’une mission de conseil, la nature et l’étendue de
ses travaux étant précisées dans la lettre de mission.

Enfin, en février 1986, l’OECCA émet une recommandation52 qui rappelle :

• L’incidence du milieu informatique sur l’étendue et l’évaluation du contrôle interne,

• Les problèmes (risques) qui découlent de l’informatique,

• Les spécificités de la prise de connaissance en milieu informatique,

• Les contrôles généraux portant sur l’environnement et les applications informatiques,

• Le rôle de l’expert-comptable pour l’évaluation du système de contrôle interne.

3.2 Recommandations de la CNCC

Le commentaire 9 de la norme 210253 précise notamment "l’évaluation du contrôle interne :

• De la fonction informatique : l’objectif est de s’assurer que le système fonctionne de


manière à garantir la fiabilité des informations produites, la protection du patrimoine, la
sécurité et la continuation des travaux,

• D’un système ou application : l’attention du commissaire aux comptes portera plus


particulièrement sur :
- La préparation et la saisie des données,
- Les contrôles relatifs à l’exploitation en vue de la prévention contre les erreurs et les
fraudes pendant le traitement,

52 Recommandation de l’OECCA : Les diligences normales à accomplir pour une mission de révision en milieu informatisé
53 CNCC – Appréciation du contrôle interne – Norme 2102
73 DEUXIEME PARTIE

- Les contrôles destinés à s’assurer de l’intégrité, de l’exactitude et de l’autorisation des


opérations à enregistrer,
- Le maintien et le suivi du chemin de révision,
- La documentation (qualité et mise à jour),
- La modification intervenue dans les programmes d’un exercice à l’autre.
De même qu’en 1995, la CNCC a publié la note d’information n° 2554 qui rappelle en particulier
que l’existence de systèmes informatiques ne modifie pas le schéma de la méthodologie d’audit,
mais elle implique des risques généraux tels que :

• La puissance et la fragilité qu’elle génère en facilitant la concentration des informations et


leur circulation,

• L’évolution technologique permanente,

• L’automatisation des traitements de l’information,

• La capacité de certains systèmes à générer des informations sans intervention humaine,

• La prise de conscience parfois insuffisante des risques liés à l’informatique."

Les recommandations ci-dessus précisent que la démarche d’audit reste inchangée, mais doit
inclure en raison de la spécificité de l’environnement informatique :

• La compréhension des caractéristiques de l’informatique lors de la phase de prise de


connaissance,

• L’appréciation du contrôle interne de l’organisation générale et de la fonction


informatique,

• L’appréciation de la nature et de l’étendue des travaux à réaliser au vu de la fiabilité


accordée au système informatique.

Le présent chapitre nous a permis de présenter en détail les différentes normes et référentiels en
matière d’audit de la sécurité micro-informatique, qui constituent à nos yeux un préalable à la
présentation de la méthodologie d’audit de la sécurité micro-informatique dans les PME.

54 Note d’information 25 – La démarche du CAC en milieu informatisé


74 DEUXIEME PARTIE

Chapitre 2 : Méthodologie d’audit de la sécurité micro-informatique dans les PME

La partie essentielle de la mission d’audit de la sécurité micro-informatique réside en "la


définition précise du périmètre et des objectifs recherchés"55. En effet, la mission d’audit de la
sécurité micro-informatique comme toute mission d’audit est basée sur une approche par les
risques. Cette méthode consiste à rechercher les points forts sur lesquels l’expert-comptable
pourra s’appuyer pour limiter ses travaux de contrôle.

L’étendue des contrôles sera fonction de l’orientation de la mission et du budget temps alloué à
ladite mission. Pour faciliter la détection des risques et des faiblesses de sécurité, nous utiliserons
un questionnaire de contrôle interne, considéré comme véritable outil d’audit de la sécurité
micro-informatique. Ce questionnaire sera complété par des contrôles subséquents, tels que
ressortant du programme de travail adapté.

1 Déroulement de la mission

1.1 Prise de connaissance de l’entreprise et de son environnement micro-informatique

Cette phase permet de mieux comprendre les spécificités de l’entreprise et son environnement
micro-informatique. Cette phase est d’une importance capitale pour la suite de l’intervention. Elle
est effectuée généralement au vu d’entretiens. La phase de prise de connaissance doit débuter par
un entretien avec les dirigeants de l’entreprise afin :

• De s’enquérir de l’organisation de l’entreprise,

• de comprendre son ou ses activités,

• De cerner la place de l’informatique et de la micro-informatique au sein de l’entreprise,

• D’avoir une première mesure de la perception de la sécurité de l’outil micro-informatique


dont dispose la Direction Générale.

L’entretien doit être de courte durée. Afin de sensibiliser davantage la Direction Générale quant
aux risques spécifiques à la micro-informatique, l’expert-comptable devra évoquer les aspects de
stratégie de l’entreprise en terme d’informatique, les notions de plan micro-informatique,
politique de sécurité informatique, etc., en soulignant que leur absence est un facteur de
vulnérabilité et de fragilité.

55 SAC Report – Module 8 : Sécurité page 59


75 DEUXIEME PARTIE

L’entretien suivant se déroulera en présence du responsable informatique ou à défaut la personne


chargée de l’administration de la micro-informatique. Si l’entreprise recourt à un prestataire de
service pour l’exploitation de son outil informatique, l’expert-comptable aura intérêt à prendre
rendez-vous avec le responsable informatique de ce prestataire de service.

Lors de cet entretien, l’expert-comptable doit aborder les aspects de configuration matérielle et
logicielle existante, mesures de protection et outils de sécurité mis en place par l’entreprise, etc.

La description du matériel nous renseigne sur :

• Le nombre de postes, marques, implantation,

• La configuration du système et des périphériques,

• Le type d’installation (réseau, postes autonomes, etc.),

• Le nombre d’utilisateurs, l’attribution des postes, l’utilisation qui en est faite, le niveau de
connaissance en micro-informatique, etc.

La description des logiciels nous renseigne sur :

• La liste des logiciels installés (comptabilité, gestion commerciale, paie, gestion des
stocks, etc.),

• L’identification générale des applications,

• Le cas échéant les applications intégrées au système comptable,

• L’origine du logiciel (acheté sur le marché ou développement interne),

Prière de se reporter à l’annexe n° 13 pour la grille d’analyse du matériel et des logiciels y


associés.

Les mesures de protection et outils de sécurité constitueront le second point à examiner avec le
responsable informatique lors de cette étape de prise de connaissance. L’étude des mesures de
protection et outils de sécurité mis en place par l’entreprise permettra d’avoir une première
perception de la sécurité logique et physique existant au sein de l’entreprise.
76 DEUXIEME PARTIE

• Sécurité physique : quels sont les moyens mis en oeuvre pour la protection des micro-
ordinateurs, des réseaux et de l’ensemble des périphériques contre les agressions en tout
genre ?

• Sécurité logique : quels sont les moyens mis en œuvre pour assurer la protection des
logiciels et des données ?

L’entretien effectué avec la Direction Générale de l’entreprise avait pour objectif de mesurer le
niveau de perception de la sécurité micro-informatique. L’entretien effectué avec le responsable
informatique ou à défaut le prestataire de service (en cas d’externalisation de l’activité
informatique) doit permettre de décrire de manière détaillée la configuration matérielle et
logicielle adoptée et décrire les techniques et outils de protection mis en place.

1.2 Analyse des risques

Alors que la phase de prise de connaissance de l’entreprise et de son environnement micro-


informatique avait pour objectif d’apporter un enseignement sur la perception de la sécurité
micro-informatique au sein de l’entreprise en identifiant les forces et faiblesses apparentes, cette
seconde étape consiste en un examen plus approfondi des facteurs de risques et la manière dont
l’entreprise agit pour les ramener à un niveau jugé acceptable.

La mise en place de techniques de protection et outils de sécurité doit être le résultat d’une
analyse exhaustive des risques qui pèsent sur l’entreprise et son outil micro-informatique.

Comme signalé au niveau du sous paragraphe 3.1 du chapitre 1 de la première partie, l’analyse
des risques consiste en l’identification des différents types de menaces pesant sur le système
d’information (menaces tant externes, qu’internes à l’organisation), d’évaluer leur impact et leur
probabilité de survenance, et de définir l’ensemble des scénarios pouvant atténuer ces menaces.

L’expert-comptable doit, lors de cette étape, analyser les risques liés à l’utilisation de l’outil
micro-informatique mais également les risques qui pèsent sur le système d’information en
général. En effet, en l’absence d’une analyse globale, celui-ci peut malencontreusement proposer
des recommandations de sécurité micro-informatique n’apportant en fait aucune amélioration en
raison des faiblesses de sécurité de l’entreprise en général.
77 DEUXIEME PARTIE

L’expert-comptable doit effectuer une analyse critique des facteurs de risques, que ce soit :

• Les risques liés à l’absence d’un plan micro-informatique et d’une politique de sécurité
globale,

• Les risques liés à l’absence de séparation de fonctions au sein de l’entreprise, tant au sein
du département informatique, qu’entre département informatique et utilisateurs,

• Les risques liés à l’absence de maîtrise des accès physiques et logiques à la micro-
informatique,

• Les risques liés à l’absence d’une politique de sauvegarde des programmes et données,

• Les risques liés à des développements d’applications mal maîtrisés et à l’absence ou la


carence de documentation des programmes,

• Les risques liés à l’absence de contrôle de la fiabilité des logiciels lors de leur installation,

Mais aussi :

• Les risques matériels accidentels ou intentionnels,

• Les risques de vol et de sabotage de matériel,

• Les risques de sabotages immatériels (virus),

• Les erreurs lors de la saisie des données, traitements, transmission d’informations, etc.

Pour chaque type de risque que l’expert-comptable aura pu identifier, il est nécessaire de se poser
les questions suivantes :

• Comment ces risques peuvent-ils se concrétiser ?

• Quelles seraient les conséquences de la réalisation d’une telle menace ? (cf. chapitre 3
paragraphe 1 de la première partie),

• Existe-t-il des procédures permettant d’atténuer ces facteurs de risque ?

Cette étape permettra d’une part de donner une orientation sur les besoins de sécurité de
l’entreprise et d’autre part les moyens théoriques développés lors de second chapitre de la
première partie pour garantir une sécurité optimale.
78 DEUXIEME PARTIE

Elle permettra donc au vu des entretiens effectués avec le responsable informatique d’aborder les
concepts de sécurité et la nécessité de mise en œuvre d’une politique de sécurité globale. Elle doit
fournir les renseignements suivants :

• L’existence ou non d’une politique de sécurité,

• Son degré de diffusion au sein de l’entreprise,

• L’effort de sensibilisation des différents utilisateurs,

• Les mesures de sécurité concrètes mises en pratique par facteur de risque identifié,

• Les outils de sécurité et leur adaptation en fonction de l’évolution des risques,

• Les procédures de contrôle de l’application de ces mesures.

L’ensemble des informations collectées lors de cette phase nous permet d’affiner l’identification
des points faibles en terme de sécurité micro-informatique devant faire l’objet de
recommandations, mais permet également d’identifier les points forts en terme de sécurité micro-
informatique. Ces points forts devront faire l’objet de contrôles supplémentaires afin de s’assurer
d’une part de leur réalité et de leur permanence d’application.

Néanmoins, avant de passer à la phase d’exécution du programme de travail et de tests à


proprement parler, il est nécessaire d’évaluer les mesures de contrôle interne relatives à la
sécurité de la micro-informatique.

1.3 Evaluation du contrôle interne

L’absence d’une organisation efficiente à l’utilisation de l’outil micro-informatique et un cadre


de contrôle interne adéquat sont sources d’apparition de menaces de tout genre.

Lors de cette troisième étape, l’expert-comptable doit évaluer les mesures de contrôle interne
relatives à la sécurité de la micro-informatique.

Cette évaluation est réalisée au vu des informations et renseignements collectés lors des phases
précédentes, mais également au vu de la documentation recueillie (procédures, notes de service,
etc.).
79 DEUXIEME PARTIE

La documentation56 que l’expert-comptable pourra recueillir en vue d’évaluer le contrôle interne


serait, sans être exhaustive :

• Informations sur la stratégie de l’entreprise en matière de sécurité,

• Plan de sécurité informatique qui formalise la stratégie en matière de sécurité,

• Travaux du comité de sécurité (s’il existe),

• Les procédures relatives à la sécurité telles que :

- Protection contre le risque incendie, dégât des eaux,


- Défaillances électriques et du système de climatisation,
- Stockage et restauration des données,
- Accès physiques et logiques,
- Contrôle a posteriori,
• Documentation sur l’analyse, la programmation et l’exploitation des applications
développées,

• L’inventaire des actifs informatiques,

• Les contrats de maintenance (hardware + software),

• Les contrats d’assurances spécifiques à l’informatique,

• Le budget informatique et budget de sécurité,

• Les rapports sur d’éventuels sinistres,

• Les procédures de gestion des mots de passe,

• Les tests éventuellement réalisés par le responsable informatique ou l’auditeur interne sur
les procédures de sauvegarde, reprise, restauration, accès physique et logique,

• Les inventaires des ressources informatiques accessibles aux informaticiens, utilisateurs,


etc.

56 Inspiré de l’ouvrage de Jean Paul Ravelec – Audit sécurité informatique : approches juridiques et sociales
80 DEUXIEME PARTIE

Mais afin de disposer d’un document de contrôle qui permette à l’expert-comptable de passer en
revue l’ensemble des aspects de la sécurité micro-informatique au sein de l’entreprise et de tester
les points forts et faibles relevés au vu d’un programme de travail adapté, nous avons élaboré un
outil d’audit de la sécurité micro-informatique. Il s’agit d’un questionnaire de contrôle interne
utilisé comme aide mémoire et qui ne peut en aucun cas se substituer à la présente méthodologie.

Ce questionnaire, figurant en annexe n° 14 a été construit volontairement sur tableur Excel afin
de pouvoir trier les réponses collectées.

En effet, afin de pouvoir disposer de réponses représentatives de la sécurité micro-informatique


qui prévaut au sein de l’entreprise, ledit questionnaire s’adresse au Directeur Général ou un
mandataire habilité, le responsable informatique ou à défaut le prestataire de service en cas
d’externalisation de l’activité informatique et aux utilisateurs.

Il comporte quatre thèmes :

• Organisation de l’informatique et environnement de contrôle,

• Efficacité de l’environnement micro-informatique (maîtrise des accès physiques et


logiques),

• Disponibilité de l’information (pérennité de l’activité et des traitements informatiques),

• Etudes et développements d’applications informatiques,

La présentation du questionnaire (outre le fait qu’il est bâti sur tableur Excel) ne déroge en rien à
la forme des questionnaires de contrôle interne généralement appliqués lors d’une mission
classique d’audit comptable et financier. En effet afin qu’il puisse être facilement utilisé par la
profession, nous n’avons pas voulu déroger à la règle de présentation des questionnaires
d’évaluation du contrôle interne.

Les questions posées sont des questions fermées auxquelles l’interlocuteur peut répondre par oui,
non ou non applicable (N/A). Si la réponse nécessite un développement ou des commentaires
particuliers, celle-ci doit être référencée dans un papier de travail et annexée au présent
questionnaire. De plus, chaque réponse impose une conclusion quant à l’évaluation du risque
(faible, moyen, élevé).
81 DEUXIEME PARTIE

Enfin, nous tenons à signaler que le présent questionnaire recense les questions afférentes à la
sécurité micro-informatique par thème. Néanmoins, pour en faciliter l’usage, l’expert-comptable
doit tenir compte des étapes précédentes de prise de connaissance de l’environnement micro-
informatique et de l’analyse des risques.

Au vu des conclusions auxquelles est parvenu l’expert-comptable, il est vain de poser aux
différents interlocuteurs les questions pour lesquelles la réponse serait à chaque fois N/A.
L’expert-comptable pourra donc décider de réduire sensiblement les questions à poser.

Finalement, il y a lieu de préciser que les forces et faiblesses relevées aussi bien lors de cette
étape que lors des étapes précédentes doivent être validées. L’expert-comptable devra procéder à
des tests ayant pour but de vérifier l’existence et la mise en pratique des mesures de sécurité
présentées au cours des entretiens et du questionnaire de contrôle interne. Ces tests seront
effectués auprès des utilisateurs en présence du responsable informatique.

2 Formulation des recommandations

L’expert-comptable doit, au vu des faiblesses relevées lors de la phase d’analyse des risques et
d’évaluation du contrôle interne de l’environnement micro-informatique et au vu des tests
complémentaires effectués au vu du questionnaire d’audit de la sécurité micro-informatique, faire
le point sur l’ensemble des faiblesses et dysfonctionnements relevés et préparer une note de
synthèse.

2.1 Synthèse des dysfonctionnements : la note de synthèse et le rapport d’audit

Le principe de la note de synthèse est de rapporter l’ensemble des faiblesses et


dysfonctionnements relevés lors de l’intervention mais également les points forts en termes de
sécurité micro-informatique.

Sa structure et sa composition doivent répondre à des règles de présentation tant sur la forme que
sur le fond, mais qui ne dérogent pas des notes de synthèse préparées par l’expert-comptable à
l’issue d’une mission classique d’audit comptable et financier.

En règle générale, la note de synthèse comprend quatre parties rappelées ci-dessous :


82 DEUXIEME PARTIE

• Le rappel du contexte de la mission, notamment les objectifs assignés par la lettre de


mission et une description des conditions d’intervention,

• L’exposé de la conclusion générale,

• L’exposé des recommandations prioritaires destinées à améliorer les faiblesses et risques


en matière de sécurité micro-informatique,

• L’exposé enfin de l’ensemble des faiblesses et dysfonctionnements relevés et des


recommandations subséquentes.

Comme signalé précédemment, la note de synthèse diffère selon qu’elle s’adresse à la Direction
Générale de l’entreprise ou le responsable informatique.

Dans le premier cas, elle est très synthétique (2 pages maximum) et rédigée dans des termes
simples, claires et compréhensibles pour attirer l’attention de la Direction Générale sur les
principales faiblesses de la sécurité micro-informatique de l’entreprise et susciter son
intéressement quant à la nécessité de la mise en place de mesures simples et efficaces.

En effet, n’avons nous pas insisté sur le rôle de l’expert-comptable en matière de sensibilisation
de la Direction Générale de l’entreprise sur les risques propres à la micro-informatique et la
nécessité de la mise en place de techniques de protection appropriées.

Dans le second cas, elle consiste en un compte rendu exhaustif employant parfois une
terminologie technique des anomalies rencontrées. De plus, chaque point faible ou risque doit
être étayé par des exemples indiscutables afin que le responsable informatique soit convaincu de
la pertinence des recommandations proposées.

Il y a lieu de souligner que ce document est d’une importance capitale car c’est sur la base des
recommandations proposées que l’entreprise entreprendra les corrections qu’elle jugera
nécessaires. Le temps imparti à sa rédaction ne doit en aucun cas être négligé et peut représenter
jusqu’au tiers du budget temps total alloué à la mission.

Le rapport d’audit formalise les conclusions de la mission. Il est établi sur la base de la note de
synthèse et destiné à la Direction générale de l’entreprise. Le contenu varie en fonction de l’objet
ou le type de mission d’audit. Néanmoins la structure d’un rapport d’audit de la sécurité micro-
informatique comprend en règle générale :
83 DEUXIEME PARTIE

• Le rappel du cadre de la mission comprenant les objectifs de la mission, le champ


d’investigation et les limites rencontrées, la durée de l’intervention et les principaux
interlocuteurs,

• Les principaux points faibles rencontrés par thème ou objectifs d’audit ainsi que les
risques et conséquences qu’encourent l’entreprise,

• Les mesures de sécurité à mettre en place,

• L’évaluation finale de la sécurité micro-informatique de l’entreprise.

Celui-ci est présenté en version projet à la Direction Générale de l’entreprise. La version


définitive du rapport d’audit sera remise par l’expert-comptable à la Direction générale au vu des
remarques et observations que celle-ci aura soulevées et au vu d’une réunion de validation avec
les différents responsables de l’entreprise. La réunion de validation comprendra, outre la
discussion du rapport d’audit, la discussion de la lettre de recommandations.

2.2 La lettre de recommandations

La lettre de recommandations constitue le produit final de l’expert-comptable au même titre que


le rapport d’audit. Elle est rédigée par l’expert-comptable au vu de sa mission d’audit de la
sécurité micro-informatique. Elle constitue en une proposition d’amélioration de la sécurité qui
prévaut au sein de l’entreprise et une ébauche d’action à entreprendre pour corriger une anomalie,
un point faible rencontré ou du moins en diminuer les effets.

La lettre de recommandations, comme son nom l’indique, comprend un ensemble de


recommandations qui à notre sens doivent être opérationnelles, réalistes et réalisables par
l’entreprise.

En effet, l’expert-comptable ne doit pas chercher à proposer des recommandations démesurées


par rapport aux moyens financiers de l’entreprise, qui pour une PME sont en général assez
limités. L’amélioration de la sécurité micro-informatique au sein des entreprises ne consiste en
aucun cas en l’accumulation des techniques de sécurité évoquées tout au long du deuxième
chapitre de la première partie.
84 DEUXIEME PARTIE

L’enjeu d’une lettre de recommandations est que l’entreprise mette en œuvre les consignes de
sécurité qui lui soient adaptées, compte tenu de sa taille, son effectif, l’importance de la place de
l’outil micro-informatique, les risques réels encourus, etc.

Les recommandations proposées par l’expert-comptable doivent également tenir compte des
moyens financiers de l’entreprise. Comme il a été souligné lors du chapitre concernant le principe
de maîtrise des risques, les mesures de sécurité à mettre en place par l’entreprise doivent
répondre à l’équation risque / coût de protection de mise en œuvre.

Peu de sécurité fait courir à l’entreprise de nombreux risques, mais trop de sécurité engendre des
coûts démesurés par rapport aux moyens financiers dont elle dispose. L’amélioration de la
sécurité micro-informatique au sein de l’entreprise consiste généralement en l’amélioration de
son organisation et du cadre de contrôle interne, des méthodes de travail, etc.

Les recommandations proposées par l’expert-comptable sont destinées à améliorer et la sécurité


de l’outil micro-informatique des entreprises, et l’efficience de son utilisation. Celles-ci seront
mieux accueillies par l’entreprise si elles permettent l’amélioration de la productivité, l’atteinte
des objectifs assignés par la Direction Générale, tout en garantissant une meilleure sécurité dans
l’exploitation dudit outil.

Pour que les recommandations soient facilement lisibles et compréhensibles sans être alarmistes,
l’expert-comptable peut opter pour une lettre de recommandations sous forme de tableau
comprenant les colonnes suivantes :

• Le thème ou domaine étudié,

• L’exposé de la faiblesse rencontrée avec le cas échéant un exemple concret,

• La présentation du risque encouru,

• La recommandation proprement dite

La lettre de recommandations doit comprendre en plus des colonnes ci-dessus, deux autres
colonnes à savoir :

• Les commentaires de la Direction,

• La personne concernée par le plan d’action et le délai d’exécution.


85 DEUXIEME PARTIE

Ces deux colonnes seront généralement remplies par la Direction générale au vu de la réunion de
validation de ladite lettre de recommandations. Les commentaires apportés par la Direction
Générale constituent en fait un véritable plan d’amélioration comprenant les personnes
concernées par les recommandations et le délai d’exécution.

Il appartient à l’expert-comptable de remettre sous forme définitive sa lettre de recommandations,


une fois que la Direction générale lui ait remis l’ensemble des commentaires et remarques.

