SOMMAIRE

SOMMAIRE................................................................................................................................0
OBJECTIFS.................................................................................................................................1
INTRODUCTION.......................................................................................................................1
I-DEFINITION DES TERMES...................................................................................................1
II-METHODOLOGIE.................................................................................................................2
III-CAS PRATIQUE..................................................................................................................10
CONCLUSION..........................................................................................................................11
REFERENCES..........................................................................................................................11
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

OBJECTIFS
A la fin de ce chapitre l’étudiant doit être capable de :

Maitriser les définitions d’audit, de référentiel et de système d’information ;

Présenter les différents référentiels de l’audit des systèmes d’informations ;
Présenter le référentiel d’audit utilisé par une entreprise à partir d’un exemple.

INTRODUCTION
L’évolution exponentielle de l’environnement interne et externe de l’entreprise requiert
de celle-ci une réactivité rapide sur son système d’information confronté à de nombreuses
difficultés notamment sa sécurité. Pour pallier à cela il est nécessaire de mettre en place un
audit du système d’information. Ainsi la mise en place de cette méthode passe par des
référentiels standards applicables pour cette démarche. Cependant quels sont les référentiels en
audit informatique ? La mise en lumière de cette notion évoquée constituera la toile de fond de
notre devoir.

I-Définition des termes

L’audit est l'évaluation du niveau de contrôle des risques associés à une activité.

Un référentiel est un ensemble structuré de recommandations ou de bonnes pratiques

utilisées pour le management du système d'information.

Un système d’information est l’ensemble des moyens et des ressources informatiques

dont dispose une entreprise pour recueillir, traiter, stocker et diffuser les données nécessaires à
son activité.

1
3
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

II-METHODOLOGIE
II.1 Un référentiel d’audit, qu’est-ce que c’est ? et pour quoi faire ?

L’informatique est un monde d’ingénierie dont les différents aspects sont régis par des
règles bien spécifiques. Il est toujours possible de ne pas respecter certaines des règles. Par
exemple : il est possible de mener à bien un projet informatique sans tenir de planning. Il est
aussi possible de développer une application informatique qui fonctionne sans respecter
aucune norme de codage. Avec un peu de chance, il se peut que les travaux se déroulent
correctement. Cependant moins on se repose sur des règles et procédures plus les risques de
problèmes et d’échecs sont importants. Evidemment, plus on souhaite que les travaux se
déroulent correctement, plus il est nécessaire de se conformer aux règles de l’art. Si
l’expérience et le bon sens sont bien évidemment des éléments importants dans les missions
d’audit, ils sont loin d’être suffisants et c’est ici qu’intervient la notion de référentiel d’audit.

Un référentiel de l’audit comme mentionné plus haut correspond à un recueil de règles,

procédures et/ou bonnes pratiques reconnues au plan international et sur lequel l’auditeur
pourra s’appuyer pour formuler ses recommandations.

II.2- Présentation de quelques référentiels de l’audit des SI

Avant de mener des travaux d’investigation lors de la phase d’exécution les auditeurs
doivent d’abord fixer un ou plusieurs cadres de référentiels soit ceux propres à l’entreprise ou
choisis parmi les standards et les normes internationales existants. Ces référentiels peuvent
être utilisés par les auditeurs au cours d’une mission d’audit afin d’évaluer les dispositifs de
contrôler question et de mesurer le niveau de leurs applications par rapport aux exigences et
les bonnes pratiques de ces standards.

Plusieurs référentiels d’audit se présentent sur le marché et permettant chacun de traiter

un élément ou une dimension des SI tels que :

 CobiT: (Control Objectives for Information and related Technology). C'est le principal
référentiel des auditeurs informatiques ;
 Val IT : permet d'évaluer la création de valeur par projet ou par portefeuille de projets ;

 Risk IT : a pour but d'améliorer la maîtrise des risques liés à l'informatique ;

1
3
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

 ISO 27002 : c’est un code des bonnes pratiques en matière de management de la

sécurité des systèmes d'information ;
 CMMi : (Capability Maturity Model integration) : qui est une démarche d'évaluation
de la qualité de la gestion de projet informatique ;

 ITIL qui est un recueil des bonnes pratiques concernant les niveaux et de support des
services informatiques.

