Analyse de Risque Informatique Pour PME

Guide d’analyse
des risques informatiques

Support de travail pour les auditeurs de PME
8.9.2011
tiers
s mé
essu
Proc
IT
ions
licat
App
se
e ba
es IT d
Systèm
e IT
ctur
a stru
Infr
©
ITA
CS
Tr
ai
nin
g
« G u i d e d ’ a n a ly s e d e s r i s q u e s i n f o r m at i q u e s »
Table des matières
Table des matières 1
Vue d’ensemble et délimitation 2
Introduction 4
Guide d’analyse des risques informatiques 6
Phase 1: Evaluation globale des risques 8
Phase 2: Contrôle relatif à l’utilisation de l’informatique 15
L’IT-Check comme «combinaison» des phases 1 et 2 19
Indications concernant les audits IT approfondis 21
Conclusion 24
Questionnaire Phase I (Annexe 1) 25
Questionnaire Phase II (Annexe 2) 27
Auteurs:
Comité technique informatique de la Chambre fiduciaire
Gestion de projet:
Peter R. Bitterli et Peter Steuri
Graphisme et mise en page: Felice Lutz, ITACS Training AG
1
1 Vue d’ensemble et délimitation
Délimitation de l’approche
Dans le cadre des procédures d’audit orientées processus ou résultat et basées sur l’utilisation d’applications informatiques
(IT), il est essentiel de prendre en compte tous les domaines importants, y compris les domaines IT spécifiques ayant une
influence significative sur l’objectif de l’audit. Pour y parvenir, une approche d’audit intégrée (auditeur et auditeur IT) est
nécessaire. L’absence de procédure concertée entre auditeurs et auditeurs IT constitue à cet égard un risque élevé.
Afin de prévenir ce risque d’audit, les membres du Comité technique informatique de la Chambre fiduciaire ont
élaboré deux guides. Ceux-ci reposent sur un modèle à quatre couches qui présente les principales interactions de manière
schématique et simplifiée. Dans la réalité, les interactions peuvent être beaucoup plus complexes. La schématisation permet
de mieux appréhender les deux approches.
par la méthode
Contrôles d’applications IT
couvert
ion s • Intégralité
n sact • Exactitude
/ tra
mé tier • Validité
essus
Proc • Autorisation
• Séparation des fonctions
ères
anci
ion s fin
licat
Contrôles IT généraux App
• Environnement de
ées
par la méthode
contrôle IT (polices, onn