L’expert-comptable reste le conseiller de l’entreprise. Sa mission s’arrête à la remise d’un rapport


d’audit et d’une lettre de recommandations. La mise en place des recommandations et des
réserves émanant de l’expert-comptable sont de la responsabilité de l’entreprise. Celui-ci ne peut
en aucun cas se substituer à l’entreprise pour la mise en place des recommandations qu’il aura
formulées.

Il pourra toutefois, à l’occasion d’un prochain audit ou à la demande de l’entreprise, faire le point
sur les recommandations mises en place par l’entreprise. Cet aspect constitue l’objet du
paragraphe suivant intitulé le suivi des recommandations.

2.3 Le suivi des recommandations

Le suivi des recommandations d’audit est essentiel. L’expert-comptable ne doit pas occulter cet
aspect à l’occasion d’une prochaine intervention, ou lorsque cette étape constitue en fait la
dernière étape de la mission d’audit de la sécurité micro-informatique, telle qu’elle ressort de la
lettre de mission.

Le suivi des recommandations consiste, en règle générale, à s’assurer que l’entreprise a mis en
place les recommandations formulées par l’expert-comptable sous forme d’un plan d’action.

Le plan d’action doit décrire les mesures de prévention et de protection que l’entreprise aura
retenue en vue d’améliorer la sécurité de son outil micro-informatique. Par thème ou domaine, il
devra indiquer les personnes chargées de la mise en place de telles mesures et le délai
d’exécution.

Le responsable informatique a un rôle majeur à jouer dans la mise en place de ces mesures, mais
il n’est pas le seul, car rappelons-le, la sécurité est l’affaire de tous.
86 DEUXIEME PARTIE

Lorsque les conclusions émanant du rapport d’audit ont conduit à émettre des réserves
significatives, il devient primordial que l’expert-comptable veille le plus rapidement possible à
l’application des recommandations, par exemple lors de sa prochaine intervention.

L’expert-comptable s’entretiendra avec la Direction Générale et ses principaux interlocuteurs


pour passer en revue les différentes recommandations. Pour chaque recommandation, il devra
s’assurer de la mise en place effective des propositions d’amélioration ressortant du plan
d’action. Au vu de ces entretiens, l’expert-comptable adoptera trois positions selon que :

• Les recommandations formulées n’ont pas été mises en place,

• Les recommandations ont été partiellement mises en place,

• Les recommandations ont toutes été mises en place.

Dans le premier cas, l’expert-comptable doit s’enquérir sur les raisons qui ont fait que l’entreprise
n’a pas jugé nécessaire de mettre en place lesdites recommandations. Il devra insister encore une
fois auprès de la Direction générale sur les risques qu’elle fait courir à son organisation et
proposer un nouveau délai d’exécution.

Dans le second cas, l’expert-comptable devra focaliser son attention sur les recommandations qui
n’ont pas été mises en place, en demandant à la Direction Générale de préciser les raisons d’un
tel choix.

Dans le troisième cas, l’expert-comptable devra effectuer quelques tests complémentaires afin de
s’assurer de la réalité des mesures de prévention et de protection adoptées par l’entreprise et telles
qu’indiquées par la Direction Générale à l’expert-comptable lors de l’entretien. Cependant, il
pourra également juger ne rien faire et se satisfaire des explications reçues.

Cependant, dans un environnement micro-informatique évolutif et en perpétuel changement, de


nouveaux risques peuvent apparaître, se développer ou encore se modifier (apparition de
nouveaux virus, banalisation d’Internet, mise en place d’une nouvelle configuration, etc.). Ces
risques font que les recommandations proposées lors de la précédente intervention sont devenues
caduques ou au contraire se confirment.
87 DEUXIEME PARTIE

L’expert-comptable aura donc tout intérêt à se pencher lors de l’intérim sur l’évolution de la
sécurité micro-informatique de l’entreprise, et de mettre à jour son dossier permanent et dossier
système. Ce travail de suivi et de mise à jour est d’autant plus facilité par le questionnaire de
contrôle interne qui permet de trier les réponses aux questions posées par niveau de risque (faible,
moyen ou élevé).

En fonction du niveau de risque retenu, l’expert-comptable pourra juger nécessaire d’effectuer


des tests d’existence et de permanence. Ces tests porteront sur tout ou partie des composantes de
la sécurité micro-informatique, à savoir :

• La politique de sécurité,

• Les protections physiques et logiques,

• La sécurité des études et développements d’applications informatiques

• Les protections des données et des applications.

3 Particularités d’une mission d’audit de la sécurité micro-informatique

3.1 Les points communs aux différentes méthodes

Il n’existe pas de méthode spécifique à l’audit de la sécurité micro-informatique. D’ailleurs, les


spécialistes s’accordent à dire qu’il est "vain de rechercher un plan type de travail universel"57.
Quelle que soit la méthode retenue, celle-ci doit comme toute mission d’audit être basée sur une
approche par les risques.

De même qu’il n’existe pas d’outils spécifiques à l’audit de la sécurité micro-informatique. Les
méthodes généralement utilisées sont réalisées sur la base d’entretiens et l’examen de documents,
notamment lors de la phase de prise de connaissance de l’environnement informatique de
l’entreprise.

La sécurité informatique peut faire l’objet d’un audit spécifique ou au contraire s’insérer dans un
audit plus général de la qualité du système d’information. La sécurité ne constituerait qu’un
chapitre ou domaine de l’audit sécurité informatique au même titre que les performances
techniques, l’efficacité fonctionnelle ou l’étude de la fiabilité d’une application informatisée.

57 M. Thorin – L’audit sécurité informatique : Méthodes, règles et normes


88 DEUXIEME PARTIE

Néanmoins, il serait vain d’auditer l’efficacité fonctionnelle d’un système ainsi que ses
performances techniques, si sa sécurité, considérée comme le fondement de la qualité d’un
système d’information n’est pas assurée.

A cet effet, et au même titre qu’une mission d’audit classique et / ou audit sécurité informatique,
toute mission d’audit de la sécurité micro-informatique comprend en règle générale :

• Une lettre de mission faisant ressortir l’objectif de la mission, les intervenants, les
obligations respectives des différentes parties, le champ d’intervention et le programme
général de la mission, le calendrier d’intervention et le budget,

• Une revue générale ou prise de connaissance de l’environnement de l’entreprise qui


permet de mieux comprendre les spécificités de son secteur d’activité, son
fonctionnement, environnement, etc.

• Une note d’orientation rédigée à la fin de l’étape précédente et permet de mettre en place
le programme détaillé de travail,

• Les investigations et contrôles qui sont généralement effectués à l’aide de techniques


d’entretiens oraux et / ou de questionnaires.

• Un rapport d’audit et lettre de recommandations.

3.2 Les particularités

Néanmoins, les méthodes d’audit de la sécurité applicables à la micro-informatique se distinguent


des autres types de mission d’audit en raison des aspects ci-contre :

a) La lettre de mission qui comprend outre les aspects évoqués ci-dessus, les points suivants :

• Les parties signataires (expert-comptable, entreprise et éventuellement prescripteur),

• L’objet et contenu de la lettre de mission : il est nécessaire de préciser le champ


d’investigation et le domaine couvert par l’audit de la sécurité informatique (audit général
de sécurité, audit spécifique des accès physiques et logiques, audit spécifique du plan de
sauvegarde, etc.) afin d’éviter toute ambiguïté,
89 DEUXIEME PARTIE

• Le calendrier d’intervention comprenant la durée de chaque étape, les prestations à


réaliser par chaque partie, les vérifications et validations avec l’entreprise et l’organisation
des réunions de travail sur l’état d’avancement de la mission,

• Les obligations de l’auditeur : correspondant généralement aux obligations de moyens


faisant ressortir les investigations, contrôles à mettre en œuvre,

• Les honoraires de l’expert-comptable,

• Les responsabilités des parties à l’exécution du contrat,

• Les clauses de résiliation de la mission et clauses de contentieux.

b) La revue générale qui comprend l’examen des points suivants :

• Le système informatique et la place de la micro-informatique dans ce système,

• L’identification du matériel, applications, informations et données à protéger,

• Les risques encourus par l’entreprise,

• La politique de sécurité de l’entreprise si elle existe.

c) Le rapport d’audit qui doit reprendre les aspects suivants :

• Le rappel du cadre de la mission comprenant les objectifs de la mission, le champ


d’investigation et les limites rencontrées, la durée de l’intervention et les principaux
interlocuteurs,

• Les principaux points faibles rencontrés par thème ou objectifs d’audit ainsi que les
risques et conséquences qu’encourent l’entreprise,

• Les recommandations prioritaires, avec pour chacune d’entre elles :


o Celles à appliquer immédiatement pour mettre fin à un niveau faible de sécurité,
o Celles à appliquer à court terme pour améliorer la sécurité sur des aspects du système
présentant des risques de moindre gravité,
o Celles à mettre en place pour améliorer d’une manière générale la sécurité du système.

• L’évaluation finale de la sécurité micro-informatique de l’entreprise.


90 DEUXIEME PARTIE

Il est nécessaire de rappeler que les recommandations émises par l’expert-comptable ne doivent
pas consister en un étalage des techniques et outils de sécurité. Elles constituent une proposition
d’un plan d’action pour corriger une anomalie, un dysfonctionnement ou une faiblesse
rencontrée. Pour être pratiques et opérationnelles, elles doivent :

• Prendre en compte les contraintes financières de l’entreprise et notamment de la PME,

• Permettre une réduction notable du risque (sans l’éliminer totalement),

• Intégrer la solution couverture des risques par l’assurance comme technique de protection
complémentaire.

Peu de sécurité constitue un facteur de risque, mais trop de sécurité entraîne également
l’apparition de menaces. L’amélioration de la sécurité micro-informatique passe par la mise en
place d’une meilleure organisation et cadre de contrôle interne.

3.3 Les possibilités d’application par l’expert-comptable

Afin de connaître l’implication des cabinets d’expertise comptable de petite et moyenne taille
dans l’audit de la sécurité micro-informatique et leur rôle de conseiller qui doit s’étendre
nécessairement à la sécurité micro-informatique, nous avons préparé un questionnaire que nous
avons remis à 60 professionnels membres de l’ordre des experts comptables. Ledit questionnaire
dont un modèle est joint en annexe n° 15 comporte 3 parties :

• La première partie correspond à l’identification du cabinet d’expertise comptable,

• La seconde partie correspond aux domaines d’intervention, le type de clientèle que


compte le cabinet et la nature des missions effectuées dont l’objectif est avant toute chose
de déterminer la taille du cabinet (petite, moyenne ou grande) et les domaines
d’intervention (expertise comptable, audit et commissariat aux comptes, conseil, etc.),

• La troisième partie correspondant à son rôle de sensibilisation de l’entreprise à la sécurité


micro-informatique.

Seuls 20 questionnaires nous ont été retournés dont les résultats figurent en annexe n° 14. Les
principales conclusions et remarques qui se dégagent de cette étude sont détaillées ci-contre.
91 DEUXIEME PARTIE

En raison de l’informatisation des entreprises, le champ d’audit doit être nécessairement élargi au
contrôle de la fiabilité des procédures informatiques et procédures de sécurité informatique. En
effet 79% des réponses reçues démontrent que les contrôles spécifiques à la fonction
informatique et / ou système informatique sont intégrés au processus d’évaluation du contrôle
interne.

Les grands cabinets d'audit font appel à des spécialistes en audit sécurité informatique. Ces
structures ont créé des départements spécialisés dans l’audit sécurité informatique, composés
généralement d’ingénieurs informatiques.

Pour les petites et moyennes structures, l’insuffisance de l'expérience des auditeurs financiers
pour réaliser ces types de mission d'audit de sécurité de la micro-informatique les amène à
délaisser cet aspect lors de la conduite de leur mission d'audit contractuel ou légal. 64% des
cabinet intérrogés avouent ne jamais avoir effectué de mission d’audit de la sécurité
informatique. De même que 64% des cabinets intérrogés affirment ne pas disposer des
compétences humaines nécessaires pour conduire ce type de mission.

Toute mission d’audit est effectuée selon un budget temps. Celui-ci est généralement arrêté au vu
de la phase de prise de connaissance de l’entreprise et de l’appréciation des risques d’audit. Pour
les petites structures, l’expert-comptable ne dispose pas toujours du budget nécessaire pour
réaliser des travaux de contrôle spécifique à la sécurité micro-informatique.

La mission de l’expert-comptable ou du commissaire aux comptes en matière d’audit de la


sécurité micro-informatique dépend de la qualité de ses interlocuteurs, et donc de la structure de
leurs entreprises clientes. Or pour ce type de clientèle, rares sont les entreprises qui disposent
d’un responsable sécurité.

A la question de savoir si l’entreprise fait appel au service de son expert-comptable pour l’assister
dans la mise en place d’une politique de sécurité informatique ou dans le choix d’outils de
sécurité, 71% ont affirmé par la négative, d’où un travail de sensibilisation à effectuer en la
matière.

L’expert-comptable a tout intérêt à sensibiliser davantage l’entreprise sur son rôle de conseiller
qui est général et qu’il peut apporter son assistance en matière de sécurité informatique.
92 DEUXIEME PARTIE

Mais faute d’interlocuteurs compétents dans le domaine de la sécurité micro-informatique,


l’expert-comptable risque de mener des interviews et des entretiens avec des personnes
insuffisamment sensibilisées aux risques induits par l’utilisation de l’outil micro-informatique.
Ces entretiens seront menés avec trois catégories de personne au sein de l’entreprise :

• Dirigeants et responsables PME : seront évoqués les aspects de stratégie de l’entreprise en


terme d’informatique, les notions de plan micro-informatique, politique de sécurité
informatique, etc.

• Responsables informatiques : seront évoqués les questions relatives aux outils de sécurité
mis en place, les techniques de sécurité pour assurer l’efficacité de l’environnement
informatique, l’exploitation de l’outil informatique, etc.

• Utilisateurs: seront évoqués les aspects de degré de satisfaction, convivialité des


applications logicielles utilisées, etc.

A la question pensez-vous que les entreprises ont conscience des risques et menaces qui pèsent
sur leur outil informatique, 64% ont affirmé non.

Tous ces points montrent un intérêt certain des professionnels pour ce type de mission.
Néanmoins, l’expert-comptable doit garder dans son esprit que la présente méthodologie ne
déroge en rien des méthodologies existantes en matière d’audit des états financiers et qu’en
raison de l’évolution permanente de l’informatique et des technologies associées, il devient
impératif d’intégrer dans ses missions d’audit des contrôles spécifiques à la sécurité micro-
informatique.

Le présent chapitre nous a permis de présenter en détail une méthodologie d’audit de la sécurité
micro-informatique dans les PME. Le chapitre suivant traitera plus en détail le programme de
travail au vu de l’évaluation du contrôle interne faite à l’aide du questionnaire annexé au présent
mémoire.
93 DEUXIEME PARTIE

Chapitre 3 : Programme de travail et conduite de la mission par thème

Cette étape consiste à tester par thème ou objectif de contrôle interne les points jugés forts lors du
questionnaire de contrôle interne. L’évaluation du contrôle interne de l’environnement micro-
informatique nous a permis de brosser un inventaire détaillé des forces et faiblesses de la sécurité
micro-informatique de l’entreprise, tout en précisant :

• Les risques non couverts,

• Les mesures de protection jugées satisfaisantes,

• Les mesures de protection jugées insuffisantes ou inadaptés aux risques encourus.

Les points faibles de la sécurité micro-informatique doivent faire l’objet de recommandations,


sans recourir à des tests complémentaires. Nous focaliserons nos contrôles sur le deuxième point,
à savoir les mesures de protection jugées satisfaisantes pour s’assurer de leur réalité, de leur
permanence d’application.

1 Organisation micro-informatique et environnement de contrôle

L’objectif des contrôles consiste à avoir l’assurance raisonnable que :

• L’utilisation de l’outil micro-informatique est efficace et adaptée à la stratégie de


l’entreprise,

• La séparation de fonctions tant au sein du département informatique qu’entre


informaticiens et utilisateurs est suffisante,

• Le système d’information répond aux besoins de l’activité et des différents utilisateurs.

Pour répondre à ces divers objectifs, l’expert-comptable doit axer ses contrôles sur les notions de
politique de sécurité, organigramme de la fonction informatique précisant le rôle et tâches du
département informatique, couverture des risques par une assurance, etc.

1.1 Politique de sécurité informatique

L’expert-comptable doit contrôler l’existence d’une telle politique précisant les principes sur
lesquels elle s’appuie, les moyens techniques mis en œuvre par l’entreprise pour prévenir,
détecter et limiter l’apparition de risques, les procédures de sécurité physique, logique et
organisationnelle, les actions de sensibilisation à entreprendre auprès des divers utilisateurs et les
procédés à adopter, etc.
94 DEUXIEME PARTIE

L’expert-comptable doit s’assurer que l’entreprise a réalisé une analyse des risques propres à la
micro-informatique avant la mise en place de toute politique de sécurité informatique, qu’elle est
diffusée à l’ensemble du personnel, que les directives sont connues et respectées par l’ensemble
des utilisateurs.

L’expert-comptable doit enfin s’assurer que la politique de sécurité informatique aborde les
moyens de protections mis en œuvre pour assurer la disponibilité, l’intégrité et la confidentialité
des données et de l’outil micro-informatique :

• Confidentialité et intégrité des données : outils de sécurité mis en place permettant le


contrôle des accès logique reposant sur les concepts d’identification, d’authentification et
d’habilitation,

• Disponibilité et continuité des traitements : techniques de sauvegarde adoptées (manuelles


ou automatiques), plan de reprise le cas échéant, etc.

1.2 Organisation de la fonction informatique et définition des fonctions

S’agissant de l’organigramme de la fonction informatique précisant le rôle et tâches du


département informatique, l’expert-comptable doit s’assurer de la séparation de fonctions
incompatibles au sein dudit département et entre informaticiens et utilisateurs.

L’absence de séparation précise des tâches incompatibles entraîne l’apparition de risques tels
que :

• L’incontrôlabilité des fonctions à haute technicité,

• L’unicité de compétence,

• L’accès non contrôlé aux différentes ressources informatiques,

• Etc.

L’expert-comptable doit se faire communiquer la définition précise des attributions et tâches du


personnel informatique. Au-delà de cette définition des postes, celui-ci doit s’assurer sur le
terrain que le personnel informatique n’occupe pas de tâches opérationnelles. Néanmoins, il reste
difficile d’assurer une correcte séparation des fonctions et tâches au sein des PME. En effet, au
sein de telles structures, le département informatique se compose généralement d’une personne,
voire deux au maximum.
95 DEUXIEME PARTIE

Celle(s)-ci se voi(en)t chargée(s) d’effectuer l’ensemble des tâches qui sont normalement
séparées au sein d’un département d’informatique centralisé. Il devient de ce fait important que
les utilisateurs puissent contrôler les résultats des différentes applications informatiques dont
dispose l’entreprise.

L’expert-comptable doit enfin porter son attention sur l’existence ou l’inexistence d’une politique
de ressources humaines couvrant au moins les aspects suivants :

• Critères d’embauche,

• Conditions de travail,

• Congés,

• Compensation et reconnaissance,

• Licenciement et mutation,

• Etc.

Le personnel informatique doit posséder un niveau de formation le mettant à même d’assurer les
responsabilités qui lui seront dévolus et doit posséder des qualifications et connaissances
générales en matière de :

• Matériels,

• Logiciels,

• Télécommunications,

• Sécurité physique et logique

• Architecture des données et SGBD,

• Etc.

Le dernier aspect à vérifier en matière d’organisation de la fonction et définitions des fonctions et


tâches est la satisfaction des différents utilisateurs de leur outil micro-informatique. L’expert-
comptable doit contrôler à ce niveau que :

• L’entreprise dispose d’applications logicielles répondant aux besoins des utilisateurs,

• Les services rendus par le service informatique sont jugés satisfaisants,


96 DEUXIEME PARTIE

• Les utilisateurs disposent d’une formation suffisante sur l’utilisation de l’outil micro-
informatique et des applications logicielles qui y sont associées,

• Etc.

1.3 Couverture des risques par l’assurance

A ce niveau, l’expert-comptable doit sensibiliser les entreprises recourant à l’assurance risques


informatiques sur l’importance des mesures de prévention demandée par la compagnie
d’assurance pour pouvoir être indemnisé en cas de sinistre touchant les biens assurés.

En effet, beau nombre d’entreprises s’exonèrent de mettre en place des mesures de prévention et
de protection arguant que l’assurance risques informatiques couvrira tout sinistre occasionné à
leurs matériels informatiques, supports de stockage, etc. L’expert-comptable a un rôle important à
jouer en matière de sensibilisation et de conseil auprès de ses entreprises clientes quant à
l’importance du respect de leurs obligations vis-à-vis de l’assurance.

Il doit s’assurer en premier lieu que l’ensemble des dispositions ont été prises pour protéger les
biens assurés (micro-ordinateurs, applications logicielles, supports de stockage, etc.) contre le
risque incendie, inondation, incidents techniques, etc. Il doit également s’assurer de la présence
d’onduleurs pouvant suppléer à toute panne de courant, d’un système de climatisation permettant
d’assurer une température ambiante au serveur, etc.

L’expert-comptable doit s’assurer par ailleurs, que l’entreprise effectue des sauvegardes
régulières de ses données, condition suspensive pour l’extension de garantie à la reconstitution
des médias. En effet, la perte des données entre la dernière sauvegarde et le moment de
survenance du sinistre n’est pas couvert par la compagnie d’assurance.

L’expert-comptable doit également s’assurer de l’existence d’un contrat de maintenance complet


garantissant les coûts de main d’œuvre, les frais de déplacement et les frais de transport des
pièces ou matériels de remplacement ainsi que les prix de ces derniers. Enfin, l’expert-comptable
doit s’assurer que l’entreprise a remis à la compagnie d’assurance une liste exhaustive du
matériel à assurer, avec indication des références, prix, date d’achat et date d’installation. Cette
liste doit être mise à jour régulièrement.
97 DEUXIEME PARTIE

2 Efficacité de l’environnement micro-informatique

L’objectif des contrôles consiste à avoir l’assurance raisonnable que :

• Les risques de dégâts accidentels ou volontaires ainsi que les risques de vols de matériels et
supports informatiques sont limités,

• Les données et programmes de l’entreprise ne peuvent pas faire l’objet d’accès non autorisés,

• L’environnement d’exploitation de la micro-informatique permet de garantir la


confidentialité, l’intégrité, la disponibilité et la fiabilité des systèmes informatiques.

Pour répondre à ces divers objectifs, l’expert-comptable doit axer ses contrôles sur les notions de
sécurité physique englobant la protection du matériel et périphériques contre les risques de vol,
d’incendie, d’inondation, d’incidents techniques, etc. et sécurité logique englobant la protection
de l’accès aux différents logiciels, la protection de l’entreprise contre les risques de piratage de
logiciels et la propagation de virus.

2.1 La sécurité physique

S’agissant de la sécurité physique de l’entreprise (environnement et accès), l’expert-comptable


doit contrôler l’existence ou non de procédures préservant l’outil micro-informatique des risques
accidentels, négligences et insouciance des utilisateurs, coupures de courants et de manière plus
générale les risques d’incendie, de dégâts des eaux et d’accès à l’outil lui-même.