Ces différents référentiels présentent une bibliothèque complète de savoir et de bonnes

pratiques pour la gestion et la bonne gouvernance des SI, ils forment une base aux managers
afin de piloter, contrôler et de maintenir des SI en haute performance. Il en existe notamment
trois qui sont particulièrement répandus, à savoir COBIT, CMMI et ITIL.

II.2.1. Le référentiel COBIT

COBIT est un référentiel développé par l’ISACA (Information Audit and Control
Association) en 1994, et repris maintenant par l’IT Governance depuis 1998.  C'est un cadre
de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité)
et les investissements.

Il s’agit d’un modèle de contrôle permettant de satisfaire les besoins de gouvernance en

matière des technologies de l’information et d’assurer l’intégrité de ces derniers et des
informations qu’ils contiennent. Ces informations doivent répondre à un certain nombre de
critères préconisés par COBIT, et qui se présentent comme suit :

 L'efficacité : qualité et pertinence de l'information, distribution cohérente ;

 L'efficience qui qualifie la mise à disposition de l’information grâce à l’utilisation
optimale (la plus productive et la plus économique) des ressources ;
 La confidentialité : protection de l’information sensible contre toute divulgation non
autorisée ;
 L'intégrité : l’information correspond à la réalité de la situation ;
 La disponibilité : l’information est disponible pour les destinataires en temps voulu ;
 La conformité : se conformer aux lois, aux réglementations et aux clauses
contractuelles auxquelles le processus métier est soumis, c'est-à-dire aux critères
professionnels imposés par l’extérieur comme par les politiques internes.
 La fiabilité concerne la fourniture d’informations appropriées qui permettent au
management de piloter l’entreprise et d’exercer ses responsabilités fiduciaires et de
gouvernance.

1
3
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

L'information est produite par des systèmes qui mobilisent les ressources suivantes.

 Application : les systèmes automatisés et les procédures pour traiter l’information.

 Information : les données, comme entrées ou sorties des systèmes d’information,

quelle que soit leur forme.

 Infrastructure : les technologies et les installations qui permettent le traitement des

applications.

 Personnes : les ressources humaines nécessaires pour organiser, planifier, acquérir,

délivrer, supporter, surveiller et évaluer les systèmes d’information et les services.

Le référentiel (modèle) COBIT se focalise sur ce que l'entreprise a besoin de faire et

non sur la façon dont elle doit le faire. Il existe plusieurs versions du référentiel COBIT, mais
nous n’en citerons que 3 grandes versions notamment :

 Le référentiel CobiT 4.1 

Le référentiel COBIT 4.1 est une approche orientée processus qui définit 34 processus
regroupés en quatre domaines :

 Planification et l'organisation : ce domaine couvre les activités liées aux aspects de

stratégie, de planification, de communication et d'organisation.
 Acquisition et la mise en place : la réalisation de la stratégie consiste à identifier les
solutions, puis à les faire développer en interne ou à les acquérir auprès des
fournisseurs et à les intégrer dans les processus d'affaire. La maintenance de systèmes
existants fait également partie de ce domaine.
 Distribution et le support : les systèmes et les applications doivent être exploités et
sécurisés, les utilisateurs doivent être formés.
 Surveillance (Monitoring) : consiste à évaluer de façon périodique et régulière tous
les processus TI et à vérifier leur conformité par rapports aux exigences de l'entreprise.
Ce domaine regroupe donc la surveillance assurée par le contrôle interne, les audits
internes ou les audits externes.