Celui-ci doit s’assurer que :

• Les postes sensibles sont dotés d’onduleurs,

• Les imprimantes et stock de papier sont disposés à l’extérieur de la salle informatique,

• L’accès du personnel de nettoyage et de maintenance est contrôlé,

• Le câblage réseau est protégé des risques d’incendie et d’inondation,

• Le déplacement du matériel répond à une procédure écrite,

• L’installation d’un système de climatisation maintenant à l’intérieur de la salle informatique


une température constante et bloc de climatiseur se trouvant à l’extérieur de la salle,
98 DEUXIEME PARTIE

• les postes sont éteints systématiquement en fin de journée,

• Les postes ne sont éteints qu’une fois que les utilisateurs sont sortis des différentes
applications,

• Les utilisateurs d’ordinateurs portables sont sensibilisés sur les risques de vol qui pèsent sur
ce type de matériel,

• Les supports de sauvegarde sont disposés dans un coffre ignifugé,

• Les utilisateurs ne fument pas et ne prennent pas de boissons à proximité de leurs micro-
ordinateurs,

• Etc.

Il y a lieu de souligner que ces contrôles peuvent être effectués par simple observation des
habitudes de travail des différents utilisateurs, en traversant la salle informatique, etc.

Enfin, le contrôle de l’expert-comptable doit également porter sur les efforts de sensibilisation
des utilisateurs entrepris par l’entreprise par le biais du responsable informatique.

2.2 La sécurité logique

S’agissant de la sécurité logique de l’entreprise (contrôle et maîtrise des accès), l’expert-


comptable doit contrôler l’existence ou non de mots de passe permettant l’accès aux applications
logicielles de l’entreprise.

Celui-ci doit s’assurer auprès d’un ou de plusieurs ordinateurs qu’un mot de passe est
systématiquement demandé, qu’il ne s’affiche pas à l’écran lors de sa saisie, qu’il n’est connu
que de son "propriétaire", etc.

L’expert-comptable ne doit négliger le fait qu’un micro-ordinateur puisse être utilisé par
plusieurs personnes. Il devient à cet effet indispensable de s’assurer que l’entreprise a opté pour
une configuration pour chaque utilisateur définissant les limites d’accès en fonction des profils et
règles d’habilitation.

L’expert-comptable doit ainsi s’assurer que le contrôle d’accès logique est régi par des règles
appropriées et appliquées en permanence. Celles-ci englobent :
99 DEUXIEME PARTIE

• Les conditions d’attribution des mots de passe,

• L’existence d’une liste d’autorisation,

• Les conditions de mise à jour des mots de passe,

• La conformité des mots de passe aux règles de l’entreprise (longueur, syntaxe, etc.)

Le deuxième point concernant la sécurité logique sur lequel l’expert-comptable doit s’attarder est
la gestion des licences des logiciels et systèmes d’exploitation.

L’intégrité des logiciels étant menacée par le piratage, il devient primordial de s’assurer que des
campagnes d’information et de sensibilisation sont menées, rappelant la notion de piratage et les
sanctions auxquelles s’expose l’entreprise. Toutefois, nous pensons que l’expert-comptable doit
faire ici preuve de prudence et de tact, surtout lors de la remise de ses constatations à la Direction
Générale.

En effet, la presse58 fait souvent écho que près de 90% des logiciels installés en entreprise au
Maroc sont des logiciels piratés. Face à ce constat, l’expert-comptable a plutôt intérêt à
sensibiliser l’entreprise sur les risques qu’elle court en insistant sur le fait que la régularisation de
la situation est indispensable.

2.3 La protection des données

L’expert-comptable doit examiner et contrôler la protection de l’entreprise contre les risques de


virus. Il doit contrôler l’existence ou non d’une procédure de protection contre les virus.

Celle-ci doit être connue de l’ensemble du personnel et doit faire ressortir les mesures de
prévention en termes de gestion des connexions, compte rendu d’attaques virales, et les mesures
de détection et de protection en terme d’antivirus.

Il doit s’assurer que l’entreprise dispose d’un logiciel anti-virus et que sa mise à jour est
systématique, qu’il est activé sur chaque micro-ordinateur, que les disquettes ne sont utilisées
qu’après vérification par le responsable informatique, etc. L’idéal est que l’entreprise désactive
les lecteurs disquettes des différents micro-ordinateurs pour éviter tout risque d’infection. Mais
cette solution risque de ne pas obtenir l’adhésion du personnel.

58 Les dossiers de la Vie Economique – 1er février 2002


100 DEUXIEME PARTIE

L’expert-comptable doit enfin s’assurer que l’entreprise dispose d’un fire wall pour se protéger
contre les attaques virales à travers le Web, si elle dispose d’une connexion Internet.

3 Disponibilité de l’information

L’objectif des contrôles consiste à avoir l’assurance raisonnable que :

• L’intégrité et la sécurité des matériels et des logiciels sont assurées de manière satisfaisante,

• Les systèmes sont fiables, disponibles et adaptés à l’entreprise,

• Tout risque d’interruption est limité et que l’activité peut être poursuivie dans un délai
acceptable en cas de défaillance de l’outil micro-informatique.

Pour répondre à ces divers objectifs, l’expert-comptable doit axer ses contrôles sur les notions de
plan micro-informatique, de politique d’investissement et de maintenance du parc micro et des
logiciels, besoins de confidentialité de l’entreprise (classification des données à protéger),
sauvegarde des données et programmes, et éventuellement plan de secours.

3.1 La disponibilité du matériel

L’expert-comptable doit contrôler l’existence d’un plan micro-informatique précisant les


objectifs découlant de la stratégie de l’entreprise, les moyens à mettre en œuvre (matériels,
logiciels, personnel, etc.), l’évaluation de l’existant et des perspectives d’évolution, les mesures
de sécurité à mettre en œuvre, etc.

Le plan micro-informatique doit également faire ressortir les méthodes de développement


d’applications informatiques, les procédures de recette et de maintenance, etc. Il doit formaliser
les choix en matière de

• Matériels : caractéristiques des unités centrales, des périphériques d’entrée (clavier, souris,
etc.) de sortie (écrans, imprimantes, scanners, etc.) de stockage (disque dur, disquette, CD-
ROM, cartouche, etc.),

• Logiciels : logiciels systèmes ou système d’exploitation utilisé, logiciels applicatifs


(comptabilité, paie, gestion commerciale, etc.), utilitaires, etc.

• Réseaux : connexion des ordinateurs entre eux, existence d’un serveur central de fichiers,
connexion le cas échéant à Internet, etc.
101 DEUXIEME PARTIE

Concernant les aspects de politique d’investissement et de maintenance du parc micro et des


logiciels, l’expert-comptable doit contrôler les éléments suivants :

• Existence ou non d’un politique d’investissement faisant ressortir le recensement des besoins
à satisfaire, le responsable de ladite politique, etc.

• Les critères d’acquisition (homogénéité du matériel, compatibilité du matériel et des


logiciels, garantie des partenaires, etc.),

• Les critères d’installation (tests de fonctionnement lors de l’installation, fiabilité des logiciels
installés, compatibilité du matériel, etc.),

• Les conditions de maintenance (réalisée en interne ou auprès d’un prestataire de service,


délais, gestion et suivi des contrats, etc.),

• Le suivi des pannes (registre, fréquence, origine des pannes, etc.),

• La gestion du parc (renouvellement progressif, évolution, inventaire physique rapproché des


éléments de la comptabilité, etc.).

3.2 La disponibilité des logiciels

S’agissant du deuxième point, l’expert-comptable doit axer ses contrôles sur la classification des
données effectuée par l’entreprise et les mesures de protection mises en place. En effet,
l’entreprise doit avoir conscience de l’importance de la confidentialité des données de son
système d’information afin de mettre en place les mesures de protection appropriées.

L’expert-comptable, en collaboration avec la Direction générale de l’entreprise, peut identifier les


donnés jugées sensibles et les micro-ordinateurs les supportant. Une fois cette identification
effectuée, l’expert-comptable doit déterminer les personnes ayant autorisation d’accès à ce type
de données et doit examiner les règles d’autorisation d’accès à ces micro-ordinateurs (test qui
rejoint celui du contrôle de la sécurité logique de l’entreprise assurée par l’existence de mots de
passe, règles d’habilitation, etc.)
102 DEUXIEME PARTIE

3.3 La disponibilité des données : sauvegarde et archivage

L’expert-comptable doit s’assurer de la disponibilité des données de l’entreprise assurée par une
gestion appropriée des sauvegardes. Il doit examiner l’existence ou non d’une procédure de
sauvegarde faisant ressortir :

• Les fichiers et programmes qui doivent être obligatoirement sauvegardés et le nombre de


générations (jeux de sauvegardes),

• La fréquence et type de sauvegarde,

• Les outils de sauvegarde utilisés,

• La durée et lieu de sauvegarde,

• L’organisation des sauvegardes (par micro autonome, centralisé et automatique, etc.)

Il doit s’assurer par la suite auprès des utilisateurs de la réalité et de la correcte application de la
procédure de sauvegarde et, le cas échéant, contrôler l’existence ou non de sauvegardes
personnelles directement sur disque dur du micro-ordinateur de l’utilisateur. Il doit contrôler
l’existence de jeux de sauvegarde, leur lieu de rangement, délai de conservation, etc. Il doit
s’assurer que les bandes sont placées dans un lieu sûr comme un coffre ignifugé et non dans les
tiroirs du responsable informatique.

Enfin, en présence du responsable informatique, l’expert-comptable peut procéder à un test de


relecture des supports de sauvegarde afin de s’assurer que l’ensemble des données et programmes
sont sauvegardées.

Le dernier point à examiner (éventuellement) par l’expert-comptable est l’existence ou non d’un
plan de secours. Celui-ci est destiné à permettre le redémarrage de l’activité dans un délai de
temps raisonnable lorsque le plan de sécurité a été mis en défaut.

Généralement, il s’applique aux grandes entreprises disposant outre d’outils micro-informatiques,


de gros ou mini systèmes. Néanmoins, nous pensons que l’expert-comptable ne doit pas occulter
ce point sous prétexte qu’il est rare qu’une PME mette en place un tel plan de secours. Celui-ci
doit s’assurer de l’existence d’un plan de secours documenté, détaillant les procédures manuelles
à appliquer, le redémarrage des applications sous mode dégradé, la restauration des bibliothèques
de programmes fichiers, bases de données, etc.
103 DEUXIEME PARTIE

Celui-ci intervient à la suite d’un sinistre grave (risques catastrophiques) rendant indisponible le
système informatique de l’entreprise. Il doit indiquer :

• Le personnel concerné : définition écrite du rôle de chacun,

• Les matériels et machines de secours mis à la disposition de l’entreprise, même si en réalité


cette mesure est difficile à appliquer aux PME disposant d’un système unique,

• Les données et logiciels nécessaire : sauvegardes à jour, documentation des programmes,

• Les fournitures, stock de secours de pièces de rechange,

• Le recours le cas échéant à un centre de back up,

• L’installation provisoire du personnel dans des locaux intermédiaires.

4 Sécurité des études et développements d’applications informatiques

L’objectif des contrôles consiste à avoir l’assurance raisonnable que :

• Les systèmes fonctionnement correctement, qu’ils sont fiables et maîtrisables et répondent


aux attentes des utilisateurs,

• Des contrôles sur l’intégrité des logiciels ont été mis en place (qu’ils soient développés en
interne ou par recours à une SSII,

• Tous les développements ou modifications d’applications informatiques sont autorisés, testés


et documentés.

Pour répondre à ces divers objectifs, l’expert-comptable doit axer ses contrôles sur les
applications informatiques de l’entreprise, qu’elles soient développées en interne, ou en externe
auprès d’une SSII.

4.1 Développement interne

L’expert-comptable doit s’assurer que les applications développées en interne répondent à un


certain nombre de normes et standards, en terme d’analyse, de programmation, de mise en
exploitation, de documentation et mise à jour, etc.
104 DEUXIEME PARTIE

Il doit indiquer la méthodologie de programmation utilisée (méthode reconnue ou plutôt méthode


"maison"). Il doit également s’assurer que les applications développées répondent aux besoins et
attentes des utilisateurs et que les différentes étapes telles que décrites dans le paragraphe 3 du
chapitre 2 de la première partie ont été respectées, à savoir l’étude d’opportunité, l’analyse
fonctionnelle, l’analyse organique et le développement.

L’expert-comptable doit s’assurer auprès des différents utilisateurs qu’ils ont été convenablement
impliqués et associés au processus de développement de toute nouvelle application. A cet effet, il
doit s’assurer que les besoins ont été correctement pris en compte, que les applications n’ont été
mises en exploitation qu’une fois avoir obtenu la "recette" des utilisateurs au vu de tests, et que la
formation nécessaire a été dispensée. Il arrive parfois que les entreprises imposent aux utilisateurs
une application sans se préoccuper de savoir si celle-ci réponde bien à leurs attentes. Cette
attitude est préjudiciable à l’entreprise car les utilisateurs auront toujours tendance à rejeter ladite
application. L’objectif de fiabilité recherché à travers cette nouvelle application ne sera jamais ou
que partiellement atteint.

La conception d’un nouveau projet informatique doit être conduite par une équipe comprenant
non seulement des informaticiens, mais également un membre de la direction générale, un ou
plusieurs utilisateurs ainsi que des membres des organes de contrôle (audit interne, expert-
comptable, commissaire aux comptes, etc.).

Il est souhaitable que l’expert-comptable s’assure que tout nouvelle application développée les
personnes suivantes ont été impliquées :

• Les utilisateurs car sont les personnes les mieux placés pour vérifier l’adéquation de
l’application à leurs besoins, au vu de jeux d’essais,

• La participation d’un membre de la direction générale car doit permettre d’assurer la


maîtrise de la fonction informatique par les dirigeants de l’entreprise,

• Les membres des organes de contrôle car sont les seuls garants de la prise en compte des
éléments relatifs au contrôle interne. Ces derniers se traduiront à l’intérieur de l’application
par des contrôles programmés exhaustifs, et dans l’exploitation future des applications par
des procédures qui puissent s’assurer en permanence de l’intégrité des données, et de
produire des pistes d’audit.
105 DEUXIEME PARTIE

L’expert-comptable doit également contrôler la qualité de la documentation des programmes. En


effet, afin d’éviter tout problème d’exploitation en cas de départ du responsable informatique, les
applications de l’entreprise doivent être suffisamment documentées. Il doit s’assurer de
l’existence d’une documentation technique, d’une documentation d’exploitation et d’une
documentation utilisateurs.

4.2 Acquisition d’applications dites "du marché"

L’expert-comptable doit s’assurer que les conditions de support et de maintenance des progiciels
sont satisfaisantes. Il doit voir si l’activité de l’entreprise est dépendante des applications
développées et / ou maintenues par un prestataire de service.

Il doit s’assurer que l’application développée par le prestataire de service correspond


parfaitement aux spécifications du cahier de charges, que le chemin de révision a été pris en
compte et qu’en règle générale elle permet son :

• Auditabilité : vraisemblance des données en entrée, existence d’une centralisation périodique


des opérations, possibilité de retrouver l’origine des mouvements, etc.

• Sécurité,

• Conformité au cahier des charges,

• Efficacité : application qui répond à son objectif, aux attentes des utilisateurs mesurées en
degré de satisfaction et que le coût de son fonctionnement et de sa maintenance n’est pas
jugé excessif.

L’expert-comptable doit s’assurer de l’existence ou non d’un contrat de maintenance signé avec
un prestataire de service. Il doit examiner, le cas échéant, les clauses du contrat et s’assurer
qu’elles font ressortir :

• L’objet du contrat,

• La durée du contrat,

• Les redevances, facturation à la charge de l’entreprise (prix total, périodicité de facturation,


mode de règlement, etc.),
106 DEUXIEME PARTIE

• Le cahier des charges qui sera généralement annexé audit contrat,

• La protection et propriété des programmes (code source, licence d’exploitation, droit


d’usage, etc.),

• L’exclusivité d’utilisation de l’application,

• Les causes de cessibilité et de résiliation du contrat,

• Les responsabilités respectives des co-contractants,

• Le règlement des litiges.

L’expert-comptable doit également s’assurer que les modifications et changements de version


sont correctement testés et documentés avant leur installation et que le prestataire de service met
le cas échéant à la disposition de l’entreprise les codes sources des programmes.

Il doit s’assurer que les développements fait par les utilisateurs répondent à des besoins réels,
qu’ils ne sont pas redondants avec des programmes préexistants et qu’ils sont du moins
supervisés par le responsable informatique.
107 DEUXIEME PARTIE

CONCLUSION DE LA DEUXIEME PARTIE

L’audit de la sécurité micro-informatique peut représenter des enjeux important aussi bien pour
les dirigeants des PME que les experts comptables. Compte tenu de l’importance de l’outil
micro-informatique au sein de l’entreprise, il appartiendra à tout dirigeant de mettre en place une
organisation et des procédures de contrôle interne fiables.

Si les professionnels ont conscience de l’enjeu de la sécurité micro-informatique au sein de


l’entreprise, il n’en est pas de même pour les entreprises. Les techniques de sécurité ne sont pas
correctement appliquées par l’entreprise, par insouciance ou ignorance. Cette insuffisance de
sécurité fait courir à l’entreprise de nombreux risques.

C’est pourquoi nous pensons que l’expert-comptable et le commissaire aux comptes ont un rôle
important à jouer dans la sensibilisation de la Direction Générale quant aux risques informatiques
qui pèsent sur l’outil micro-informatique de leur entreprise et la nécessité de mise en place d’une
politique de sécurité. Toutefois, la micro-informatique connaît des évolutions technologiques
permanentes à tel point qu’il devient difficile de proposer une méthodologie de contrôle de la
sécurité micro-informatique au sein de l’entreprise.

Face à se constat, l’expert-comptable ou le commissaire aux comptes ont tendance à négliger la


nécessité d’inclure des contrôles spécifiques à l’informatique dans leur mission d’audit. Pour des
missions nécessitant une revue informatique, ils pourront faire appel à des spécialistes en la
matière. Néanmoins l’intervention de ces spécialistes est très coûteuse et demande un budget
temps important qui viendra inéluctablement affecter le budget global alloué à leur mission
classique d’audit.
108 DEUXIEME PARTIE

CONCLUSION GENERALE

La sécurité micro-informatique au sein de l’entreprise et notamment la PME s’obtient par la


gestion du risque réellement encouru et de ses composantes : menaces, vulnérabilités et pertes
potentielles. Il devient indispensable de connaître ces risques et ses composantes afin de proposer
des solutions et techniques adaptées à l’environnement micro-informatique de l’entreprise. La
réduction des risques spécifiques à la micro-informatique ne s’obtient qu’en agissant sur ses
composantes afin de minimiser l’impact d’une menace tirant profit d’une vulnérabilité du
système d’information.

La gestion efficace de la sécurité micro-informatique exige la mise en place d’une politique de


sécurité globale, impliquant l’ensemble du personnel de l’entreprise et exigeant une
sensibilisation permanente quant aux risques qui pèsent sur leur outil micro-informatique.

Elle consiste à choisir les mesures de prévention et de protection à même de réduire le risque à un
niveau jugé acceptable pour l’entreprise. Celle-ci doit être en mesure de déterminer la valeur des
composantes de son système d’information, le coût de leur protection et les pertes potentielles
qu’elle peut subir au cas où les menaces se réaliseraient.

Mais, afin de pouvoir proposer une méthodologie d’audit de la sécurité micro-informatique,


l’expert-comptable doit avoir des compétences suffisantes dans le domaine contrôlé. En effet,
l’évolution de la technologie fait qu’aujourd’hui, les applications informatiques deviennent de
plus en plus difficiles à contrôler (disparition de tâches manuelles, niveau d’intégration, non
respect du chemin de révision, etc.).
109 DEUXIEME PARTIE

Nous pensons que l’expert-comptable, de par sa formation, son expérience en tant que conseiller
externe de l’entreprise est en mesure de conduire des travaux d’audit spécifique à la sécurité
micro-informatique existante au sein de l’entreprise. Par ailleurs, celui-ci ne doit pas perdre de
vue qu’une organisation et un cadre de contrôle interne adapté, des procédures écrites, claires et
compréhensibles et le respect d’un minimum de règles de sécurité quant à l’utilisation de
l’ordinateur sont les garants d’une bonne sécurité.

La mission d’audit de la sécurité micro-informatique peut être conduite conjointement à la


mission d’audit comptable et financier, mais nous pensons qu’il est préférable que les deux
interventions soient effectuées distinctement.

En effet, même si les deux missions ont de nombreux points en commun et des similitudes quant
à l’approche adoptée, l’audit de la sécurité micro-informatique doit être distincte de celle de
l’audit financier afin que la valeur ajoutée d’une telle mission soit correctement perçue par la
Direction Générale. Le service attendu va au-delà d’une simple certification des comptes.

Il est important que l’expert-comptable propose une méthodologie reconnue et éprouvée par la
profession se basant sur un certain nombre d’étapes et aboutissant à des recommandations à
même d’améliorer la sécurité au sein des entreprises et notamment les PME.

Grâce à sa prise de connaissance préalable de l’entreprise contrôlée, l’analyse des risques et


menaces qui pèsent sur son outil micro-informatique, et l’évaluation du contrôle interne par le
biais d’un questionnaire, l’expert-comptable est en mesure d’aboutir à des conclusions
débouchant sur des recommandations concrètes et adaptées à l’entreprise, son environnement
micro-informatique et ses moyens financiers.

La méthodologie proposée dans ce mémoire nécessite la connaissance des concepts de sécurité.


Toutefois, dans un environnement technologique en perpétuel changement et constamment
innovateur, il devient primordial qu’une telle méthodologie ne se focalise pas sur les outils de
sécurité matériels et logiciels offerts par le marché, car elle risquerait d’être dépassée, inexploitée
voire ne permettrait pas d’atteindre les objectifs escomptés.
110 DEUXIEME PARTIE

Nous avons pensé élaborer le questionnaire de contrôle interne en guise de support d’audit sur
tableur Excel afin de pouvoir trier les réponses reçues en fonction du niveau de risque (faible,
moyen ou élevé) ou en fonction des interlocuteurs (Direction générale, responsable informatique,
utilisateurs). En fonction des réponses reçues, l’expert-comptable jugera nécessaire ou non
d’effectuer des tests pour s’assurer de la réalité et de la permanence des mesures de sécurité
mises en place par l’entreprise.

Nous espérons à travers le choix d’un tel mémoire avoir répondu aux objectifs recherchés en
montrant les aptitudes du professionnel dans la conduite d’une mission d’audit de la sécurité
micro-informatique. Nous espérons également que la profession mettra à profit ce travail,
l’enrichira par ses précieux commentaires et observations et le complètera au fur et à mesure des
évolutions des risques encourus par les entreprises et des techniques de sécurité existantes.
111 BIBLIOGRAPHIE

Bibliographie
1- Ouvrages :

IFACI : "Les principes de la sécurité informatique -guide d'audit" édition Clet 1991.

IFACI : "Guide de l’audit sécurité informatique" édition Clet 1985.

Roland SORTANT : "Système de gestion et audit d’un centre de production" Publications


IFACI 1993.

Claude FAIVRE et Yvon Michel LOREAU : "Audit de la micro-informatique" Publications


IFACI 1993.

Yann DERRIEN : "Les techniques de l'audit sécurité informatique" édition Dunod 1992.

Sylvain FAURIE et Philippe SARRET : "Audit sécurité informatique" nouvelles éditions


fiduciaires, Masson, collection expertise comptable 1991.

Marc THORIN : "L'audit sécurité informatique" édition Masson 1991.

Jean Paul RAVELEC : "Audit sécurité informatique – approches juridiques et sociales"


édition Delmas.

Guide ATH : "Audit et informatique – guide pour l’audit financier des entreprises
informatisées" édition Clet 1985.

Jacques GONIK : "Management de la sécurité des systèmes d’information" Collection


AFNOR 1996

Pierre GRATTON : "La gestion de la sécurité informatique" édition Vermette 1997

J.M LAMERE : "La sécurité informatique – approche méthodologique" édition Dunod 1987

Alain BUSNEL : "Le dirigeant face à l'informatique" Masson, collection Stratégies et


systèmes d'information 1995.

H.J HIGHLAND : "Comment protéger votre micro – matériel et logiciel" édition Masset
1985.

Philippe ROSE : "La criminalité informatique" édition que sais-je, PUF 1988

Jean Claude HOFF : "les virus – méthodes et techniques de sécurité" éditions Dunod 1991.
112 BIBLIOGRAPHIE

2- Normes et recommandations :

Conseil National de l’OEC : Manuel des normes d’audit légal et contractuel.

OECCA : Recommandations 22-07 "la révision en milieu informatisé".

OECCA : Recommandations 21-05 "particularités des travaux comptables dans le cadre d'une
entreprise informatisée".

CNCC : Note d'information n° 25 "la démarche du CAC en milieu informatisé".

CNCC : Commentaire 9 de la norme 2102 "Evaluation du contrôle interne".

SAC Report traduction IFACI 1993 :"Audit et contrôle des systèmes d’information".

IFAC : Handbook 1996 – norme 401 : "Audit en environnement informatique".

IFAC : Directive 1001 : "Audit en environnement informatique – cas des micro-ordinateurs


autonomes".

IFAC : Directive 1002 : "Audit en environnement informatique – cas des micro-ordinateurs


interconnectés en réseau".

COBIT 2ème édition traduction AFAI 2000 : "Gouvernance, contrôle et audit de


l’information et des technologies associées".

3- Lois et décrets :

Loi 11-99 formant Code Pénal – Dahir du 25.07.93

Loi 2-00 relative aux droits d’auteur et droits voisins – Dahir du 15.02.00

Loi 9-88 relative aux obligations comptables des commerçants

Loi 15-89 réglementant la profession d’expert-comptable et instituant un ordre des experts-


comptables

Décret 2-93-521 pris pour l’application de la loi 15-89

Loi 24-86 instituant l’impôt sur les sociétés

Loi 30-85 relative à la taxe sur la valeur ajoutée

Code Général de Normalisation Comptable


113 BIBLIOGRAPHIE

4- Périodiques, articles de presse et séminaires :

Bulletin d’Information Périodique – éditions Masnaoui n° 101 janvier 2001

Bulletin bimensuel : "La profession comptable – aujourd’hui et demain" n° 152 septembre –


octobre 1995

La revue fiduciaire comptable n° 180 nov. 1992- dossier conseil : "Comment assurer la
fiabilité de votre informatique".

Info Magazine -juillet 1999 : "Dossier sécurité -travail d'intérieur"

Info Magazine -décembre 2000 : "Dossier- virus la nouvelle génération"

ARBOR magazine de Bull France -décembre 1998 : "Dossier sécurité Internet"

Revue française de l’Audit Interne : "Spécial audit et contrôle des systèmes d'information" n°
114, mars -avril 1993 page 5 à 38.

Revue française de l’Audit Interne : "L'audit de la sécurité informatique" n° 104, mars 1991
pages 29 à 35.

Revue française de l’Audit Interne : "La micro-informatique : sécurité et réseaux" n° 110, mai
1992 pages 27 à 30.

Revue française de l’Audit Interne : "Approche méthodologique pour intégrer la sécurité des
systèmes d'information" n° 129, avril 1996 pages 13 à 16.

La sécurité informatique : Extrait projet fin d'étude ITA Essaouira.

Cours d'audit sécurité informatique DESS Paris Dauphine 96/97.

L’expert-comptable face à La problématique informatique – journée d’étude organisé par le


Conseil Régional des experts-comptables de Casablanca 1996.

L’audit de la sécurité informatique – séminaire organisée par l’AMACI mai 2002.

Livre blanc des PME édition du 05.12.00 Ministère chargé des PME

Répertoire du Patronat Marocain édition 2001

Kompass – version CD-ROM 2002.


114 BIBLIOGRAPHIE

5- Mémoires d’expertise comptable :

Etablissement et contrôle du plan de sécurité informatique dans les petites entreprises –


contribution aux missions de l’expert-comptable et du commissaire aux comptes. Pierre Yves
CHAMP, novembre 1989

Les facteurs d’optimisation de la sécurité en milieu informatisé. Françoise LE NOAN, 1992

Les professionnels des comptes et l’informatique – risques et principes de sécurité. Yves


Begon, mai 1997

Sécurité de la micro-informatique dans les PME – les techniques adaptées et leur audit par
l’expert-comptable. Alain Guyard, novembre 1998

6- Sites Internet consultés :

Observatoire de la sécurité des systèmes d’information et des réseaux (OSSIR) :


www.ossir.org

Service central de la sécurité des systèmes d’information (SCSSI) : www.scssi.gouv.fr

Club de la sécurité informatique français (CLUSIF) : www.clusif.asso.fr

Sécurité informatique (Michel Hoffmann) Foire aux questions

Site Internet de l’IFAC : www.ifac.org

Site Internet de l’AFAI : www.afai.asso.fr

Site Internet de l’ISACA : www.isaca.org

Site Internet Ministère de l’Economie et des finances : www.mcinet.gov.ma

Site Internet Ministère de la PME de l’Economie Sociale et de l’Artisanat :


www.mespmeart.gov.ma

RSA : www.rsa.com (cryptologie)

Disaster recovery journal : journal sur la continuité des systèmes informatiques, plan de
reprise, plan de back up, etc. www.drj.com
115 BIBLIOGRAPHIE

Site Internet de l’université d’Auckland : www.cs.auckland.ac.nz

Site Internet de l’université de Purdue, Coast hotlist : www.cerias.purdue.ac.nz


116 ANNEXES

ANNEXES

ANNEXE 1 : Glossaire des termes informatiques utilisés.

ANNEXE 2 : Description évolution de la micro-informatique.

ANNEXE 3 : Typologies des risques de l’APSAIRD.

ANNEXE 4 : Politique de sécurité informatique.

ANNEXE 5 : Assurances risques informatiques.

ANNEXE 6 : Articles de presse sur les actions de la BSA et statistiques de piratage des logiciels
informatiques.

ANNEXE 7 : Méthode d’éradication des virus informatiques.

ANNEXE 8 : Exemple d’une procédure de sauvegarde applicable aux PME.

ANNEXE 9 : Développement d’applications informatiques : documentation requise et mode de


passage de l’environnement test à l’environnement d’exploitation.

ANNEXE 10 : Scénarios réalisation risques informatiques.

ANNEXE 11 : Statistiques sur la sinistralité publiéées par l’APSAIRD et résultat enquête


conduite par la société IDC.

ANNEXE 12 : Questionnaire destiné aux entreprises et synthèse des réponses reçues.

ANNEXE 13 : Grille d’analyse du matériel et des applications logicielles.

ANNEXE 14 : Questionnaire d’audit de la sécurité micro-informatique à destination des experts-


comptables et synthèse des réponses reçues.

ANNEXE 15 : Questionnaire à destination des experts-comptables.


117 ANNEXES

ANNEXE 1

Glossaire des termes informatiques utilisés

Accès : (1) Il s’agit de toutes opérations se rapportant à des données situées dans une mémoire ou
sur un support de données. (2) Type d’interaction spécifique entre un sujet et un objet, se
traduisant par un flux de données de l’un vers l’autre

Accidents : Toute atteinte dont l’origine est en général liée à des éléments naturels ou à certaines
causes de nature involontaire. Les conséquences dues aux accidents sont tangibles et les effets se
manifestent sur l’environnement physique.

Active X : Standard élaboré par Microsoft pour permettre à différents logiciels de communiquer
entre eux quelque soit le matériel ou le langage utilisé.

Administrateur réseau : Chargé de la gestion d’un réseau il est responsable de l’enregistrement


des nouveaux utilisateurs et de la répartition des droits d’accès (voir droit d’accès) ainsi que
l’installation du système d’exploitation réseau et de la sécurité des données (voir sécurité
informatique) sur l’ensemble du réseau.

Agression : Concrétisation d’une menace qui provoquera une atteinte sur l’environnement
physique, logique ou organisationnel de la donnée et/ou de l’information.

Application : Terme généralement employé pour désigner un logiciel d’application utilisé avec
une interface graphique telle que Windows ou l’environnement de travail OS/2.

Authentification : Vérification de la source, du caractère unique et de l’intégrité d’un message,


d’une action ou d’une personne.

BIOS : Abréviation de "Basic Input Output System", qui correspond au programme système de
base dans un ordinateur. Il est disponible dès la mise sous tension, car il est stocké dans une
mémoire morte (ROM) sur la carte mère. Le BIOS est constituée d’un programme qui démarre
automatiquement après la mise sous tension de l’ordinateur. Il vérifie tous les composants
matériels les uns après les autres, les initialise et le cas échéant émet des messages d’erreur.
118 ANNEXES

ANNEXE 1

Bombe logique : Forme particulière de virus, qui se déclenche lorsque certaines conditions se
trouvent réalisée (le plus souvent, à une date ou une heure déterminées). Type de programme
dont les actions destructrices sont prédéfinies. Il s’agit généralement d’un programme dont la
mise en route s’effectue par son installation sur le disque dur de l’ordinateur.

Carte mère : La carte mère, généralement appelée "carte principale" constitue la carte centrale de
l’ordinateur. Elle supporte tous les composants nécessaires au fonctionnement de l’unité centrale
de traitement, de la mémoire de travail, des systèmes de bus, pour l’échange de données et pour
le pilotage des composants indispensables.

CD-ROM : de l’anglais "Compact Disk Read Only Memory". Il s’agit d’un support de données
dérivé des CD audio introduits sur le marché par Philips et Sony en 1985.

Cheval de Troie : (1) Programme informatique destiné à un ou plusieurs buts spécifiques, mais
qui en comporte d’autres, généralement illicites, à l’arrière plan et dont l’utilisateur n’a pas
conscience. (2) Le cheval de Troie est un programme informatique, en apparence inoffensif, mais
qui contient une fonction cachée. Celle-ci est utilisée pour pénétrer par effraction dans les
programmes d’un ordinateur, pour en consulter les donnés, pour les modifier ou encore les
détruire. Il peut contaminer un grand nombre d’ordinateur s’il est propagé par le réseau.

Code source : Le code source ou programme source est un programme formulé dans un langage
de programmation.

Compilateur : Programme de traduction d’un code source prélevé dans un fichier source.

Confidentialité : Spécification d’une donnée ou d’une information caractérisant son degré de


diffusion ou de mise à disposition. Elle traduit le fait qu’elle ne doit pas être connue de tout le
monde. Le niveau de confidentialité retenu pour l’information déterminera la sélection des
personnes habilitées à en prendre connaissance.

Connexion : Au début d’une session de travail sur le réseau, l’utilisateur doit s’identifier pour
faire état de ses droits en entrant un nom et le mot de passe qui lui correspond. L’ouverture d’une
session implique une connexion au système (en anglais "login").
119 ANNEXES

ANNEXE 1

Disponibilité : Caractérise une donnée ou une information dans un contexte d’attente de résultat.
La disponibilité qualifie la faculté de l’information d’être obtenue avec un temps de réponse
satisfaisant, et au moment opportun. Par extension, on y associe la notion de pérennité, c'est-à-
dire de conservation de cette disponibilité dans le temps.

Disque dur : Support mémoire le plus important de l’ordinateur. Il sert à installer le système
d’exploitation et les programmes d’application (voir logiciel).

Disquette : Forme la plus simple de support de stockage des données, qui peuvent être lues,
effacées autant de fois que l’on veut.

Données : En anglais data. (1) Les données sont des informations généralement codées. Elles sont
saisies, transmises, préparées, stockées en mémoire. Dans un sens plus étroit, on désigne par
données, seulement les données utilisées dans les applications, excluant celles qui représentent un
programme de traitement ou des paramètres. (2) Représentation conventionnelle et quantifiable
d’un fait, objet ou d’un état. La donnée représente la partie automatisable de l’information ; c’est
sur elle que s’effectuent les différents traitements informatisés.

Fichier : En anglais file. Un fichier est un ensemble de données qui ont un rapport entre elles. Le
système d’exploitation le considère comme une seule entité, la mémoire de l’ordinateur le
transforme et on peut le stocker sur un support de données.

Habilitation : Détermination par le processeur, en fonction de la politique de sécurité, de la


nécessité pour le destinataire potentiel d’accéder à des informations sensibles, d’en prendre
connaissance ou de les récupérer pour effectuer des tâches autorisées.

Identification : Technique utilisée pour identifier un utilisateur dans un système de traitement des
données. L’identification de l’utilisateur est attribuée par l’administrateur du système.

Informatique : Contraction des mots information et automatique. (1) Ce mot désigne la science de
la préparation et du traitement des informations. (2) Ensemble des applications de cette science,
mettant en œuvre des matériels, des logiciels et différents éléments qui lui sont rattachés.
120 ANNEXES

ANNEXE 1

Intégrité : caractéristique qui qualifie l’information comme étant exempte d’erreur ou de


falsification liée à des actes malveillants. Par extension, on lui associe d’autres notions telles que
la cohérence ainsi que les facultés de non répudiation que lui confèrent des dispositifs associés.

Interface : Une "interface" désigne généralement un composant qui sert à mettre en relation deux
systèmes et qui contient des données sous une forme compréhensible pour ces deux systèmes ;

Java : Langage de développement produit par la société Sun. Il permet de doter les documents de
format HTML (Hypertext Markup Language) de nouvelles fonctionnalités : animations
interactives, applications intégrées, modèles 3D, etc. Ce langage est orienté objet et comprend des
éléments spécialement conçus pour la création d’applications multimédia.

Ligne spécialisée : Ou ligne louée est une ligne de transmission de données que l’on loue –
généralement très cher – auprès de l’opérateur téléphonique. Elle permet une liaison permanente
avec des ordinateurs ou des réseaux éloignés. Contrairement à la ligne normale de bureau, la
ligne spécialisée dispose d’une numérotation particulière.

Logiciel : Ce mot désigne un programme. Il existe deux sortes de logiciels : les logiciels destinés
au système (comme le système d’exploitation) et les logiciels destinés à l’utilisateur appelés
communément "applications" ou "logiciels d’application".

Logiciel de contrôle d’accès : Logiciel spécialement conçu pour interdire tout accès non autorisé
à un système informatique ou à des ressources sensibles et produire des états sur tout incident
relatif à la sécurité.

Malveillance : Spécificité de l’origine de certaines menaces sur lesquelles des actions de


prévention pourraient avoir un effet retardateur ou éradicateur sur les risques qu’elles
représentent.

Menace : signe par lequel se manifeste ce que l’on doit craindre. C’est aussi une hypothèse
laissant présager l’arrivée d’un événement dangereux ou préjudiciable.

Merise : Méthode mise au point durant les années 1978 et 1979, et qui permet la conception et le
développement de systèmes d’information.
121 ANNEXES

ANNEXE 1

Micro-ordinateur : Ordinateur autonome bâti autour d’un microprocesseur. (Voir annexe suivante
description évolution de la micro-informatique).

Microprocesseur : Circuit intégré à puce qui dispose des fonctions d’un processeur complet.

Mirroring : Opération qui permet d’améliorer la sécurité des données. On écrit les mêmes
données en même temps sur deux disques durs situés sur un même contrôleur de disque dur. si
l’un des disques durs tombent en panne, les données ne sont pas perdues et l’on peut continuer à
travailler (technique dite du RAID).

Mot de passe : (1) Mot de code uniquement connu de la ou les personnes auxquelles son
utilisation est réservée, et qui donne droit à l’accès à certaines données, certains fichiers et à
l’exécution de certains travaux. (2) Chaîne de caractères utilisée pour authentifier une personne
s’étant préalablement identifiée auprès du système informatique.

Modem : De "Modulateur et démodulateur". Périphérique permettant de transmettre des données


informatiques par une ligne de téléphone. Cet appareil transforme des signaux électriques en
signaux analogiques, numériques envoyés par l’interface en série de l’ordinateur.

Onduleur : Le but d’un onduleur est d’empêcher l’altération des données ou du matériel due aux
variations de l’alimentation électrique. Il peut même se substituer à celle-ci en cas de panne
totale. Il existe trois catégories d’onduleur :

• Off line : commutation vers batterie en cas de coupure de courant,


• Interactive line : élévateur de tension qui rétablit le signal en cas de baisse du courant puis
commute vers la batterie si la coupure se prolonge,
• On line : fournit un signal constant et bascule sans commutation vers la batterie en cas de
suppression du courant.
Piste d’audit : En anglais "audit trail". Suite de traces ou preuves permettant à un auditeur de
reconstruire, à la suite d’un événement la manière dont les informations contenues dans des
instructions, rapports, états, fichiers de données ou autre enregistrements de l’organisation ont été
créés. Dans un environnement informatique, cela permet à l’auditeur de déterminer, le cas
échéant, la propriété des données initiales, le traitement ultérieur de ces données et l’application à
ces données de toute modification.
122 ANNEXES

ANNEXE 1

Politique de sécurité : Ensemble des lois, règles et pratiques qui régissent la gestion, la protection
et la diffusion des informations sensibles ou critiques d’une organisation. Une politique de
sécurité globale tient compte de nombreux facteurs n’appartenant pas au domaine de
l’informatique et des communications.

Prévention : Mesure de sécurité qui aura une action réductrice en évitant la naissance de
nouveaux risques, et en atténuant ou supprimant ceux qui existent et dont les origines sont
souvent de nature malveillante.

Procédure de sauvegarde : Dispositions établies pour la reprise de fichiers des données et d’autres
éléments du système et pour le redémarrage ou le remplacement du matériel informatique ou de
communication après une panne du système ou sinistre.

Progiciel : En anglais "software package". Ensemble de logiciels travaillant sur le même type de
données, partageant un certain nombre de programmes auxiliaires et surtout exportés et/ou
commercialisés de manière unitaire.

Programme : Un programme informatique est composé d’une série de fonctions et de définitions


en langage machine ou dans un langage de programmation plus évolué. Elles permettent à
l’ordinateur de procéder au traitement des données. On donne aussi aux programmes le nom
collectif de logiciel.

Programme antivirus : Il permet de protéger l’ordinateur, les logiciels et les fichiers contre les
virus ou d’autres programmes nuisibles. Les programmes antivirus consistent généralement en un
ensemble de programmes :

• Les détecteurs de virus recherchent des virus déjà identifiés par des suites de codes
caractéristiques,

• Les programmes de contrôle total interdisent l’exécution d’un fichier infecté.

• D’autres programmes qui tentent d’identifier les virus en contrôlant le comportement du


système.
123 ANNEXES

ANNEXE 1

Protection : Regroupe l’ensemble des actions qui ont pour vocation d’assurer la détection et la
neutralisation d’une agression, ainsi que l’atténuation de ses effets. Les mesures de protection
concerneront les environnements logiques, physiques et organisationnels.

RAM : De l’anglais "Random Access Memory". Mémoire vive servant à stocker les informations
tant que l’ordinateur est sous tension.

Réseau : (1) Un réseau se compose d’un moyen de communication et de tous les composants
reliés à ce moyen qui assure le transfert de l’information. Ces composants sont notamment les
ordinateurs hôtes, les commutateurs de paquets, les contrôleurs de télécommunications, etc. (2)
Un réseau informatique peut être local, ou plus élargi. Il permet la transmission de tout type de
données, échangée sous forme numérique et exploitable par l’ensemble du système relié en
réseau.

Risque : Danger plus ou moins probable émanant d’une menace et pouvant se traduire en terme
de probabilité de survenance et de niveau d’impact.

ROM : De l’anglais "Read Only Memory". Mémoire permanente contenant des informations sur
les opérations de base de l’ordinateur.

Routeur : Dispositif assurant la liaison entre deux zones séparées d’un réseau étendu ou entre
deux réseaux différents. Il établit également l’itinéraire de transmission optimal des paquets de
données.

RNIS : Réseau Numérique à Intégration de Services. Il s’agit d’un réseau entièrement numérique
qui permet de transmettre des données de toute nature à une vitesse plus élevée que les réseaux
téléphoniques classiques, et sans risques d’erreurs.

Sauvegarde : Seconde mémorisation des données dans un but de sécurité, qui n’est pas soumise
au traitement et donc n’est pas exposée à un danger de destruction.

Sécurité : (1) Etat définissant un système qui n’est exposé à aucun danger. La sécurité des
données et des informations pourra être exprimée par leurs qualités sur les plans de la
disponibilité, de l’intégrité et de la confidentialité. (2) Mecanismes et techniques de contrôle de
l’accès aux éléments du système afin de les protéger contre toute modification, destruction ou
vol.
124 ANNEXES

ANNEXE 1

Sécurité informatique : (1) Protection des ordinateurs, de leurs services et de leurs fonctions
contre toute menace naturelle ou humaine. Elle garantit que l’ordinateur exécute ses fonctions
critiques correctement et sans effet secondaire nuisible. Elle permet également de garantir la
confidentialité, l’intégrité et la disponibilité des données. (2) La sécurité informatique recouvre
l’ensemble des techniques de prévention et de protection contre tout types de risques. Elle peut
être scindée en :

• Sécurité physique,

• sécurité logique,

• Sécurité des données,

• Etc.

Serveur : Il s’agit d’un ordinateur dédié à l’administration d’un réseau informatique. Il gère
l’accès aux ressources et périphériques et les connexions des différents utilisateurs. Il est équipé
d’un logiciel de gestion du réseau.

SGBD : Le Système de Gestion de Base de Données désigne l’ensemble des fonctions permettant
de formuler des requêtes, de modifier et de stocker des données, ainsi que de définir la structure
des données et d’élaborer les fichiers requis.

SSII : Société de Services et d’Ingénerie en Informatique. Société proposant des services allant de
la conception d’un cahier de charges à la mise en place de solutions combinant programmes et
matériels.

Système d’exploitation : Il s’agit d’un logiciel qui détermine, gère et surveille le fonctionnement
de l’ordinateur. Il est donc indispensable qu’il soit installé pour que le matériel puisse
fonctionner. C’est lui également qui contrôle et gère les fonctions internes de l’ordinateur, ainsi
que les périphériques d’entrée et de sortie.

Système d’informations : (1) Ensemble organisé de moyens de toutes natures qui assurent la
survie, le stockage, le traitement et la distribution des informations au sein d’une organisation. (2)
Ensemble des circuits d’information dans une entreprise.
125 ANNEXES

ANNEXE 1

Système informatique : Ensemble composé des moyens de toutes natures qui assurent la saise, le
traitement, le stockage, la diffusion, et la transmission automatique des données au sein d’un
système d’information.

Ver : (1) Programme qui recherche l’espace mémoire inutilisé et se réécrit successivement
jusqu’à épuiser la mémoire de l’ordinateur et à bloquer le système. (2) On appelle ainsi un type
particulier de programmes nuisibles qui s’attaquent aux réseaux et ressemblent aux virus (voir
virus) dans les ordinateurs autonomes. Ils se propagent généralement sous forme de texte-source.
Lorsqu’ils parviennent au système-cible, ils se compilent en programme exécutable.