Processus du modèle cobit 4.1 :

1
3
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

Distribution et Support Acquisition et implémentation Planification et organisation

PO1 Définir un plan stratégique
PO2 Définir l’architecture de l’information
PO3 Déterminer une ligne stratégique
PO4 Définir l’organisation informatique et ses liaisons
PO5 Gerer les investissements informatiques
PO6 Communiquer les buts de la direction
PO7 Gerer les ressources humaines
PO8 Assurer le respect des exigences externes
PO9 Evaluer les risques
PO10 Gerer les projets
PO11 Gerer la qualité

AI Identifier les solutions

AI2 Acquérir et maintenir les logiciels applicatifs
AI3 Acquérir et maintenir l’architecture technologique
AI4 Développer et maintenir les processus informatiques
AI5 Installer et accréditer les systèmes Comme le montre
AI6 Gerer les changements
le schéma suivant, les
ressources
informatiques sont
gérées par des processus
informatiques pour
atteindre des
DS1 Définition des niveaux de service
DS2 Gestion des services aux tiers objectifs
DS3 Gestion des performances et des capacités
informatiques qui
DS4 Garantie de la poursuite des traitements
DS5 Garantie de la sécurité des systèmes répondent aux
DS6 Identification et attribution des coûts
DS7 Formation des utilisateurs exigences métiers.
DS8 Assistance des utilisateurs
DS9 Gestion de la configuration
DS10 Gestion des incidents
DS11 Gestion des données et des applications
DS12 Sécurité physique du système
DS13 Gestion de l'exploitation
Surveillance

M1 Surveillance des processus

M2 Appréciation du contrôle interne
M3 Certification par un organisme indépendant
M4 Audit par un organisme indépendant

Figure 1 : Le cube cobit

 Le référentiel CobiT version 5

1
3
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

La version 5 de COBIT est disponible depuis avril 201214. Le référentiel COBIT 5 est,
à ce jour, le seul référentiel qui est orienté business pour la Gouvernance et la Gestion des
Systèmes d'Information de l'entreprise. Il représente une évolution majeure du référentiel. Il
adapté pour tous les types de modèles business, d'environnements technologiques, toutes les
industries, les lieux géographiques et les cultures d'entreprise. Il s'applique à :

- La sécurité de l'information ;
- La gestion des risques ;
- La gouvernance et la gestion du système d'information de l'entreprise ;
- Les activités d'audit ; La conformité avec la législation et la réglementation ;
- Les opérations financières ou les rapports sur la responsabilité sociale de
l'entreprise.

Une des principales nouveautés du référentiel COBIT 5 est d'aborder le système

d'information, au-delà des processus déjà mis en avant par le référentiel COBIT 4.1, au travers
d'autres thématiques complémentaires, dans le cadre d'une approche globale (ou systémique).
L'ensemble de ces thématiques contribuent de manière interdépendante à la maîtrise de la
gouvernance et du management du Système d’Information.

Ce dernier définit 37 processus regroupés en cinq domaines :

 Évaluer, diriger, et surveiller

 Aligner, planifier et organiser
 Bâtir, acquérir, et implanter
 Livrer, servir et soutenir
 Surveiller, évaluer et mesurer.

 Le référentiel CobiT QUICKSTART

Cette version simplifiée de CobiT s'adresse principalement aux PME pour lesquelles les
techniques informatiques ne représentent pas un enjeu stratégique mais simplement un levier
dans leur stratégie de croissance. Il se repose sur les hypothèses suivantes :

 L’infrastructure informatique n'est pas complexe ;

 La taille de l'entreprise, le système d'information et l'activité sont bien alignés ;
 Les tâches les plus complexes sont externalisées ;
 La tolérance aux risques est relativement élevée ;
 L'éventail des contrôles est peu étendu ;

1
3
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

 La structure de commandement est simple.

Cette version conserve du référentiel COBIT 30 processus sur les 34, et 62 objectifs de
contrôle sur les 318.