Virus : Un virus est un programme informatique de très petite taille qui possède la faculté de
s’introduire dans un programme hôte et de se reproduire, soit à l’identique, soit en se modifiant
chaque fois que celui-ci démarre. Son but est d’infecter autant de programmes que possible dans
autant de système sans être détecté.

Vulnérabilité : Indique une faiblesse ; la vulnérabilité se traduit par le fait qu’une menace (avec le
risque qu’elle fait naître) et la conséquence d’une atteinte (avec les enjeux induits) existent
simultanément.
126 ANNEXES

ANNEXE 2

Description évolution de la micro-informatique

Les dates clés de la micro-informatique :

1969 : Kenneth Thompson et Dennis Ritchie inventent le système d’exploitation UNIX.

1971 : Apparition du KENKAB 1, premier micro-ordinateur jamais réalisé.Ritchie et Thomson


de la société BELL réalisent la première version d’UNIX. INTEL lance le premier
microprocesseur de quatre bits 4004.

1972 : INTEL met sur le marché le 8008, microprocesseur à 8 bits. Nolan Bushnell fonde la
société ATARI et commercialise le premier jeu vidéo.

1973 : MICRAL 8008 : premier micro-ordinateur mis sur le marché, qui était plus un appareil de
contrôle en temps réel qu’un micro-ordinateur sticto-sensu.

1975 : L’ALTAIR de MITS, l’un des premier systèmes abordables en kit, fait la une du magazine
Américain "Popular Science". MICROSOFT, société fondée par Billes Gates et Paul Allen
réalise la première version de son BASIC pour le MITS.

1976 : APPLE COMPUTER, fondé par Steve Wodzniak et Steve Jobs, démarre avec l’APPLE 1.

1977 : APPLE sort l’APPLE 2 bâti autour du processeur 6502 de MOS Technologie avec un
système d’exploitation totalement différent du PETsorti par COMMODORE. Tandy sort le TRS-
80 et choisit le processeur Z80 de ZILOG totalement incompatible avec les deux précédentes
machines.

1978 : Un pojet de PC apparaît chez IBM sous le nom de DAMASTER. INTEL met sur le
marché le processeur 8086. Denis Hayes lance le premier modem pour micro-ordinateur
abordable.

1979 : SOFTWARE ARTS met sur le marché le premier tableur VISICALC. La société
MOTOROLA annonce le 68000, premier microprocesseur 16/32 bits.

1981 : Lancement de l’IBM PC. OSBORNE 1, lancé par la firme du même nom est le premier
micro-ordinateur portable.
127 ANNEXES

ANNEXE 2

1983 : APPLE lance le LISA, père du MACINTOCH.IBM améliore son PC en proposant le XT,
doté d’un disque dur de 10 Mo. LOTUS lance son tableur grapheur 1-2-3. MICROSOFT propose
la première version de Windows à IBM qui n’est pas intéressé.

1984 : APPLE lance le MACINTOCH à grand fracas. IBM lance l’AT super PC avec processeur
INTEL 80286 de 16 bits et un disque dur de 30 Mo.

1985 : APPLE lance les Laserwriter. ALDUS produit le logiciel PAGEMAKER. ATARI
commercialise l’ATARI 520 st. IBM annonce le processeur 80386.

1986 : MICROSOFT commercialise la version française de Windows 1.02.

1987 : IBM lance les PS/2, la technologie VGA, l’architecture Micro-channel et l’OS/2.

1988 : IBM lance le PS/2 8530-286 et revient au bus ISA. COMPAQ crée l’architecture EISA.
INTEL annonce le i80386X.

1990 : Commercialisation du PS/1 d’IBM. MICROSOFT lance la version 3 de Windows. APPLE


démocratise MACINTOCH.

1991 : IBM s’allie avec APPLE et MOTOROLA. MICROSOFT lance la version 5 du DOS.

1993 : INTEL sort le processeur Pentuim 60. MOTOROLA commercialise le PowerPC.


MICROSOFT sort le Windows NT.

1995 : MICROSOFT commercialise le Windows 1995.

Etc.
128 ANNEXES

ANNEXE 3

Typologies des risques de l’APSAIRD

Typologies des risques :

A- Accidents :

A1 : Accidents physqies : incendie, explosion, implosion.

A2 : Pannes matérielles et / ou logiques : Il s’agit de l’ensemble des causes d’origine ou de


révélation interne entraînant l’indisponibilité ou le dysfonctionnement total ou partiel du système.

A3 : Evenements naturels : tels que l’inondation, la tempête, le cyclone, l’ouragan, l’avalanche, le


glissement de terrain, les phénomènes sismiques et volcaniques.

A4 : Perte de services essentiels : Il s’agit de l’ensemble des causes d’origine externe entraînant
l’indisponibilité ou le dysfonctionnement du système.

A5 : Autres risques accidentels physiques : Il s’agit de l’ensemble des causes d’origine interne ou
externe au système endommagé qui ont conduit à son endommagement accidentel partiel ou total.

E Erreurs :

E1 : Erreurs d’utilisation (logiques) : erreurs de saisie et transmission des données quelqu’en soit
le moyen, erreurs d’exploitation du système.

E2 : Erreurs de conception et de réalisation de logiciels et procédures d’application.

M Malveillances :

M1 : Vol de matériels principaux ou accessoires.

M2 : Fraude : utilisation non autorisée des ressources du système d’information, conduisant à un


préjudice évaluable monétairement pour la victime, essentiellement formé par le détournement de
bien au profit du criminel.
129 ANNEXES

ANNEXE 3

M3 : Sabotage physique : action malveillante conduisant à un sisnistre matériel de type A1 ou


A2.

M4 : Ataque logique : utilisation non autorisée des ressources du système d’information,


conduisant à un préjudice au moins qualitatif pour la victime se traduisant essentiellement par
une perte d’intégrité et / ou de disponibilité, entraînant le plus souvent un profit indirect pour le
criminel et / ou le commanditaire éventuel.

Sabotage immatériel

Infection informatique Sabotage "manuel"

Programme "simple" Programme auto-reproducteur

Bombe logique Ver

Cheval de Troie Virus

M5 : Divulgation : utilisation non autorisée des ressources du système d’information, entraînant


la divulgation à des tiers d’informations confidentielles.

M6 : Autres : grèves, pertes ou indisponibilité de personnel, contrefaçon de logiciels, etc.

Conséquences :

Directes :

C1 : Matérielles : frais d’expertise, de déblaiement, de réparation ou de remplacement des


matériels endommagés.

C2 : Non-matérielles : Frais d’expertise et de restauration des éléments non-matériels du système


atteint : système d’exploitation, données, programmes, documentations, etc.
130 ANNEXES

ANNEXE 3

Indirectes :

C3 : Frais supplémentaires : ensemble des frais correspondant à des mesures conservatoires


destinés à maintenir pour le système des fonctionnalités et performances aussi proches que
possible de celles qui étaient siennes avant le sinistre jusqu’à remise en état (matériel et non-
matériel). Ou pertes d’exploitation : pertes de résultat d’exploitation dues à des frais
supplémentaires et / ou à des pertes de revenu directes ou indirectes (pertes d’affaires, de clients,
d’image, etc.).

C4 : Pertes de fonds et biens : pertes de fonds ou de biens physiques, pertes d’informations


confidentielles, de savoir-faire, pertes d’éléments non "reconstituables" du système évaluées en
valeur patrimoniale.

C5 : Responsabilité civile encourue par l’entreprise ou l’organisme du fait des préjudices causés à
autrui, volontairement ou pas, du fait de la survenance d’un sisnistre dans son enceinte juridique.

C6 : Autres pertes : qualitatives, réglementaires, déontolongiques, etc.

Lien entre types de risques et les conséquences physiques

Conséquences Disponibilité Intégrité Confidentialité


Types de risques (D) (I) (C)
A1 ***
A2 ***
A3 *
A4 **
A5
E1 * ***
E2 ***
M1 **
M2 ***
M3 **
M4 ***
M5 ***
M6 * ***
131 ANNEXES

ANNEXE 4

Politique de sécurité informatique

4.a : Exemple de charte de la sécurité informatique :

Charte :

Le service de sécurité informatique a pour mission de guider et de soutenir les organisations dans
leur action de protection des biens informatiques contre toute divulgation, modification,
destruction ou refus, intentionnels ou non, et ce grâce à la mise en œuvre de politiques,
recommandations et procédures appropriées en matière de planification de la sécurité des
systèmes d’information.

Responsabilités :

Le service de sécurité informatique est responsable du développement et de l’administration de


plans tactiques comprenant au moins les étapes suivantes :

1. Développement de procédures et recommandations de sécurité conformes à la vision de la


direction générale,

2. Mise en œuvre d’un programme de sécurité prévoyant la classification des données et


information à protéger,

3. Elaboration d’un programme de formation et de sensibilisation des différents utilisateurs à


la sécurité informatique,

4. Définition des procédures de sécurité physique, sécurité logique, du personnel et de


l’information,

5. Participation à la conception et au développement d’une nouvelle application


informatique, dans le but de veiller à l’intégration des consignes de sécurité tout au long
de la phase de dévellopement.

6. Le contenu et fonctionnement du plan de survie ou continuité d’exploitation en cas


d’incident grave ou de sinistre.
132 ANNEXES

ANNEXE 4

Sécurité des micro-ordinateurs :

1. Règle n° 1 : Protection physique. Afin d’assurer la protection physique des micro-


ordinateurs et de l’ensemble des ressources du système informatique, l’entreprise doit
mettre en place des règles de sécurité élémentaire visant à diminuer les risques d’incendie,
d’inondation, d’erreurs intentionnels et d’incidents techniques. Parmi ces techniques de
prévention nous pouvons citer :

Techniques de prévention Techniques de protection


Portes coupes feu, Système de détection de fumée et incendie,
Utilisation de faux plancher, Extincteurs manuels et RIA,
Implantation stock de papier à l’extérieur Coffre fort ignifugé à l’extérieur de la salle
de la salle informatique, informatique,
Installation bloc de climatisation à Siphons de sol pour évacuation écoulement
l’extérieur de la salle, d’eaux.
Absence conduite d’eau traversant les Onduleurs couvrant les postes sensibles,
salles. Onduleurs couvrant l’ensemble du réseau et
périphériques,
Groupe électrogène pour les entreprises
situées dans des zones de délestage,
Climatiseur maintenant une température
ambiante dans la salle informatique,
Maintenance préventive du climatiseur,
Maintenance du matériel et logiciels,
Stock de secours pièces de rechange.

2. Règle n° 2 : Protection logique.. Afin de réglementer et contrôler l’accès au système ou à


des ressources informatiques, l’entreprise doit mettre en place des mots de passe simple
d’utilisation, connus que par leurs propriétaires et le responsable sécurité en tant
qu’administrateur du système. Le choix de l’authentifiant constitue un élément important
de la politique de sécurité. Il doit être personnel, comporté au moins cinq caractères
alphanumériques, ne jamais apparaître sur l’écran lors de sa saisie, être modifié
régulièrement, etc.
133 ANNEXES

ANNEXE 4

3. Règle n° 3 : Protection des données. Afin de garantir l’intégrité et la non altération des
données, l’entreprise doit veiller à ce qu’elle ne fasse pas l’objet d’une attaque virale. A
cet effet, le responsable sécurité doit sensibiliser, par affichage de notes de service, par
courrier électronique, les différents utilisateurs des ressources informatiques. Celui-ci doit
s’assurer que le logiciel antivirus est activé sur chaque station de travail et que l’échange
de disquettes avec l’extérieur est prohibé.

4. Règle n° 4 : Acquisition de matériels ou logiciels. Au vu de besoins professionnels


justifiés. Les commandes doivent être passés auprès de fournisseurs reconnus et
homologués. Dès l’installation des matériels et des logiciels, l’inventaire des
immobilisations est mis à jour. Un contrat de maintenance doit être signé, fixant le coût
des interventions, délais d’exécution afin que les micro-ordinateurs et logiciels puissent
être maintenus et dépannés le plus vite possible.

5. Règle n° 5 : Procédure de sauvegarde. La fréquence et le mode de stockage des données,


fichiers, et logiciels doivent être définis et documentés dans une procédure écrite et
diffusée à l’ensemble du personnel (voir annexe n° 8 : exemple procédure de sauvegarde).

4.b : Mission et tâches du responsable de la sécurité informatique :

Le responsable de la sécurité informatique a un rôle primordial à jouer, et ses tâches sont


multiples :

Mission :

• Il doit assister le comité de sécurité dans la détermination et la rédaction d’une politique de


sécurité informatique,

• Il doit garantir à la direction générale une continuité d’exploitation quel que soit le cas
d’incident qui se produit,

• Il doit disposer de moyens humains et matériels suffisants,

• Il doit développer les règles générales de sécurité et procédures à respecter par l’ensemble du
personnel de l’entreprise,
134 ANNEXES

ANNEXE 4

• Il tient informé la Direction Générale de l’état de sécurité informatique de l’entreprise,

• Il élabore et suit le plan de sécurité informatique et est responsable de son exécution,

• Il doit former et sensibiliser le personnel aux règles élémentaires de sécurité,

• Il doit procéder à tout contrôle ou vérifications utiles pour s’assurer de la mise en œuvre
effective des décisions et recommandations retenues,

• Il doit être au courant des dernières technologies dans le domaine de la sécurité et assurer une
"veille technologique".

Les tâches :

• La classification des données,

• La définition de procédures et règles pour le traitement de l’information et le transfert des


données,

• La définition de procédures et normes de sécurité en terme d’études, de développements


d’applications et d’installations de nouveau système informatique,

• L’établissement de procédures de contrôle en terme de maintenance du matériel et logiciel,

• L’élaboration le cas échéant d’un plan de secours, dont l’objectif est de permettre la poursuite
de l’exploitation de l’entreprise lorsqu’un incident grave a mis en défaut le plan de sécurité et
a rendu inutilisable l’outil informatique et par extension le système informatique.
135 ANNEXES

ANNEXE 5

Assurances risques informatiques

5.a : Questionnaire remis aux compagnies d’assurance :

QUESTIONNAIRE DESTINE AUX COMPAGNIES


D’ASSURANCES

1- Identification de l’entreprise :
Nom ou Raison sociale :

Téléphone :

Fax :

Identité de la personne répondant au présent questionnaire :

2- Assurances risques informatiques :


Existe-t-il des contrats d’assurance couvrant les risques spécifiques à l’informatique ?
Oui :
Non :
Si oui, quels sont les différents types de contrat ?

Quels sont les biens assurés ?

Quels sont les risques assurés ?

Quelles sont les garanties couvertes par l’assurance risque informatique ?


136 ANNEXES

ANNEXE 5

Est-il possible d’effectuer une extension de garantie ?


Oui :
Non :
Si oui, quels sont les garanties (dommages) couvertes ?

Quels sont les types d’informations et renseignements demandés à l’assuré avant signature de
tout contrat d’assurance risque informatique ?

Les contrats d’assurance couvrant le risque informatique font-ils référence à des conditions
spéciales?
Oui :
Non :
Si oui, indiquer sommairement lesquelles?

Quelles sont les entreprises qui recourent aux assurances risques informatiques ?
Multinationale :
Grand groupe marocain
PME
Jeunes promoteurs :
Autres (à préciser) :
137 ANNEXES

ANNEXE 5

5.b : Descriptif des assurances couvrant les risques informatiques

Définition des biens assurés :

La garantie porte sur le matériel destiné au traitement de l’information désigné aux conditions
particulières de chaque contrat d’assurance et comprenant :

• Les unités centrales et de contrôle, les périphériques y compris les imprimantes, qui leur
sont liés ainsi que les logiciels de base fournis par le contructeur,

• Les supports d’informations magnétiques, disques, disquettes, cassettes magnétiques,


cartes et bandes perforées, destinés à être utilisés sur les machines de traitement,

• Les matériels non destinés au traitement des informations, mais dont le bon
fonctionnement est nécessaire à ce traitement :
- Installations de régulation telles que climatisation, onduleurs, etc.
- Installation de détection et de sécurité telles que les alarmes, appareils de contrôle,
- Installations automatiques de lutte contre l’incendie.
Les garanties :

a) Les garanties de base :

L’assurance "tous risques informatiques" garantit les dommages résultant de pertes,


détériorations ou destructions soudaines et fortuites des matériels assurés que ces derniers soient
en situation de fonctionnement normal ou au repos, pendant les opérations de démontage, de
déplacement sur les lieux assurés ou de remontage nécessités par leur entretien ou leur révision
pour autant que la mise en exploitation desdits matériels ait donné entière satisfaction. Sont
notamment garantis les dommages matériels directs lorsqu’ils résultent des causes et phénomènes
suivants :

• Fausse manœuvre, négligence ou malveillance d’employé ou de tiers, y compris les actes


de sabotages commis par les employés,

• Disparition, destruction ou détérioration à la suite de vol ou de tentative de vol,


138 ANNEXES

ANNEXE 5

• Défaut de construction, de fabrication ou de montage et vice du matériau y compris les


dommages subis par la pièce défectueuse,

• Court-circuit, surtension, chute de tension, etc.

• Incendie, explosions, chute de la foudre, implosions,

• Dommages causés par la corrosion accidentelle, carbonisation, roussissement,


dégagement de fumée et de suie,

• Actions des forces de la nature telle que la tempête, les pluies torrentielles, l’inondation,
le glissement de terrain, etc.

• Tout autre péril non explicitement exclu.

b) Les extensions de garantie :

Il est courant d’assortir la garantie des dommages matériels pouvant frapper les ensembles de
gestion de deux garanties subsidaires qui peuvent d’ailleurs pour certaines entreprises avoir une
énorme importance. Il s’agit des :

1- Frais de reconstitution des médias :

La garantie de base vu ci-dessus peut être étendue aux frais de reconstitution des informations
portées sur les supports ou médias, dès lors que ces informations ont disparu ou ont été
endommagées à la suite d’événements accidentels et / ou de dommages matériels frappant
l’ensemble de gestion éléctronique. Cette extension de garantie couvre :

• Les frais de remplacement des supports constituant l’ensemble des médias détruits ou
endommagés (disques, disquettes, cassettes magnétiques, cartes et bandes perforées),

• Le coût de reconstitution, dans l’état antérieur au sinistre, des informations portées sur les
médias détruits ou endommagés à la suite d’un sinistre garanti,

• Les frais de reconstitution des informations portées sur supports lorsque ces frais ne
résultent pas d’un dommage matériel garanti,
139 ANNEXES

ANNEXE 5

2- Frais supplémentaires d’exploitation

La présente extension a pour objet de garantir à l’assuré le remboursement des frais


supplémentaires qu’il aura réellement engagé en accord avec l’assureur, lorsque ces frais sont
directement consécutifs à une interruption totale ou partielle du traitement des informations, à la
suite d’un sinistre garanti affectant les matériels assurés. Cette garantie couvre le remboursement
des frais suivants :

• Les frais de location d’un ensemble de matériel de remplacement,

• Les frais supplémentaires de main d’œuvre,

• Les frais liés à la réalisation de travaux en sous-traitance,

• Les frais de transport du personnel et des documents,

• Les frais liés à la mise en place de toute solution de remplacement.

Les exclusions :

Ne sont pas garantis au titre de la présente assurance :

• Les dommages dus à des défauts existant au moment de la souscription et qui étaient
connus de l’assuré,

• Les dommages indirects de quelque nature qu’ils soient, notamment les pertes
d’exploitation résultant de la privation de jouissance ou de chômage ainsi que les
responsabilités de toutes natures,

• Les dommages et frais entrant dans le cadre du contrat de maintenance,

• Les dommages résultant d’une installation, de modifications ou d’une exploitation des


biens informatiques non conformes aux fiches techniques des constructeurs,

• Les dommages résultant de l’usure ou de la détérioration normale et progressive des biens


informatiques assurés,
140 ANNEXES

ANNEXE 5

• Les frais consécutifs à de simples dérangements mécaniques ou électriques, de réglage ou


plus généralement de tous actes d’entretien ou de prévention,

• Les dommages résultant d’une faute intentionnelle ou dolosive de l’assuré,

• Les dommages occasionnés par la guerre civile ou étrangère,

• Les dommages causés par les émeutes, mouvements populaires et les actes de terrorisme
ou de sabotage sauf stipulation contraire aux conditions particulières et paiement d’une
surprime,

• Les dommages résultant des éruptions volcaniques et des tremblements de terres.

• Les frais de reconstitution résultant du vice propre ou de l’usure normal ou la


détérioration progressive des matériels assurés,

• Les frais de reconstitution résultant de l’influence d’un champ magétique,

• Autres frais d’études et d’analyses engagés pour la programmation, même si ces frais sont
consécutifs à un sinistre garanti.

Les mesures de prévention :

L’assuré est tenu de maintenir les matériels garantis en bon état d’entretien et de fonctionnement,
et en outre, à souscrire et à garder en vigueur :

• Pour les matériels de traitement de l’information et les supports d’information, un contrat


de maintenance complet garantissant les coûts de main d’œuvre, les frais de déplacement
et les frais de transport des pièces ou matériels de remplacement ainsi que les prix de ces
derniers,

• Pour les autres matériels nécessaires au bon fonctionnement des matériels de traitement
des informations, un contrat d’entretien et ce, que ces matériels soient assurés ou non.

A défaut de satisfaire à ces obligations, sauf cas fortuit ou de force majeure, l’assuré sera déchu
de ses droits en cas de sinistre.
141 ANNEXES

ANNEXE 5

Les conditions spéciales :

Conditions spéciales concernant les installation de climatisation :

Il est convenu que l’assureur indemnisera l’assuré des pertes ou dommages causés aux matériels
informatiques et aux médias ainsi que les frais supplémentaires engagés par suite d’une
défaillance du système de climatisation à condition que celle-ci soit assurée contre les dommages
matériels et soit équipée, installée et révisée selon les recommandations du fabricant de
l’installation de climatisation.

Ceci implique que l’installation de climatisation :

• Et les dispositifs d’alarme et de protection doivent être révisés selon une périodocité à
définir en commun accord,

• Doit être équipée de capteurs permettant de surveiller la température et l’humidité, de


détecter les fumées et de déclencher des signaux d’alarme optiques et acoustiques,

• Doit être surveillée par un prersonnel qualifié capable de prendre toutes les mesures
nécessaires en cas d’alarme,

• Doit être équipée d’un dispositif automatique d’arrêt d’urgence répondant aux normes du
fabricant du matériel de traitement de l’information.
142 ANNEXES

ANNEXE 6

Articles de presse et statistiques piratage des logiciels

6.a : Articles de presse sur les actions de la BSA

ATTENTION ! copier un logiciel c’est le voler :

BSA passe à la vitesse supérieure suite aux actions de sensibilisation entreprises en collaboration
avec le Bureau Marocain des Droits d’Auteurs (BMDA) et le Ministère de Communication et de
la Culture. Soutenue par l’application du dahir n° 1-00-20 portant loi 2-00 relative aux droits
d’auteur et droits voisins ainsi que les autorités compétentes, BSA ne compte pas en rester là
pour éradiquer le piratage informatique au Maroc.

Les sanctions civiles à l’encontre de la piraterie sont le paiement de dommages et intérêts en


réparation du préjudice subi par l’éditeur de logiciel ainsi que la publication du jugement dans la
presse.

Les sanctions pénales peuvent représenter jusqu’à 20.000 Dirhams d’amende et deux ans de
prison.

Actions de la BSA – depuis Septembre 2000


Lettres de sensibilisation 21.025
Lettres de mise en garde 16.531
Lettres d’avocat 432
Nombre de régularisations 825
Nombre d’actions en justice 6

60% du parc informatique du pays est piraté par rapport à seulement 37% au niveau mondial et à
52% pour toute l’Afrique. Bien que ce taux est enregistré une baisse, le fléau continue de
représenter une menace pour la croissance économique du pays. En effet, le préjudice total dû au
piratage informatique de logiciels est évalué à 6 millions de dollars de pertes directes et à 10 fois
plus de pertes indirectes selon certaines études.
143 ANNEXES

ANNEXE 6

Ajouté à cela, ce phénomène exerce un impact négatif important sur la création d’emplois et
favorise par ailleurs la fuite des cerveaux. L’image du Maroc ; signataire de traités internationaux
(ex : GATT) est ainsi ternie aux yeux des investisseurs étrangers.

Les avantages d’un logiciel original sont :

• Bénéficier de la garantie de l’éditeur,

• Accéder aux nouvelles versions d’un programme à des tarifs avantageux,

• Disposer de l’assistance technique,

• Disposer de supports d’installation (CD-ROM) et de manuels d’utilisation originaux.

Les différentes formes de piratage informatique sont :

• Copie de logiciels par l’utilisateur final sans l’autorisation de l’auteur,

• Le téléchargement sans l’autorisation de l’auteur à partir d’Internet,

• Licences insuffisantes dans les entreprises, les administrations et tout autre établissement,

• Copie de logiciels sur le disque dur de l’ordinateur destiné à la vente (revendeurs),

• Gravage de CD-ROM,

• Le non respect des règles de commercialisation des logiciels.

"Chefs d’entreprises, le piratage informatique engendre :

• Des sanctions judiciaires,

• Des pertes économiques pour le pays (emplois, recettes fiscales, etc.),

• Un frein au développement de nouveaux produits.

Plusieurs entreprises ont déjà été condamnés pour piratage… d’autres le seront aussi".

Dahir n° 1-00-20 du 15 février 2000 portant promulgation de la loi 2-00 relative aux droits
d’auteur et droits voisins : Art 3 / Art 10 / Art 62/ Art 64.

Message publicitaire de la BSA.


144 ANNEXES

ANNEXE 6

Piratage informatique : Les efforts de la BSA récompensés

Afin de protéger les éditeurs de logiciels et de faire respecter la loi 2-00 relative aux droits
d’auteur et droits voisins, la BSA a élaboré un plan d’action spécifique au Maroc. Le porte-parole
de l’association des éditeurs, a expliqué, exemples à l’appui, la stratégie et les résultats de la
campagne de sensibilisation 2001-2002 lors de la conférence de presse du mardi 18 juin 2002.

Tout d’abord, les membres de la BSA ont choisi de montrer que la loi ne s’applique pas
seulement aux revendeurs de matériel informatique mais aussi aux sociétés utilisatrices en
multipliant les actions en justice auprès de celles-ci. Plus de 6 sociétés privées ont déjà été
contrôlées par un huissier accompagné d’un expert en informatique :

• Trois d’entre elles utilisaient des logiciels piratés : l’une a accepté l’accord à l’amiable et
les deux autres , très connues dans le secteur du tourisme et de l’industrie, doivent choisir
entre la signature d’un éventuel accord ou leur dossier sera porté devant les tribunaux.

• Pour les trois autres : la BSA attend toujours les rapports des experts et des huissiers.

En ce qui concerne les revendeurs et assembleurs de matériel informatique, les activités anti-
piratage ne se sont pas pour autant relâchées :

• Dans le procès à l’encontre de SOS informatique, le juge a ordonné la vente aux enchères
des biens du revendeur d’ici la fin du mois de juin,

• Un important revendeur à Marrakech ayant proposé du logiciel piraté à l’huissier de


justice et l’expert aura son dossier prochainement déposé en justice,

• Une équipe "d’acheteurs anonymes" désignée par Microsoft, membre de la BSA, a appelé
et visité plus de 500 revendeurs. Suite à cette opération de sensibilisation visant le réseau
de distribution, plus de 150 lettres de mises en garde furent envoyées à ceux qui avaient
proposé du logiciel sans licence. Par contre, plus de 200 lettres de félicitations furent
envoyées à ceux qui proposent un logiciel légal.
145 ANNEXES

ANNEXE 6

Pour la première fois, de nouveaux moyens ont été mis en œuvre en vue de mieux lutter contre le
piratage des logiciels. Par la mise en place d’une équipe BSA en tournée chez les sociétés
utilisatrices dans plusieurs villes du royaume, l’aspect sesibilisation ne se compose plus
seulement de courriers et d’appels mais aussi de visites sur le terrain. L’équipe BSA fournit aux
chefs d’entreprise en personne une assistance pour l’audit et une meilleure explication de la loi et
des risques encourus en cas de non respect des règles. De plus, le BMDA, signataire d’une
convention avec la BSA, effectue désormais des visites de sensibilisation au sein de sociétés
privées.

6.b : Statistiques de piratage des logiciels à travers le monde

Le taux de piratage a augmenté de 3 points au niveau mondial (40% en 2001 contre 37% en
2000) pour deux raisons principales :

• La récession économique mondiale,

• L’augmentation considérable du taux de piratage dans certains pays d’Asie comme l’Inde
avec un taux avoisinant les 70%.

Le Maroc, grâce aux actions soutenues de la BSA, quant à lui, se stabilise aux alentours de 60%
depuis 2001 maintenant une perte directe de 5,5 millions de dollars au lieu de 6 millions en 2000.
Le graphique ci-dessous synthétise par région le taux de piratage informatique de logiciels.

Taux de piratage en 2000*

70% Maroc
60%
Afrique
50%
40% Monde
30%
20% Europe

10%
Etats-Unis
0% Canada

* Source: IPR 1
146 ANNEXES

ANNEXE 7

Méthode d’éradication des virus informatiques

Les logiciels de détection et d’éradication des virus se basent sur trois méthodes répertoriées ci-
dessous :
Méthode scanner :
Elle repose sur l’emploi d’une table de signatures, c’est-à-dire une base de données identifiant les
virus en présence et les comparant à une bibliothèque de virus connus, qu’ils soient présents en
mémoire ou sur disque dur. Elle constitue le seul moyen efficace pour détecter et éradiquer les
virus macro mais a l’inconvénient de ne pouvoir être efficace pour lutter contre les virus inconnus
et non répertoriés.
Méthode générique :
Elle regroupe un ensemble de techniques (contrôle d’intégrité, appâts, scanner heuristique, etc.)
adaptée à la découverte de virus inconnus. Cependant, cette méthode n’est pas efficace pour lutter
contre les virus macro.
Méthode algorithmique :
Elle s’adresse essentiellement aux virus polymorphes contenant une clé de déchiffrement
employée à chaque nouvelle infection de fichiers pour lui donner une signature différente. Elle
constitue la méthode la plus sophistiquée, sans être totalement infaillible.
La méthode algorithmique doit être utilisée en complément de l’une des deux autres méthodes
décrites ci-dessus, afin de pouvoir constituer une bonne technique de protection assurant la
maîtrise du risque à un niveau faible.

Les logiciels antivirus les plus connus sur le marché sont Norton Antivirus de la société
Symantec, VirusScan de l’éditeur McAfee, Virusafe de la société CTI, F-Prot de l’éditeur ID,
Viguard de l’éditeur Tegam.
147 ANNEXES

ANNEXE 8

Procédure de sauvegarde applicable aux PME

Rappel de certaines règles relatives à la sauvegarde des données :

Types de sauvegarde :

Le principe de sauvegarde est de pouvoir disposer d’une copie de secours des données à protéger.
En effet, vu la diversité des types d’incidents pouvant survenir, les méthodes de sauvegarde à
mettre en place pour pallier à ces incidents sont nombreuses. Cette sauvegarde peut être réalisée
par fichiers, par volume ou encore incrémentale.

• La sauvegarde par fichiers est longue et fastidieuse et présente l’inconvénient des risques
d’oublis ou d’erreurs puisqu’elle n’est que sélective.

• La sauvegarde par volume consiste en une copie physique de l’ensemble du disque (données,
systèmes d’exploitation, programmes, etc.). Elle est lourde à gérer mais a comme avantage
son efficacité car le responsable informatique est sûr de ne rien avoir oublié.

• La sauvegarde incrémentale est une sauvegarde globale par fichiers, fichiers ayant été
modifiés depuis la dernière sauvegarde. Cette méthode est efficace, mais suppose au préalable
une bonne organisation de la procédure de sauvegarde.

Doivent être impérativement sauvegardés :

• Les logiciels de base,

• Les fichiers et logiciels d’application de l’environnement d’exploitation,

• Les fichiers et logiciels d’application de l’environnement d’étude en cas de développement


d’applications informatiques en cours.

Il est possible de mettre en place une procédure de sauvegarde combinant plusieurs méthodes de
sauvegarde afin de constituer un "jeu de sauvegardes". Le principe est simple et consiste à
disposer de trois séries de sauvegarde.
148 ANNEXES

ANNEXE 8

• Une série pour les sauvegardes quotidiennes (un support distinct par jour),

• Une série pour les sauvegardes hebdomadaires (un support distinct par semaine),

• Une série pour les sauvegardes mensuelles.

A cet effet, le support quotidien est réutilisé de semaine en semaine, et le support hebdomadaire
est réutilisé de mois en mois. Les sauvegardes mensuelles sont conservées intactes, les supports
n’étant plus réutilisés.

Outils de sauvegarde :

Les supports de stockage sont nombreux et performants. La disquette 3 pouces ½ dont la capacité
est de 1,4 Méga octets environ est déconseillé car ne peut gérer les gros volumes même
compressés à l’aide de l’outil "zip". Elle peut servir pour la sauvegarde temporaire de fichiers
personnels. Néanmoins, nous recommandons que la sauvegarde des fichiers personnels soit
effectuée directement sur le serveur dans un répertoire personnel sécurisé et créé à cet effet par le
responsable informatique. La centralisation des sauvegardes sur le serveur permet de pallier à un
incident sur une machine locale.

Le support de sauvegarde le plus utilisé par les entreprises est la bande magnétique ou cartouche.
L’enregistrement est automatique et consiste à opérer une sauvegarde par volume. Toutefois le
principal inconvénient dans ce type de sauvegarde réside dans la lenteur d’enregistrement et de
restauration.

Les CD-ROM constituent des solutions de sauvegardes proches du disque dur externe, mais que
les entreprises utilisent généralement plus pour l’archivage que la sauvegarde des données. La
sauvegarde peut être effectuée à l’aide d’outils proposés par le système d’exploitation du micro-
ordinateur ou de logiciels de sauvegarde qui facilite la procédure (déclenchement automatique,
programmable et différé, etc.)
149 ANNEXES

ANNEXE 8

Procédure de sauvegarde :

Sauvegarde centralisée :

Sauvegarde chaque jour des données contenus dans le serveur dans un cartouche magnétique (en
anglais "Digital Audio Tape").

Le service informatique est le responsable de cette opération centralisée.

La sauvegarde est programmée chaque jour en fin de journée à partir de 18H30.

Le service informatique doit s’assurer que les sauvegardes se sont bien déroulées, et que les
données existent bien. Cette tâche est à accomplir chaque matin à 8H30.

Les sauvegardes doivent être séparées dans des cartouches créées à cet effet :

• Cinq cartouches quotidiennes (du lundi au vendredi), réutilisées chaque semaine


• Douze cartouches mensuelles (de janvier à décembre),
• Une cartouche annuelle.
Des sauvegardes occasionnlles doivent être effectuées telle que :

• Sauvegardes mensuelles avant clôture de la paie (responsable GRH),


• Sauvegardes annuelles avant clôture de la comptabilité (responsable : DAF),
• Sauvegardes avant inventaire des stocks (responsable : DAF ou service informatique).
Les cartouches doivent être stockées dans un coffre igifugé à l’extérieur de la salle informatique.
(exemple : coffre du DAF).

Sauvegarde locale :

Chaque personne est responsable de la sauvegarde des données contenues dans sa machine
locale.

L’informatique met à la disposition de chaque utilisateur un répertoire sécurisé créé à cet effet sur
le seveur.

La sauvegarde des fichiers personnels vers le serveur est programmé chaque jour à partir de
13H00.
150 ANNEXES

ANNEXE 9

Développement d’applications informatiques

Documentation accompagant les applications informatiques :

Documentation d’étude :

La documentation d’étude doit rassembler pour chaque application tout ce qui a trait à sa
définition (analyse) et à sa composition (programmation). Celle-ci doit être constituée au fur et à
mesure des différentes étapes de la conception d’une application. Elle doit au minimum
comprendre les éléments suivants :

• Organigramme général de l’application,

• Liste et description des fichiers utilisés,

• Liste et description des états édités,

• Description des chaînes de traitement,

• Description détaillée des programmes,

• Listing des programmes sources documentés,

• Historique des opérations de maintenance.

S’il s’agit d’applications plus importantes, la documentation doit comprendre outre les points
cités ci-dessus :

• Le cahier des charges,

• La documentation de conception (analyse fonctionnelle),

• La documentation de programmation : conçue pour les programmeurs, documentation


détaillée et technique,
151 ANNEXES

ANNEXE 9

Documentation d’exploitation :

La documentation d’exploitation contient l’ensemble des informations et consignes nécessaires


au personnel d’exploitation. Celle-ci est considérée comme importante pour documenter toutes
les séquences d’exécution du programme et les procédures de reprise. Elle doit au moins détailler
par chaîne de traitement :

• La liste des procédures d’exploitation,

• La description des fichiers en entrée et en sortie et de leur supports

• La description et organigrammes des chaînes de traitement,

• Les consignes de préparation,

• La description des contrôles de l’exploitation à réaliser lors de chaque traitement,

Documentation utilisateurs :

La documentation utilisateurs contient l’ensemble des instructions à destination des utilisateurs.


Appelé communément le manuel utilisateur, elle aide à la formation des utilisateurs en donnant
une information non technique qui puisse répondre à leurs besoins et attentes et afin qu’ils
puissent remplir leur fonction efficacement. Elle doit au moins contenir.

• La description générale des applications,

• La description des transactions,

• La description des états édités,

• L’indication des messages d’anomalies qui peuvent être rencontrés.

Mode de passage de l’environnement test à l’environnement d’exploitation :

Les procédures de test des programmes comprennent quatre étapes essentielles en vue de décider
ou non le transfert de l’application développée en mode production.
152 ANNEXES

ANNEXE 9

• Installation initiale qui comprend :


- La planification de l’installation,
- L’installation des ressources,
- La formation du personnel de production et des utilisateurs,
- La mise en place et / ou adaptation procédures d’exploitation,
- La constitution des dossiers d’exploitation.

• Les tests de l’environnement de production :


- Tests sur les données opérationnelles et tests de réception,
- Décision de montée en charge au vu de ces tests.

• La montée en charge qui comprend :


- Le transfert ou utilisation de la totalité des données opérationnelles,
- Tests complémentaires avec les utilisateurs,
- Décision de la généralisation de l’application à l’ensemble des utilisateurs,

• La recette qui comprend :


- Tests de fonctionnalité de l’application,
- Tests relatifs à la protection des informations (classification des informations et contrôle
des accès),
- Tests du système de contrôle et auditabilité des applications traitant des données utilisées
dans les flux financiers de l’entreprise.
Le passage de l’environnement test d’une application ou d’un ensemble d’applications à
l’environnement d’exploitation doit être effectué en respectant les étapes suivantes :

• Bibliothèque de test contenant les programmes sources à mettre au point par les
programmeurs ou le prestataire de service et leur programmes objets exécutés pendant la
phase d’essais,

• Bibliothèque d’exploitation contenant les programmes sources mis au point et passé au stade
d’exploitation,

• Bibliothèque d’exploitation ne contenant que les programmes objets à exécuter.


153 ANNEXES

ANNEXE 10

Scénarios réalisation de risques informatiques

La présente annexe fait état de quelques scénarios de réalisation de risques informatiques à partir
de notre humble expérience, et de notre vécu.

1 Industrie : La panne occasionnée à un système informatique de contrôle des entrées en


stock dans une usine a engendré un retard dans la fabrication, des ruptures de stock de matières
premières entraînant l’arrêt de la production. La perte occasionnée suite à cette panne est 2 jours
de production ajouté aux temps gaspillé par le personnel pour tenter de reprendre les traitements
de façon manuelle.

2 Société de négoce : Un utilisateur n’a pas pris soin de couper l’arrivée d’eau suite à une
coupure de la LYDEC. A 14H30, les bureaux étaient inondés d’eau. Cette négligence humaine a
entraîné l’arrêt des ordinateurs du service administratif. La perte occasionnée suite à ce
phénomène correspondrait à la valeur de remplacement du matériel, mais surtout des données et
applications qu’il contenait (comptabilité, paie, gestion commerciale, etc.) qu’il est difficile
d’évaluer.

3 Société de service : L’écoulement d’eau du climatiseur de la salle informatique a


engendré un court-circuit dans le serveur des données. Le matériel a été endommagé, mais
heureusement l’entreprise disposait d’une sauvegarde de la veille. La perte occasionnée
correspondrait aux traitements depuis la dernière sauvegarde au moment du sinistre, à évaluer en
temps de travial.

4 Industrie : Des cambrioleurs "furieux" de ne pas avoir trouvé de l’argent dans le coffre-
fort du Directeur Financier ont subtilisé les cartouches de sauvegarde et donc toutes les données
qu’elles contenaient et saccagé les ordinateurs du département comptable. Le méfait a entraîné
des frais de remplacement de matériel et de reconstitution des médias.

5 Industrie : Une entreprise a aquis auprès d’une SSII un logiciel intégré de gestion. Les
utilisateurs n’ont pas été associé à la formation faite uniquement à l’informaticien. Le temps
gaspillé par l’informaticien pour expliquer aux différents utilisateurs les fonctionnalités du
nouveau logiciel est estimé à un mois. Perte = au moins un mois de salaire de l’informaticien.
154 ANNEXES

ANNEXE 10

6 Industrie : Une entreprise n’a pas jugé utile de protéger les postes de la Direction
Commerciale par des onduleurs. Une surtension a entraîné l’endommagement de l’ensemble des
ordinateurs et des données qu’ils contenaient, entre autre fichier client, tarification des produits,
situation des encours, etc. La perte occasionnée est estimée au temps passé pour reconstituer ces
données en étroite collaboration avec le département comptabilité, et le temps passé pour saisir à
nouveau les tarifs de vente des différents produits (200 pages).

7 Société de négoce : Un informaticien a développé une application de gestion


commerciale. Toutefois, pour l’exploitation de cette application, l’informaticien était sollicité en
permanence par les utilisateurs et surtout l’administration commerciale. Pendant son congé
annuel, ladite application est tombée en panne. Faute de pouvoir résoudre le problème,
l’administration n’a pas pu pendant une semaine traiter les commandes clients en cours. La perte
occasionnée est d’une semaine de chiffre d’affaires, mais aussi, le stock de marchandises invendu
en raison du mécontentement de certains clients qui faute d’être livrés à temps, ont renoncé à leur
commande.

8 Industrie : Une panne du système informatique pour des raisons non expliquées a entraîné
la perte de réalisation d’une vente à l’export de 300.000 Dirhams environ. Le délai de l’accréditif
ouvert par le client ayant expiré, celui-ci a préféré renoncer à ladite commande, et s’est tourné
vers une entreprise concurrente.

9 Industrie : Une grève ayant duré pendant 3 mois dans une usine, a empêché le service
informatique d’accéder à l’entreprise pour effectuer quotidiennement ses traitements
informatiques. La perte occasionnée est le retard accumulé pendant ces trois mois, et le temps
passé pour saisie et mise à jour des informations émanant des différents services (comptabilité,
service personnel, administration commerciale, etc.).

10 Société de service : L’ordinateur portable du responsable financier a été contaminé par un


virus en se connectant à Internet. Celui-ci ne disposait pas d’un logiciel antivirus. La perte
occasionnée par cette négligence est les frais engagés auprès du fournisseurs pour récupérer les
données infectés par le virus.
155 ANNEXES

ANNEXE 11

Statistiques sur la sinistralité publiées par l’APSAIRD et résultat enquête sur la sécurité
conduite par la société IDC

Statistiques sur la sinistralité publiées par l’APSAIRD :

La presse spécialisée européenne fait souvent écho de statistiques sur la sinistralité correspondant
à l’estimation des pertes dues à des sinistres déclarées ou l’estimation des pertes financières
découlant directement au manque de sécurité.

Le tableau ci-dessous fait ressortir la perception des risques informatiques et leur réalité en 1993
par les utilisateurs ainsi que la projection de la réalité au titre de l’année 1997.

Risque Perception 1993 Réalité 1993 Projection 1997


- matériel 1 3 2
- vol, sabotage matériel 2 8 8
- pannes 4 4 3
- erreurs de saisie 8 2 4
- erreurs de conception, réalisation 5 5
- erreurs d’exploitation 6 6 6
- vol, sabotage immatériel 3 1 1
- problèmes humains 3 7 7

Le tableau ci-dessus montre que les risques de vol, sabotage et pannes sont considérées comme
les plus graves alors que les risques d’erreurs de conception, d’exploitation de saisie apparaissent
aux yeux des entreprises comme peu importants. Cette association fait également ressortir que les
risques matériels sont en fait les plus redoutés par l’entreprise, même si en pratique ils
occasionnent les pertes les moins importantes, alors que les risques de fraude, sabotage
immatériel occasionnant les pertes les plus importantes sont considérés comme moins grave.
156 ANNEXES

ANNEXE 11

Résultats enquête sur la sécurité conduite par la société IDC :

Selon une étude réalisée par IDC auprès de 350 entreprises européennes pour le compte d'EDS,
société américaine spécialisée en sécurité informatique, les entreprises en Europe seraient de plus
en plus sensibilisées au problème de la sécurité de leurs systèmes d'information. Pourtant, selon
cette même enquête, toutes les mesures ne sont pas encore prises, et selon IDC, des déclarations
des responsables informatiques interrogés à la réalité, il y a parfois des différences.

Menée entre novembre et décembre 2001 dans six pays (France, Allemagne, Angleterre, Italie,
Espagne, et Afrique du Sud, sic) l’étude d'IDC a porté sur quatre axes majeurs : implication des
directions générales dans les politiques de sécurité, mise en place de plans de continuité de
service, assurance des systèmes d'information et typologie des attaques subies en 2001.

A la question posée aux responsables informatiques "Votre direction générale a-elle l'intention de
plus s'impliquer dans la stratégie de sécurité de votre entreprise en 2002 ?", 48,1% ont répondu
oui, 9,5% ne savaient pas, et 42,4% ont répondu par la négative. Un résultat en hausse sensible
par rapport à la précédente enquête menée en juin 2001, qui selon IDC tendrait à marquer une
sensibilisation plus forte des directions aux risques qu'encourent leurs sociétés. Toutefois, le
cabinet ne manque pas de relever certaines contradictions internes. Si 59,6% des entreprises
considèrent que la sécurité est une affaire de spécialistes, 54,5% reconnaissent cependant ne pas
avoir de ressources internes dédiées à cette tâche. La part du budget consacre à la sécurité reste
d'ailleurs marginale, avec par exemple, tout juste 1,6% du budget informatique en France.