II.2.2. Le référentiel CMMI

CMMI (Capability Maturity Model Integration) est un référentiel d’évaluation pour le

développement de systèmes, de produits matériels et/ ou logiciels. Ce référentiel a été
développé en 1987 et mis au point par le SEI (Software Engineering Institute) à Pittsburg afin
de prendre le relais du CMM (Capability Maturity Model). C’est un référentiel de bonnes
pratiques orienté vers le développement logiciel et la gestion de projet afférente. Il permet aux
entreprises de mesurer leurs pratiques de développement et de définir un plan d’actions en vue
de tendre vers l’excellence.

C’est un référentiel qui sert à évaluer la capacité à gérer et à terminer un projet

correctement et dans les délais. Ce référentiel propose de nombreuses pratiques liées à la
gestion mais aussi au développement et à la maintenance des systèmes et des applications
informatiques.

CMMI est structuré en 22 processus regroupés en 4 domaines :

 Gestion des processus

 Gestion des projets (planification, gestion des ressources, gestion des risques…),
 Ingénierie (gestion des exigences, solutions techniques, intégration produit, …)
 Support (gestion de configuration, assurance qualité, mesures et analyses, …)

Et ces 4 domaines sont aussi devisés en 5 niveaux de maturité :

La maturité est le degré auquel une organisation a déployé explicitement et de façon

cohérente des processus qui sont documentés, gérés, mesurés, contrôlés et continuellement
améliorés.

 Niveau 1 dit Initial, c’est le niveau le plus basique. Les processus quasi inconnus sont
imprévisibles. Aucun facteur de réussite n'est identifié. La réussite du projet reste
aléatoire.
 Niveau 2 dit discipliné, le déroulement du projet commence à être maîtrisé. Les
méthodes de réalisation mises en place permettent d'assurer la répétition d'un projet
quasi identique.

1
3
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

 Niveau 3 dit standardisé, les processus du projet sont clairement identifiés et définis.
Tous les acteurs du projet en ont une compréhension claire.
 Niveau 4 dit quantifié, le déroulement du projet est mesuré autant en terme
quantitatif que qualificatif. Les écarts sont analysés.
 Niveau 5 dit Optimisé, optimisation des processus, mise en place des processus
permettant l’amélioration continue, maîtrise du changement.

Les domaines de processus par niveau de maturité :

Niveau 2
La gestion des exigences Ingénierie
La planification de projet Gestion des projets
Le suivi de projet Gestion des projets
La gestion des fournisseurs, Gestion des projets
L'utilisation de métriques Support
L'assurance qualité Support
La gestion de configuration. Support

Niveau 3
Développement des exigences Ingénierie
Gestion des risques Ingénierie
Analyse et prise de décision Ingénierie
Définition du processus organisationnel Ingénierie
Focalisation sur le processus Ingénierie
organisationnel
Formation organisationnelle Gestion des processus
Gestion de projet intégrée Gestion des processus
Solution technique Gestion des processus
Intégration de produit  Gestion de projet
Vérification Gestion de projet
Validation Support

Niveau 4
Performance du processus organisationnel Gestion des processus
Gestion de projet quantitative Gestion des projets

Niveau 5
Gestion de la performance organisationnelle Gestion des processus
Analyse causale et résolution Support

1
3
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

II.2.3 le référentiel ITIL

ITIL est un cadre reconnu mondialement pouvant être adopté au sein de votre

entreprise afin de garantir le respect des bonnes pratiques de gestion des services
informatiques. Les organisations ne peuvent être certifiées ITIL, seuls les individus peuvent
obtenir les qualifications ITIL d'Introduction, Intermédiaire, Expert ou Master.

ITIL (The Information Technology Infrastructure Library) est un ensemble de bonnes

pratiques de gestion des services informatiques adoptées à l'échelle mondiale, faisant d'ITIL
l'approche la plus largement acceptée en matière de gestion des services informatiques dans le
monde. ITIL fournit des conseils concernant les bonnes pratiques de gestion de l'infrastructure
informatique afin de rationaliser les services informatiques conformément aux attentes de
l'entreprise. C'est un référentiel très large qui aborde les sujets suivants :

 Comment organiser un système d'information ?