Par ailleurs, si 78,8% des entreprises sondées estiment avoir suffisamment sécurisé leur système
(redondance des équipements, back up, etc.) pour assurer la continuité de service en cas de
problème, et que 66,9% déclarent avoir mis en place un plan de continuité de service, ces chiffres
pourraient refléter imparfaitement la réalité. Le cabinet juge en effet que, par rapport aux retours
d’expérience dont il bénéficie, ces taux sont anormalement élevés. Une hypothèse dont la
vraisemblance est confortée par le pourcentage de responsables informatiques qui reconnaissent
ne pas savoir si leur entreprise dispose ou non d'un tel plan (8,4%).
157 ANNEXES

ANNEXE 11

Sur la question de la couverture de leur système informatique par une assurance, 55,6% des
sociétés interrogées ont déclaré ne pas avoir souscrit de police d'assurance, 20,3% ne pas savoir,
et seulement 24,1% avoir souscrit.

Si IDC n'explique pas les raisons de ces résultats (coût des assurances, intérêt des offres, etc.), il
corrèle néanmoins certains chiffres, qui tendent à prouver que les entreprises couvertes par une
assurance sont en général celles qui accordent le plus de moyens a leur sécurité (en ressources
internes comme en plan de continuité de service).

Enfin, le panorama des attaques recensées fait ressortir que 35,2% des sociétés auraient été
victimes au moins une fois d'une attaque venue de l’extérieur. Principal type d'attaque répertorié,
les virus informatiques (78,5%), devant les erreurs d'utilisation (64,2%) et les pannes internes
(37,5%).Viennent ensuite les erreurs de conception (30,7%), les vols de matériels (29,8%), les
accidents physiques (25%), les catastrophes naturelles (22,6%), et les fraudes internes (16,3%).

Ce dernier facteur pourrait être sous-estimé, selon le responsable de la sécurité des systèmes
d'information d'EDS pour qui les attaques internes sont deux fois plus nombreuses que les
attaques externes, et tout aussi dangereuses pour les entreprises.
158 ANNEXES

ANNEXE 12

Questionnaire perception de la sécurité informatique par nos PME

QUESTIONNAIRE DESTINE AUX


ENTREPRISES

1- Identification de l’entreprise :

Secteur d’activité :
Date de création :
Forme juridique :
Implantation géographique :
Téléphone :
Fax :
Chiffre d’affaires au titre de l’exercice 2001 :
o < 5 millions de dhs,
o entre 5 millions et 25 millions de dhs,
o entre 25 millions et 50 millions de dhs
o > 50 millions de dhs.
Effectif total : dont cadre,
Budget global de l’entreprise : (en millions de dirhams)
Budget informatique :
Identité de la personne répondant au présent questionnaire :
Fonction au sein de l’entreprise :
2- Plan informatique / Plan directeur :

Y a t’il un plan informatique (plan directeur) ?


o Oui :
o Non :
Si oui, est-il actualisé et validé par la Direction générale ?
o Oui :
o Non :
159 ANNEXES

ANNEXE 12

Quelles sont les fonctions informatisées au sein de l’entreprise ? (plusieurs réponses sont
possibles) :
o Comptabilité générale,
o Etablissement des états de synthèse (bilan, CPC, etc.),
o Application de la paie et gestion du personnel,
o Facturation et gestion commerciale,
o Gestion des achats et des stocks,
o Suivi et gestion de la trésorerie,
o Gestion des immobilisations,
o Autres à préciser.
Parmi ces fonctions, quelles sont celles intégrées à votre système comptable ? (plusieurs
réponses sont possibles) :
o Application de la paie et gestion du personnel,
o Facturation et gestion commerciale,
o Gestion des achats et des stocks,
o Suivi et gestion de la trésorerie,
o Gestion des immobilisations,
o Autres à préciser.
L’entreprise recourt-elle au développement informatique d’application ou fait-elle appel à
des applications "du marché" ?
De quoi se compose l’outil informatique de votre entreprise :

Matériel Nombre de
Localisation et quantité Réseau
(marque et modèle) terminaux
Mini système
Micro-ordinateurs
Imprimantes
Serveur de données
Modems
Autres (à préciser)
160 ANNEXES

ANNEXE 12

Lister les logiciels standard utilisés :

Acheté ou
Date Support
Logiciels applicatifs développé en
d’installation matériel
interne
Comptabilité générale
Paie – gestion du personnel
Facturation – gestion commerciale
Gestion des stocks
Gestion trésorerie
Gestion des immobilisations
Autres (à préciser)

3- Organisation interne du service informatique :


Votre entreprise dispose t-elle d’un service informatique ?
o Oui :
o Non :
Existe-t-il un organigramme à jour du service informatique ?
o Oui :
o Non :
Si oui, jugez vous que la séparation de fonctions au sein du service informatique ou entre
informaticiens et utilisateurs est adaptée à l’organisation ?
o Oui :
o Non :
Votre entreprise recourt-elle à un prestataire de service pour l’exploitation de votre
système informatique?
o Oui :
o Non :
Pensez vous que la Direction Générale exerce un contrôle sur la fonction informatique ?
o Oui :
o Non :
161 ANNEXES

ANNEXE 12

Si oui est-elle impliquée dans toutes les décisions informatiques ?


o Oui :
o Non :
Quelle est la place de l’outil micro-informatique au sein de votre entreprise ?
o Prépondérante :
o Importante :
o Peu importante :
o Négligeable :
4- Perception de la sécurité informatique au sein de votre entreprise :
Votre entreprise a-t-elle déjà fait l’objet d’un sinistre informatique ?
o Oui :
o Non :
Si oui de quel ordre :
o Vol de matériel :
o Virus informatiques :
o Erreurs de conception d’application :
o Accidents physiques :
o Autres (à spécifier) :
Arrive t-il que vos micro-ordinateurs tombent en panne ou sont rendus indisponible pour
une raison ou une autre ?
o Fréquemment :
o De temps en temps :
o Jamais :
Si oui, considérez-vous être dépanné,
o Immédiatement :
o Rapidement :
o Pas assez rapidement :
o Trop lentement :
162 ANNEXES

ANNEXE 12

Pensez vous d’une manière générale que vos micro-ordinateurs sont suffisamment
protégés ?
o Oui :
o Non :
Votre entreprise dispose t-elle d’une politique de sécurité adaptée à la micro-
informatique ?
o Oui :
o Non :
o Ne sait pas :
Si oui quelles en sont les grandes lignes ?

Et qui en est responsable ?


o Responsable informatique :
o Responsable Administratif et Financier :
o Autres (préciser la fonction) :
Des réunions de sensibilisation sur la sécurité micro-informatique ont-elles lieu au sein de
votre entreprise ?
o Régulièrement :
o De temps en temps :
o Jamais :
La Direction Générale a t-elle l’intention de s’impliquer davantage dans la sécurité liée à
l’utilisation de l’outil micro-informatique ?
o Oui :
o Non :
o Ne sait pas :
Votre entreprise a t-elle souscrit une police d’assurance contre les risques spécifiques à
l’informatique ?
o Oui :
o Non :
163 ANNEXES

ANNEXE 12

Quels sont selon vous les risques encourus par votre entreprise sur le plan micro-
informatique ?
o Virus Informatiques :
o Vol de matériel :
o Erreur conception de logiciels :
o Absence sauvegarde régulière des données et programmes :
o Accidents physiques entraînant une perte des données :
o Autres à préciser
Quelles sont selon vous les parades possibles pour prévenir et atténuer ces risques ?
o Logiciel anti-virus :
o Mots de passe et profil utilisateurs :
o Sécurité des accès physiques et logiques :
o Sauvegarde régulière des données et programmes :
o Autres à préciser :
Quel est le budget alloué à la sécurité micro-informatique dans votre entreprise ? (en % du
budget informatique total)
o < 5% :
o De 5 à 10% :
o > 10% :
Pensez vous cela suffisant :
o Directeur Général :
o Responsable informatique :
o Utilisateurs :
Faites vous appel à votre expert-comptable / commissaire aux comptes pour vous
conseiller dans le choix de solutions de sécurité informatique ?
o Oui :
o Non :
o Ne sait pas :
164 ANNEXES

ANNEXE 12

Synthèse des réponses reçues :

Votre entreprise dispose t-elle d’un service informatique ?


o Oui : 72%
o Non : 28%
Existe-t-il un organigramme à jour du service informatique ?
o Oui : 45%
o Non : 24%
o N/A : 31%
Si oui, jugez vous que la séparation de fonctions au sein du service informatique ou entre
informaticiens et utilisateurs est adaptée à l’organisation ?
o Oui : 42%
o Non : 6%
o N/A : 52%
Votre entreprise recourt-elle à un prestataire de service pour l’exploitation de votre
système informatique?
o Oui : 60%
o Non : 40%
Pensez vous que la Direction Générale exerce un contrôle sur la fonction informatique ?
o Oui : 82%
o Non : 18%
Si oui est-elle impliquée dans toutes les décisions informatiques ?
o Oui : 85%
o Non : 15%
Quelle est la place de l’outil micro-informatique au sein de votre entreprise ?
o Prépondérante : 48%
o Importante : 46%
o Peu importante : 6%
o Négligeable :
165 ANNEXES

ANNEXE 12

Votre entreprise a-t-elle déjà fait l’objet d’un sinistre informatique ?


o Oui : 45%
o Non : 55%
Si oui de quel ordre :
o Vol de matériel : 3ème type de sinistre
o Virus informatiques : 1er type de sinistre
o Erreurs de conception d’application :
o Accidents physiques : 2ème type de sinistre
o Autres (à spécifier) :
o N/A : 58%
Arrive t-il que vos micro-ordinateurs tombent en panne ou sont rendus indisponible pour
une raison ou une autre ?
o Fréquemment : 3%
o De temps en temps : 85%
o Jamais : 12%
Si oui, considérez-vous être dépanné,
o Immédiatement : 18%
o Rapidement : 52%
o Pas assez rapidement : 24%
o Trop lentement :
o N/A : 6%
Pensez vous d’une manière générale que vos micro-ordinateurs sont suffisamment
protégés ?
o Oui : 67%
o Non : 33%
Votre entreprise dispose t-elle d’une politique de sécurité adaptée à la micro-
informatique ?
o Oui : 64%
o Non : 24%
o Ne sait pas : 12%
Si oui quelles en sont les grandes lignes ?
166 ANNEXES

ANNEXE 12

Et qui en est responsable


o Responsable informatique : ? 1er responsable
o Responsable Administratif et Financier : 3ème responsable
o Autres (préciser la fonction) : 2ème responsable
o Ne sait pas : 9%
Des réunions de sensibilisation sur la sécurité micro-informatique ont-elles lieu au sein de
votre entreprise ?
o Régulièrement : 27%
o De temps en temps : 42%
o Jamais : 15%
La Direction Générale a t-elle l’intention de s’impliquer davantage dans la sécurité liée à
l’utilisation de l’outil micro-informatique ?
o Oui : 61%
o Non : 24%
o Ne sait pas : 15%
Votre entreprise a t-elle souscrit une police d’assurance contre les risques spécifiques à
l’informatique ?
o Oui : 36%
o Non : 64%
Quels sont selon vous les risques encourus par votre entreprise sur le plan micro-
informatique ?
o Virus Informatiques : 1er type de risque selon réponses reçues
o Vol de matériel : 4ème type de risque
o Erreur conception de logiciels : 5ème type de risque
o Absence sauvegarde régulière des données et programmes : 3ème type de risque
o Accidents physiques entraînant une perte des données : 2ème type de risque
o Autres à préciser
Quelles sont selon vous les parades possibles pour prévenir et atténuer ces risques ?
o Logiciel anti-virus : 1ère parade recensée
o Mots de passe et profil utilisateurs : 3ème parade recensée
o Sécurité des accès physiques et logiques : 3ème parade recensée
o Sauvegarde régulière des données et programmes : 2ème parade recensée
o Autres à préciser :
167 ANNEXES

ANNEXE 12

Quel est le budget alloué à la sécurité micro-informatique dans votre entreprise ? (en % du
budget informatique total)
o < 5% : 64%
o De 5 à 10% : 30%
o > 10% : 6%
Pensez vous cela suffisant :
o Directeur Général : 33% des réponses ont affirmé oui
o Responsable informatique : 45% des réponses ont affirmé oui , 6% non
o Utilisateurs : 12% des réponses reçues ont affirmé oui
o Ne sait pas :
Faites vous appel à votre expert-comptable / commissaire aux comptes pour vous
conseiller dans le choix de solutions de sécurité informatique ?
o Oui : 30%
o Non : 70%
o Ne sait pas :
168 ANNEXES

ANNEXE 13

Grille d’analyse du matériel et des applications logicielles

Description sommaire de l’installation de l’entreprise :

Principaux contacts avec le client :

Nom de la personne Poste occupé N° de téléphone / poste interne

Liste du matériel :

Matériel Nombre de
Localisation et quantité Réseau
(marque et modèle) terminaux
Mini système
Micro-ordinateurs
Imprimantes
Serveur de données
Modems
Autres (à préciser)

Liste des applications :

Acheté ou
Support
Logiciels applicatifs Date d’installation développé en
matériel
interne
Comptabilité générale
Paie – gestion du personnel
Facturation – gestion commerciale
Gestion des stocks
Gestion trésorerie
Gestion des immobilisations
Autres (à préciser)
169 ANNEXES

ANNEXE 13

Description détaillée de l’installation de l’entreprise :

Liste du matériel
Capacité du disque dur Contrat de
Description Date Date mise Taille de la Type Durée de
Fournisseur maintenance
(marque, modèle) d’achat en service Total Utilisé mémoire (1) garantie
(2)

(1) Ordinateur autonome, Ordinateur en réseaux, Ordinateur portable, Imprimante, Terminaux, Serveur, Modem, Autres (à détailler)

(2) Oui ou Non


170 ANNEXES

ANNEXE 13

Liste des logiciels


Date de Date de Type de Mode de Documentation Contrat de
Date Description Dévelop
Nom du logiciel mise en mise à Editeur Nombre logiciel fonctionnement Conception Exploitation maintenance
d’achat du logiciel pement
service jour (1) (3) (2) (2) (2)

(1) Standard ou spécifique

(2) Oui ou Non

(3) Licence Monoposte ou Réseaux.


171 ANNEXES

ANNEXE 14

Questionnaire d’audit de la sécurité micro-informatique à destination

des experts comptables

Le présent questionnaire constitue un véritable aide mémoire à l’audit de la sécurité micro-


informatique dans les PME. Il est bâti sur tableur afin de pouvoir trier les réponses par
interlocuteurs. Il comporte 5 colonnes :

• Une colonne faisant ressortir les objectifs de contrôle interne et les travaux à effectuer,

• Une colonne faisant ressortir l’interlocuteur à qui est destiné chaque question,

• Une colonne faisant ressortir la réponse de l’interlocuteur (Oui, Non ou N/A),

• Une colonne faisant ressortir l’évaluation du risque suite aux réponses reçues,

• Une colonne faisant ressortir les renvois éventuels à une feuille de travail de l’expert-
comptable au cas où une réponse nécessiterait des développements.

Il comporte quatre thèmes :

• Organisation micro-informatique et environnement de contrôle,

• Efficacité de l’environnement micro-informatique,

• Disponibilité de l’information,

• Sécurité des études et développements d’applications informatiques.


180 ANNEXES

ANNEXE 15

Questionnaire à destination des experts-comptables : sensibilisation de

l’entreprise à la sécurité micro-informatique

QUESTIONNAIRE DESTINE AUX


EXPERTS COMPTABLES

1- Identification du cabinet d’expertise comptable :


Cabinet :
Fondateur :
Associé Gérant :
Membre d’un réseau international :
Date de création :
Forme juridique :
Implantation géographique :
Téléphone :
Fax :
Effectif du cabinet : dont collaborateurs ,
Identité de la personne répondant au présent questionnaire :
Fonction au sein du cabinet :
2- Domaines d’intervention et nature des missions effectuées :
Quels sont les prestations offertes et domaines d’intervention de votre cabinet ? (plusieurs
réponses sont possibles) :
Assistance et supervision comptable,
Tenue de comptabilité et établissement des déclarations fiscales et sociales,
Conseil juridique et fiscal,
Assistance mise en place de système d’information,
Commissariat aux comptes,
Audit comptable et financier,
Recrutement et formation,
Autres à préciser.
Quel est le chiffre d’affaires au titre de l’année 2001 ?
< 1 million de dhs,
entre 1 million et 10 millions de dhs,
> 10 millions de dhs.
181 ANNEXES

ANNEXE 15

Quelle est la part relative de chaque prestation dans l’activité de votre cabinet ? (en % du
chiffre d’affaires) :
Assistance et supervision comptable,
Tenue de comptabilité et établissement des déclarations fiscales et sociales,
Conseil juridique et fiscal,
Assistance mise en place de système d’information,
Commissariat aux comptes,
Audit comptable et financier,
Recrutement et formation,
Autres à préciser.
Quel est le type de clientèle que compte votre cabinet ?
Particuliers,
PME-PMI,
Groupes Nationaux,
Multinationales,
Par secteur d’activité, préciser le nombre de clients que compte votre cabinet ?
Secteur d’activité Nombre de clients Répartition géographique
Primaire :
Secondaire :
dont industrie :
Tertiaire : détaillé comme suit :
- commerce, négoce
- banque, assurance
- autres à préciser
Quelle est la forme juridique de vos clients :
Forme juridique Nombre de clients
Entreprise individuelle – commerce :
Société Anonyme :
Société à Responsabilité Limité :
Autres à préciser :
182 ANNEXES

ANNEXE 15

3- Sensibilisation de l’entreprise à la sécurité micro-informatique :


Votre cabinet utilise-t-il des outils micro-informatiques (logiciels) pour l’audit d’applications
ou l’assistance à la révision comptable ?
Oui,
Non,
Si oui, sont-ils systématiquement utilisés par vos collaborateurs ?
Oui,
Non,
Lors de l’examen et de l’évaluation du processus de contrôle interne qui prévaut au sein de
l’entreprise, intégrez-vous des contrôles spécifiques à la fonction informatique et / ou système
informatique ?
Oui,
Non,
Avez-vous déjà effectué une mission d’audit de la sécurité micro-informatique ?
Oui,
Non,
Si oui, quel en était le prescripteur ?
Entreprise cliente,
Vous-même,
Tierce personne (à spécifier) :
Si non souhaitez-vous conduire à l’avenir une mission d’audit de la sécurité micro-
informatique ?
Oui,
Non,
Est-il déjà arrivé qu’une entreprise fasse appel à vos services pour l’assister dans la mise en
place d’une politique de sécurité informatique ou dans le choix d’outils de sécurité adaptés à la
micro-informatique ?
Oui,
Non,
Pensez-vous disposer des compétences nécessaires (humaines et matérielles) pour conduire ce
type de mission ?
Oui,
Non,
183 ANNEXES

ANNEXE 15

Si non, pensez-vous faire appel à un spécialiste en informatique si la demande d’audit de


sécurité micro-informatique venait à être suscitée ?
Oui,
Non,
Pensez-vous que les entreprises ont conscience des risques et menaces qui pèsent sur leur
système informatique en général et plus particulièrement l’outil micro-informatique ?
Oui,
Non,
Avez-vous déjà sensibilisé vos entreprises clientes sur les menaces et risques qui pèsent sur
l’outil micro-informatique ?
Oui,
Non,
Si oui à quelle occasion ?
Audit comptable et financier,
Commissariat aux comptes,
Conseil,
Autres à préciser :
184 ANNEXES

ANNEXE 15

Synthèse des réponses reçues :

Votre cabinet utilise-t-il des outils micro-informatiques (logiciels) pour l’audit d’applications
ou l’assistance à la révision comptable ?
Oui, 71%
Non, 29%
Si oui, sont-ils systématiquement utilisés par vos collaborateurs ?
Oui, 64%
Non, 21%
Non applicable, 15%
Lors de l’examen et de l’évaluation du processus de contrôle interne qui prévaut au sein de
l’entreprise, intégrez-vous des contrôles spécifiques à la fonction informatique et / ou système
informatique ?
Oui, 79%
Non, 21%
Avez-vous déjà effectué une mission d’audit de la sécurité micro-informatique ?
Oui, 36%
Non, 64%
Si oui, quel en était le prescripteur ?
Entreprise cliente,
Vous-même,
Tierce personne (à spécifier) :
Si non souhaitez-vous conduire à l’avenir une mission d’audit de la sécurité micro-
informatique ?
Oui, 64%
Non, 15%
Non applicable, 21%
Est-il déjà arrivé qu’une entreprise fasse appel à vos services pour l’assister dans la mise en
place d’une politique de sécurité informatique ou dans le choix d’outils de sécurité adaptés à la
micro-informatique ?
Oui, 29%
Non, 71%
185 ANNEXES

ANNEXE 15

Pensez-vous disposer des compétences nécessaires (humaines et matérielles) pour conduire ce


type de mission ?
Oui, 36%
Non, 64%
Si non, pensez-vous faire appel à un spécialiste en informatique si la demande d’audit de
sécurité micro-informatique venait à être suscitée ?
Oui, 72%
Non, 14%
Non applicable, 14%
Pensez-vous que les entreprises ont conscience des risques et menaces qui pèsent sur leur
système informatique en général et plus particulièrement l’outil micro-informatique ?
Oui, 36%
Non, 64%
Avez-vous déjà sensibilisé vos entreprises clientes sur les menaces et risques qui pèsent sur
l’outil micro-informatique ?
Oui, 79%
Non, 21%
Si oui à quelle occasion ?
Audit comptable et financier, 1ère occasion
Commissariat aux comptes, 1ère occasion
Conseil, 2ème occasion
Autres à préciser : 3ème occasion
Ne sait pas, 21%
186 LEXIQUE FRANCAIS - ARABE

Lexique Français – Arabe

Accès ‫وﻟ ﻮج‬


Actifs ‫ﻣﻮﺟﻮدات‬
Alphanumérique ‫ﺣﺮﻓﺮﻗﻤﻲ‬
Altération ‫ﺗﺰﻳﻴﻒ‬
Archives ‫رﺑﺎﺋﺪ‬
Assurances multirisques ‫ﺗﺄﻣﻴﻦ ﻣﺨﺎﻃﺮي‬
Audit ‫إﻓﺘﺤﺎص‬
Audit externe ‫إ ﻓﺘﺤ ﺎص ﺧﺎرﺟﻲ‬
Audit sécurité informatique ‫إﻓﺘﺤﺎص ﻣﻌﻠﻮﻣﻴﺎﺗﻲ‬
Automatisation ‫إﺳﺘﺂﻟﺔ‬
Code ‫ﻗﻨﻦ‬
Comptabilité ‫ﻣﺤﺎﺳﺒﺔ‬
Confidentiel ‫آﺘﻤﺎﻧﻲ‬
Connexion ‫وﺻﻞ‬
Conseil ‫ﻣﺠﻠﺲ‬
Contrôle a priori ‫ﻣﺮاﻗﺒﺔ ﻗﺒﻠﻴﺔ‬
Contrôle a postériori ‫ﻣﺮاﻗﺒﺔ ﺑﻌﺪﻳ ﺔ‬
Contrôle interne ‫ﻣﺮاﻗﺒﺔ داﺧﻠﻴ ﺔ‬
Copie ‫ﻧﺴﺨﺔ‬
Dédommagement ‫ﺗﻌﻮﻳﺾ ﻋﻦ ﺿﺮر‬
Dégât matériel ‫ﺧﺴﺎرة ﻣﺎدﻳﺔ‬
Disponibilité ‫ﺗﻴﺴﺮ‬
Disque dur ‫ﻗﺮص ﺻﻠﺐ‬
Disquette ‫ﻗﺮﻳﺺ‬
Document ‫وﺛﻴﻘﺔ‬
187 LEXIQUE FRANCAIS - ARABE

Lexique Français – Arabe

Dommage ‫ﺿﺮر‬
Donnée ‫ﻣﻌﻄﻰ‬
Efficacité ‫ﻓﻌﺎﻟﻴﺔ‬
Environnement ‫ﻣﺤﻴﻂ‬
Erreur ‫ﻏﻠﻂ‬
Expert-comptable ‫ﺧﺒﻴﺮ ﻣﺤﺎﺳﺐ‬
Fichier ‫ﺟﺪادﻳﺔ‬
Fraude ‫ﻏﺶ‬
Habilitation ‫ﺗﺄهﻴﻞ‬
Hardware ‫ﻋﺘﺎد‬
Identification ‫ﻣﺜﺎﺑﺘﺔ‬
Image fidèle ‫ﺻﻮرة أﻣﻴﻨﺔ‬
Immobilisations ‫ﻣﺴﺘﻌﻘﺮات‬
Impact ‫ﻣﺄﺛﺮ‬
Imprimante ‫ﻃﺎﺑﻌﺔ‬
Informatique ‫ﻣﻌﻠﻮﻣﻴﺎﺗﻲ‬
Informatisation ‫ﺣﻮﺳﺒﺔ‬
Ingénerie ‫هﻨﺪﺳﺔ‬
Interface ‫وﺟﻴﻬﺔ‬
Interruption ‫إﻧﻘﻄﺎع‬
Logiciel ‫ﺑﺮﻧﺎم‬
Logiciel intégré ‫ﺑﺮﻧﺎم ﻣﻨﺪﻣﺞ‬
Maintenance ‫إﺳﻄﻴﺎن‬
Malversation ‫إﺧﺘﻴﺎن‬
Matériel ‫ﻋﺘﺎد‬
188 LEXIQUE FRANCAIS - ARABE

Lexique Français – Arabe

Mesures de sécurité ‫ﺗﺪاﺑﻴﺮ أﻣﻨﻴﺔ‬


Micro-informatique ‫ﻣﻌﻠﻮﻣﻴﺎت دﻗﻴﺔ‬
Micro-ordinateur ‫ﺣﺎﺳﻮب دﻗﻲ‬
Micro-processeur ‫ﻣﻌﻠﺞ دﻗﻲ‬
Mini-ordinateur ‫ﺣﺎﺳﻮب ﺻﻐﺮي‬
Mission ‫ﻣﻬﻤﺔ‬
Modem ‫ﻣﺴﺠﺎح‬
Mot de passe ‫آﻠﻤﺔ ﺳﺮ‬
Normes ‫ﻣﻮاﺻﻔﺎت‬
Objectif ‫هﺪف‬
Obligation ‫إﻟﺘﺰام‬
Onduleur ‫ﻣﻤﻮج‬
Ordinateur ‫ﺣﺎﺳﻮب‬
Organigramme ‫هﻴﻜﻞ ﺗﻨﻈﻴﻤﻲ‬
Patrimoine ‫اﻟﺪﻣﺔ اﻟﻤﺎﻟﻴﺔ‬
Prévention ‫وﻗﺎﻳﺔ‬
Processus ‫ﺳﻴﺮورة‬
Protection ‫ﺣﻤﺎﻳﺔ‬
Risques ‫اﻟﻤﺨﺎﻃﺮ‬
Saisie informatique ‫ﻣﺴﻚ ﻣﻌﻠﻮﻣﻴﺎﺗﻲ‬
Sauvegarde ‫ﺣﻔﻆ‬
Savoir-faire ‫دراﻳﺔ‬
Schéma directeur ‫ﺗﺼﻤﻴﻢ ﻣﺪﻳﺮي‬
Sécurité ‫أﻣﻦ‬
Sensibilisation ‫ﺗﻮﻋﻴﺔ‬
189 LEXIQUE FRANCAIS - ARABE

Lexique Français – Arabe

Service de sécurité ‫ﻣﺼﻠﺤﺔ اﻷﻣﺎن‬


SGBD ‫ﻧﻈﺎم ﺗﺪﺑﻴﺮ ﻗﺎﻋﺪة اﻟﻤﻌﻄﻴﺎت‬
Signal d’alarme ‫إﺷﺎرة اﻹﻧﺪار‬
Sinistre ‫ﻧﻜﺒﺔ‬
Software ‫ﺑﺮﻧﺎم‬
Standard ‫ﻣﻌﻴﺎري‬
Télétraitement ‫ﻣﻌﺎﻟﺠﺔ ﺑﻌﺪﻳﺔ‬
Traitement informatique ‫ﻣﻌﺎﻟﺠﺔ ﻣﻌﻠﻮﻣﻴﺔ‬
Traitement des données ‫ﻣﻌﺎﻟﺠﺔ اﻟﻤﻌﻄﻴﺎت‬
Unité centrale ‫وﺣﺪة ﻣﺮآﺰﻳﺔ‬
190 TABLE DES MATIERES

Table des matières


Pages
INTRODUCTION GENERALE 1

PREMIERE PARTIE : Les risques informatiques et techniques de protection 7

INTRODUCTION 7

Chapitre 1 : Les risques informatiques : identification et moyens de maîtrise 10

1 Définitions et identification des risques informatiques 10

1.1 Définition du risque informatique 10

1.2 Identification des risques spécifiques à la micro-informatique 11

1.3 Le rôle de l’expert-comptable dans l’identification des risques 16

2 Classification des risques informatiques 17

2.1 Classification usuelle 18

2.2 Classification des risques de l’APSAIRD 19

3 La maîtrise des risques informatiques 20

3.1 Les moyens internes à l’entreprise 20

3.2 Les éléments extérieurs d’aide à la maîtrise des risques 24

Chapitre 2 : Les techniques de protection adaptées à la micro-informatique 27

1 Les techniques de sécurité assurant l’efficacité de l’environnement 27


micro-informatique
1.1 Les protections physiques 27

1.2 Les protections logiques 29

1.3 La protection des données 32

2 Les techniques de sécurité pour une information disponible 34

2.1 La disponibilité du matériel 34

2.2 La disponibilité des logiciels 35


191 TABLE DES MATIERES

Pages

2.3 La disponibilité des données : sauvegarde et archivage 37

3 Sécurité des études et développements d’applications informatiques 39

3.1 Méthodes et normes de programmation 39

3.2 Elaboration et documentation 40

3.3 Règles d’exploitation des applications informatiques 41

3.4 Le contrôle des données à posteriori 43

Chapitre 3 : Impact réel et perception de la sécurité micro-informatique 45


dans les PME
1 Impact réel des risques sur le patrimoine et la pérennité des PME 45

1.1 Conséquences directes 45

1.2 Conséquences indirectes 45

1.3 Conséquences financières 46

2 Appréciation des risques micro-informatiques par les utilisateurs 47

2.1 Mise en place du questionnaire : finalités et règles d’élaboration 47

2.2 Résultats des enquêtes 50

2.3 Enseignements à tirer 52

3 Le rôle des professionnels dans la sensibilisation de l’entreprise 53

3.1 L’expert-comptable 53

3.2 Le commissaire aux comptes 55

CONCLUSION DE LA PREMIERE PARTIE 57


192 TABLE DES MATIERES

Pages
DEUXIEME PARTIE : Une approche d’audit de la sécurité micro-informatique 58
dans les PME
INTRODUCTION 58

Chapitre 1 : Audit de la sécurité informatique : les normes et référentiels 60

1 Les normes et référentiels marocains 60

1.1 La loi comptable et le droit fiscal 60

1.2 L’arsenal juridique 61

1.3 Le manuel des normes : Audit légal et contractuel 62

2 Les normes et référentiels internationaux 63

2.1 IFAC 63

2.2 SAC Report 65

2.3 COBIT : Control Objectives 69

3 Les recommandations de l’OECCA et de la CNCC : incidence de l’informatique 71


sur les missions d’audit
3.1 Les recommandations de l’OECCA 71

3.2 Les recommandations de la CNCC 72

Chapitre 2 : Méthodologie d’audit de la sécurité micro-informatique dans les PME 74

1 Déroulement de la mission 74

1.1 Prise de connaissance de l’entreprise et de son environnement micro-informatique 74

1.2 Analyse des risques 76

1.3 Evaluation du contrôle interne 78

2 Formulation des recommandations 81

2.1 Synthèse des dysfonctionnements : la note de synthèse et le rapport d’audit 81

2.2 La lettre de recommandations 83


2.3 Le suivi des recommandations 85
193 TABLE DES MATIERES

Pages
3 Particularités d’une mission d’audit de la sécurité micro-informatique 87

3.1 Les points communs aux différentes méthodes 87

3.2 Les particularités 88

3.3 Les possibilités d’application par l’expert-comptable 90

Chapitre 3 : Programme de travail et conduite de la mission par thème 93

1 Organisation micro-informatique et environnement de contrôle 93

1.1 Politique de sécurité 93

1.2 Organisation de la fonction informatique et définition des fonctions 94

1.3 Couverture des risques par l’assurance 96

2 Efficacité de l’environnement micro-informatique 97

2.1 La sécurité physique 97

2.2 La sécurité logique 98

2.3 La protection des données 99

3 Disponibilité de l’information 100

3.1 La disponibilité du matériel 100

3.2 La disponibilité des logiciels 101

3.3 La disponibilité des données : sauvegarde et archivage 102

4 Sécurité des études et développements d’applications informatiques 103

4.1 Développement interne 103

4.2 Acquisition d’applications dites "du marché" 105


194 TABLE DES MATIERES

Pages
CONCLUSION DE LA DEUXIEME PARTIE 107

CONCLUSION GENERALE 108

BIBLIOGRAPHIE 111

ANNEXES 116

LEXIQUE EN ARABE 186

TABLES DES MATIERES 190


ANNEXES

ANNEXE 14

Nom du Cabinet : Questionnaire d'audit de la sécurité micro-informatique Société :


Collaborateur : Date :

Réponse (O, N, N/A)


Risque (F, M, E)

Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS

1- Organisation micro-informatique et environnement de contrôle

Objectif de contrôle : Avoir l'assurance raisonnable que:

-L'utilisation de l'outil micro-informatique est efficace et adaptée à la stratégie de l'entreprise


-La séparation de fonctions tant au sein du service informatique qu'entre informaticiens et utilisateurs est suffisante
-Le système d'information répond aux besoins des l'activité et des différents utilisateurs

Travaux à effectuer :

1 Existe-t-il une politique de sécurité informatique découlant de la stratégie édictée par la direction générale? Si oui l'annexer au
présent questionnaire.
2 Une analyse des risques propres à la micro informatique a-t-elle été réalisée?
3 La direction générale a-t-elle une perception suffisante des besoins de sécurité de son entreprise? (risques encourus, techniques
de protection existante, etc.)
4 La politique de sécurité informatique définit-elle les outils d'administration de la sécurité et les infrastructures existantes?
5 Existe-t-il au sein de l'entreprise un responsable sécurité? Si oui, quelle est sa position dans l'organigramme de la société?
6 Le responsable sécurité dispose t-il de réel moyens pour garantir la sécurité du système informatique de l'entreprise?
7 Les salariés de l'entreprise sont-ils sensibilisés aux besoins de sécurité de l'entreprise?
8 Si oui, par quels moyens (affichages, notes de services, courrier électronique, etc.…)?
9 La société a-t-elle contracté une assurance informatique adaptée aux risques encourus par sa micro informatique?

Page 1 de 8
ANNEXES

ANNEXE 14

Nom du Cabinet : Questionnaire d'audit de la sécurité micro-informatique Société :


Collaborateur : Date :

Réponse (O, N, N/A)


Risque (F, M, E)

Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS

10 Existe-t-il des contrats de travail propres aux informaticiens et définissant la discrétion à observer en dehors des heures de travail,
le délai de préavis à respecter, la clause relative à la formation, etc.…?
11 La structure de la cellule informatique est elle appropriée à la taille de l'entreprise? (obtenir le cas échéant copie organigramme)
12 La séparation des fonctions à l'intérieur du département informatique est-elle adaptée à la taille de l'entreprise
13 Les responsabilités de la fonction informatique sont-elles correctement définies et délimités? (l'informatique ne doit pas disposer
de tâches opérationnelles au sein de l'entreprise).
14 Les utilisateurs sont-ils satisfaits des services rendus par le service informatique? (expliciter éventuellement les problèmes
rencontrés).
15 Les utilisateurs bénéficient-ils de formations régulières à l'utilisation de l'outil micro informatique?

2- Efficacité de l'environnement micro-informatique (maîtrise des accès physiques et logiques)

Objectif de contrôle : Avoir l'assurance raisonnable que :

-Les risques de dégâts accidentels ou involontaires ainsi que les risques de vol de matériels et supports sont limités
-Les données et programmes de l'entreprise ne peuvent pas faire l'objet d'accès non autorisés
-S'assurer que l'environnement d'exploitation permet de garantir la confidentialité, l'intégrité et la fiabilité des systèmes informatiques

Travaux à effectuer :

Page 2 de 8
ANNEXES

ANNEXE 14

Nom du Cabinet : Questionnaire d'audit de la sécurité micro-informatique Société :


Collaborateur : Date :

Réponse (O, N, N/A)


Risque (F, M, E)

Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS

16 Les micro-ordinateur sont-ils protégés contre les risques d'incendie, d'inondation, de vol, etc.…?
17 L'accès aux locaux de l'entreprise est-il convenablement contrôlé pour le personnel de nettoyage et personnel chargé de la
maintenance?
18 Existe-t-il des contrôles mis en place afin de réduire le risque de vol de matériel ou support informatique?
19 Est-il prévu un système de secours en cas de coupure du courant? (onduleurs, groupe électrogène, etc.…)
20 Les onduleurs sont-ils contrôlés périodiquement? (état de la batterie)
21 Les câblages réseaux sont-ils correctement isolés, protégés et répertoriés?
22 Les utilisateurs sont-ils sensibilisés sur la fragilité de leur outil micro informatique?
23 Existe-t-il un règlement intérieur spécifique aux risques incendie? (interdiction de fumer, évacuation, alerte des pompiers, etc.…)
24 Existe-t-il des extincteurs mobiles dans la salle informatique et à proximité?
25 Les supports papier et papier listings sont-ils stockés hors de la salle informatique?
26 Les bureaux sont-ils fermés à clef en dehors des heures de travail ou en cas d'absence des utilisateurs?
27 Les utilisateurs des ordinateurs portables sont-ils sensibilisés sur les menaces importantes pesant sur leur matériel?
28 Existe-t-il une procédure formalisée en terme de déménagement ou de mouvements affectant le parc micro informatique?
29 Les lecteurs disquettes des micro-ordinateurs ont-ils été désactivé?
30 Les données et applications sensibles ont-elles été répertoriés?
31 Les licences achetées sont-elles monopostes ou multipostes?
32 Les dispositifs de contrôle d'accès permettent-ils d'identifier à l'aide de mots de passe les différents utilisateurs, d'assurer une
mise à jour des mots de passe, de laisser une trace des différents accès pour revue?
33 Le responsable sécurité tient-il une liste à jour des droits d'utilisation aux différentes applications?
34 L'accès aux applications est-il sécurisé au moyen de mots de passe?
35 Le nombre de tentative d'accès aux applications est-il limité?

Page 3 de 8
ANNEXES

ANNEXE 14

Nom du Cabinet : Questionnaire d'audit de la sécurité micro-informatique Société :


Collaborateur : Date :

Réponse (O, N, N/A)


Risque (F, M, E)

Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS

36 Chaque profil utilisateur est-il configuré en fonction de droits d'habilitation?


37 Le responsable informatique dispose-t-il des définitions des autorisations d'accès par utilisateur?
38 Existe-t-il un norme interne pour le format des mots de passe (longueur, syntaxe? etc.…)?
39 Les mots de passe sont-ils changés régulièrement?
40 Les mots de passe s'affichent-ils à l'écran lors de la saisie?
41 Les utilisateurs sont-ils sensibilisés sur l'importance du caractère confidentiel des mots de passe?
42 Les utilisateurs peuvent-ils matériellement respecter le principe de confidentialité des mots de passe dans le contexte de
l'entreprise? (problème séparation de fonctions, problème posé par les congés, etc.…)
43 Lors du départ définitif d'un employé, les habilitations et mots de passe sont-ils modifiés?
44 L'utilisation de données en provenance de l'extérieur (CD-Rom, disquette, fichiers, etc.…) est-elle strictement réglementée?
45 La connexion à des réseaux externes à l'entreprise (Internet) est-elle réglementée?
46 En cas d'accès réseau partagé, existe-t-il un serveur proxy?
47 Y a-t-il une restriction des sites?
48 Existe-t-il des barrières de feux (fire-walls)?
49 En cas d'accès mono, existe-t-il une liste des utilisateurs ayant droit à Internet?
50 Le partage des fichiers sur le PC frontal est-il actif?
51 Y a-t-il un anti-virus Web?
52 Les utilisateurs sont-ils sensibilisés sur les risques que les virus font courir à la société?
53 La société utilise-t-elle un logiciel anti-virus?
54 Chaque micro ordinateur dispose t-il d'un logiciel anti-virus?
55 Ce logiciel est-il réputé? Est-il à jour?

Page 4 de 8
ANNEXES

ANNEXE 14

Nom du Cabinet : Questionnaire d'audit de la sécurité micro-informatique Société :


Collaborateur : Date :

Réponse (O, N, N/A)


Risque (F, M, E)

Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS

56 Le logiciel anti-virus est-il toujours activé sur chaque micro ordinateur?


57 Le responsable informatique contrôle-t-il inopinément que le logiciel anti-virus n'est pas désactivé par les utilisateurs?

4- Disponibilité de l'information

Objectif de contrôle : Avoir l'assurance raisonnable que :

-L'intégrité et la sécurité des matériels et logiciels sont assurées de manière satisfaisante


-Tout risque d'intérruption est limité et l'activité peut être poursuivie dans un délai acceptable

Travaux à effectuer :

58 Y a-t-il un inventaire permanent du parc de micro ordinateurs?


59 Le parc micro informatique est-il cohérent, homogène?
60 Existe-t-il une politique d'investissement centralisée?
61 Le matériel est-il testé avant d'être installé?
62 Les extensions de garantie sont-elles systématiquement choisies au moment de l'achat?
63 Les matériels achetés sont-ils de marques réputés? (ou clones).
64 Les mises à jours des logiciels systèmes sont-elles convenablement testées et validées préalablement à leur installation?
65 S'assure t-on de la compatibilité des matériels achetés avec les matériels et logiciels déjà utilisés?
66 Les achats de logiciels et matériels sont-ils soumis à une procédure d'autorisation appropriée?
67 Si la maintenance est assurée en interne, le responsable informatique a-t-il les compétences suffisantes en micro informatique?

Page 5 de 8
ANNEXES

ANNEXE 14

Nom du Cabinet : Questionnaire d'audit de la sécurité micro-informatique Société :


Collaborateur : Date :

Réponse (O, N, N/A)


Risque (F, M, E)

Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS

68 La société dispose t-elle d'un stock de dépannage en matière de pièce de rechange des micro informatiques et des périphériques?
69 Si la maintenance est réalisée en externe, existe-t-il un contrat écrit entre la société et le prestataire de service?
70 Les délais d'intervention et de réparation sont-ils adaptés aux impératifs de la société?
71 Les prestations couvertes sont -elles adaptés aux systèmes informatiques?
72 Les logiciels utilisés sont-ils réputés?
73 les logiciels utilisés sont-ils homogènes? (même éditeurs ou canaux de distribution).
74 Quelle est la fréquence des pannes?
75 Existe-t-il un journal récapitulatif des incidents?
76 La société dispose t-elle d'un copie de secours de tous les logiciels utilisés?
77 Veille-t-on régulièrement à ce que la capacité des disques durs ne soit pas proche de la saturation?
78 Existe-t-il des procédures permettant la sauvegarde régulière des fichiers et logiciels?
79 La procédure de sauvegarde concerne-t-elle également l'archivage?
80 La procédure de sauvegarde prévoit-elle le type de sauvegarde utilisé? (incrémentale, par volume, par fichiers).
81 Si oui, le nombre et la fréquence des sauvegardes sont-ils suffisants?
82 Existe-t-il une procédure de sauvegarde des fichiers personnels? Quel est le support utilisé? Quid centralisation des sauvegardes?
83 Si oui, le responsable informatique assiste-t-il les utilisateurs dans la gestion de leur sauvegarde?
84 Les sauvegardes sont elles conservées dans un endroit sécurisé (en dehors du site)?
85 Le dernier jeu de sauvegardes est-il facilement accessible? Est-il placé en lieu sûr? (coffre ignufigé fermant à clef)
86 Existe-t-il une procédure permettant le test de relecture des sauvegarde? Et permettant le suivi et la localisation des supports de
sauvegarde?
87 Si oui, les supports de sauvegarde / archivage sont-ils testés régulièrement?
88 L'utilisation de support de stockage étranger à l'entreprise est-il strictement interdit?

Page 6 de 8
ANNEXES

ANNEXE 14

Nom du Cabinet : Questionnaire d'audit de la sécurité micro-informatique Société :


Collaborateur : Date :

Réponse (O, N, N/A)


Risque (F, M, E)

Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS

89 Existe-t-il un plan de secours adapté et documenté?


90 Si oui, permet-il le redémarrage de l'activité dans un délai raisonnable?
91 Le plan de back-up prévoit-il notamment le temps de reprise, les traitements back-up, les actions consécutives au test, la
restitution des données et programmes sauvegardées, etc…?

4- Sécurité des études et développements d'applications informatiques

Objectif de contrôle : Avoir l'assurance raisonnable que:

-Les systèmes fonctionnent correctement, qu'ils sont fiables et maîtrisables et qu'ils répondent aux besoins des utilisateurs
-Des contrôles d'intégrité sur les données (applicable aux progiciels, applications développées en interne ou par recours à une SSII)
-Tous les développements ou modifications d'applications informatiques sont autorisés, testés et documentés

Travaux à effectuer :

92 Une méthodologie appropriée est-elle utilisée pour les développements internes et les modifications de programmes?
93 Les conditions de support et de maintenance des progiciels sont-elles satisfaisantes?

Page 7 de 8
ANNEXES

ANNEXE 14

Nom du Cabinet : Questionnaire d'audit de la sécurité micro-informatique Société :


Collaborateur : Date :

Réponse (O, N, N/A)


Risque (F, M, E)

Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS

94 Existe-t-il des contrôles appropriés lors de la mise en production de nouvelles versions de programmes?
95 Le responsable informatique s'assure-t-il de l'adéquation du produit final au cahier des charges élaboré lors des phases d'étude
d'opportunité et la spécifications des besoins?
96 Les systèmes informatiques et les programmes sont-ils suffisamment documentés?
97 Les modifications de programmes font-elles l'objet d'autorisation? Sont-elles convenablement testés par les utilisateurs?
98 La maintenance pour la correction de problèmes ou l'adjonction de nouvelles fonctionnalités est-elle appropriée?
99 La qualité et la rentabilité des développements externes sont-elles correctement suivies et évalués?
100 La société veille-t-elle à ce que les supports d'origine soient livrés avec le matériel pour les logiciels préinstallés?

Page 8 de 8