 Comment améliorer l'efficacité du système d'information ?
 Comment réduire les risques ?
 Comment augmenter la qualité des services informatiques ?
Les bénéfices d’ITIL Ceux-ci sont nombreux. En voici une liste non exhaustive :
 Satisfaction des utilisateurs (personnel et clients).
 Amélioration du ratio coût / service rendu (meilleure efficacité et réduction des activités
répétitives) Clarification des rôles.
 Amélioration de la communication interservices.
 Mise sous contrôle des processus avec des indicateurs pertinents et mesurables.
Meilleure
compétitivité.
 Sécurité accrue (disponibilité, fiabilité, intégrité).
 Capitalisation des données de l‘entreprise.
 Optimisation de l‘utilisation des ressources.
ITIL étant très centré sur le système d'information, son utilisation pour la gouvernance
des systèmes d'information posera de toute façon la question de l'alignement stratégique du
système d'information sur les processus métier. Le référentiel ITIL décrit comment on s'assure
que le « client » a accès aux services informatiques appropriés, et comprend :
 Le centre de services (service desk)
 La gestion des incidents (incident management)
- Détection et enregistrement

1
3
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

- Classification et première analyse

- Investigation et diagnostic
- Résolution et remise en service
- Fermeture de l‘incident
- Propriété, contrôle, suivi et communication
 La gestion des problèmes (problem management)
- Classification des problèmes qui se fait en fonction du type de problème
(Matériel, Système d‘exploitation, Logiciel, Réseaux, Applicatif,
Processus et procédures), en fonction de leur impact, l’urgence et leur
priorité
- Investigations et diagnostic
- Demande de changement, résolution et fermeture
 La gestion des changements (change management)
 La gestion des mises en production (release management)
 La gestion des configurations (configuration management)

III-CAS PRATIQUE
Nous allons auditer Le SI de l’ISI, un institut fictif qui forme dans l’informatique, une
école réputée concernant la qualité de la formation en utilisant le référentiel cobit 4.1.

Problème posé : Depuis quelque années, L’ISI connait quelques difficultés de

fonctionnement à divers niveaux qui a ffectent pleinement la réalisation de ses missions. Il est
estimé que ces difficultés sont la conséquence d’une insuffisance de ressources financières,
de problème d’ordre organisationnel et ou administratif et de gestion.

 Résolution :

Le référentiel cobit 4.1 comporte 04 processus et nous allons se baser dessus pour auditer
le SI de l’ISI. Pour chaque domaine nous allons choisir un processus.

Le 1er processus définition du plan stratégique consiste à définir les objectifs de

l’entreprise. Comme objectif, l’ISI s’est fixé comme objectif de former près de 1000
ingénieurs

Le premier processus : Evaluer les risques

 Risque de chomage

1
3
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

 Perte de credibilité

Le second processus : identifier les solutions

1
3
 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION

CONCLUSION
Il paraît évident, à partir de l’ensemble des éléments qu’on a traité tout au long de ce
travail, que l’évolution des systèmes informatiques et leur intégration inéluctable, a poussé les
référentiels d’audit à s’adapter et à introduire des nouveautés.

En effet, parmi ces dernières on trouve l’intégration de nouvelles règles telles que la
protection des systèmes informatiques et des réseaux et l’évaluation de nouveaux risques
inhérents à ces systèmes. Ainsi la mise en application par étape de la démarche d’audit passe
par l’utilisation des référentiels indiquant la conduite à tenir lors de sa mise en place.

REFERENCES

Wikipédia

Les référentiels de la DSI (Direction des Systèmes d’informations), CIGREF.

Cours d’Audit des systèmes d’information / Dr. YENDE RAPHAEL Grevisse. PhD
Mise en place du référentiel COBIT (cnrs.fr)

1
3