de d
non couvert
ase
directives) e/b
dle war
• Développement de Mid
programmes eau
• Modifications IT / rés
ita tion
• Exploitation IT xplo
s d’e
ème
• Gestion des accès Syst
• Sécurité des systèmes
• Sécurité des données
Modèle à quatre couches
La figure ci-dessus montre, sous forme simplifiée, le modèle en couches utilisé dans les deux approches élaborées par le
Comité technique informatique. Chacune des quatre couches représente un type de processus et de ressource.
• La couche supérieure (bleue) contient les principaux processus (manuels) de l’entreprise, présentés typiquement par
domaines d’activité et subdivisés en sous-processus et en activités individuelles.
• La deuxième couche (rouge) contient les éléments automatisés des processus de l’entreprise, c’est-à-dire les applications
(IT) à proprement parler. A l’exception peut-être des PME de petite taille, la majorité des opérations commerciales dans
toutes les entreprises est traitée à l’aide d’applications IT.
• La troisième couche (jaune) contient les systèmes IT de base. Ce terme recouvre une grande diversité de plates-formes
possibles supportant les applications de la deuxième couche. Exemples: systèmes de gestion de base de données
(p. ex. SQL, Oracle), composants de base d’applications intégrées (p. ex. SAP Basis) ou systèmes plus techniques (p. ex.
Middleware).
• La couche inférieure (verte) contient les éléments d’infrastructure informatique. Pour l’essentiel, cette couche contient
les éléments matériels (systèmes Midrange, serveurs) ainsi que les composants du réseau et les systèmes de surveillance
technique y relatifs.
2
Guide d’audit des applications informatiques
Le «Guide d’audit des applications informatiques» publié en 2008 est aujourd’hui disponible en allemand (www.treuhand-
kammer.ch), en français (www.afai.fr) et en anglais (www.isaca.ch). Il traite principalement des deux couches supérieures,
c’est-à-dire des contrôles basés sur l’utilisation d’applications informatiques au sein des processus métiers ainsi que des
applications sous-jacentes.
L’approche présentée est destinée à aider l’auditeur financier à développer une approche d’audit intégrée et à recentrer la
procédure d’audit de manière plus efficace et plus ciblée sur les risques, en intégrant l’audit des processus métiers pertinents
et des applications correspondantes. L’approche commence donc avec l’analyse des états financiers de l’entreprise et se
termine par l’appréciation de l’impact des résultats d’audit sur ces états financiers.
Cette analyse des états financiers de l’entreprise lie les principales positions comptables aux processus métiers pertinents
ou, plus concrètement, détermine les flux de traitement des données à l’origine des principales positions comptables et des
applications de base qui supportent ces flux.
Une fois les applications de base identifiées, l’auditeur s’intéresse à la qualité du système de contrôle. Il détermine d’abord
si la conception du système de contrôle est adaptée à la situation de risque actuelle des processus de l’entreprise et enfin si
les contrôles prévus sont implémentés et sont efficaces.
L’évaluation du système de contrôle des processus métiers pris en compte dans le cadre de l’audit permet à l’auditeur de
savoir s’il peut s’appuyer sur les procédures et les applications de base à l’origine des principales positions comptables et, le
cas échéant, de définir l’étendue des procédures d’audit orientées résultat supplémentaires qu’il doit effectuer.
Guide d’analyse des risques informatiques
Le présent «Guide d’analyse des risques informatiques» traite principalement des deux couches inférieures, c’est-à-dire
de l’infrastructure IT et des processus IT sous-jacents, mais aussi des processus IT généraux relatifs à la maintenance et au
développement des applications IT de l’entreprise au sein de la deuxième couche. Le guide analyse en outre un certain
nombre de problématiques liées aux deux couches supérieures afin de procéder à une évaluation globale de la situation en
termes de risques.
Le «Guide d’analyse des risques informatiques» établit une approche standard pour:
• l’identification des risques inhérents à l’utilisation de l’informatique dans l’entreprise;
• le recensement et l'évaluation des «contrôles IT généraux» ainsi que l’utilisation de l’informatique au sein des petites et
moyennes entreprises et organisations.
Le «Guide d’analyse des risques informatiques», qui constitue un support de travail facultatif, fournit ainsi à l’auditeur les
informations sur l’utilisation de l’informatique nécessaires à la planification stratégique de l’audit.
3
2 Introduction
Importance de l’informatique pour le SCI
Conformément à l’art. 728a CO, l’organe de révision doit vérifier et confirmer, à partir de l’exercice 2008, s’il existe un
système de contrôle interne (SCI) dans les entreprises ayant une importance économique soumises à un contrôle ordinaire.
Dans bon nombre de petites et moyennes entreprises, on observe que l’étendue et le contenu, mais aussi l’utilité concrète
du SCI, sont encore sources d’incertitudes et de questions. Ceci est valable tant pour le SCI au niveau de l’entreprise et des
processus que, dans une plus large mesure encore, pour les contrôles IT.
La Norme d’audit suisse «Vérification de l’existence du système de contrôle interne» (NAS 890) définit comme suit
l’importance de l’informatique pour le système de contrôle interne:
«Plus le processus de tenue de la comptabilité et d’établissement du rapport financier dépend de systèmes IT et

plus le risque que des erreurs trouvent leur origine dans la mise en place et l’utilisation des systèmes IT est élevé,
plus les contrôles dans le domaine de l’informatique sont importants.»
Utilisation de l’informatique dans les PME
Les exigences des PME en matière d’informatique ne sont pas très différentes de celles des grandes entreprises: il est souvent
indispensable de recourir à des applications recouvrant un large éventail de fonctions et requérant une disponibilité et une
sécurité importantes pour assurer l’efficacité et la fiabilité des processus de l’entreprise.
Par rapport aux grandes entreprises, dont les services informatiques sont dotés d’un savoir-faire et de capacités élevés,
les PME – bien que leurs systèmes et leur infrastructure IT soient généralement «clairs» et que les applications de base
consistent de logiciels standard – sont souvent exposées aux risques «typiques» suivants:
• absence de savoir-faire en matière d’applications IT ainsi que de flux de données et de valeurs (interfaces), d’où une
utilisation des logiciels inefficace et sujette aux erreurs, des faiblesses dans les contrôles internes et une dépendance élevée
vis-à-vis de partenaires externes (fournisseurs);
• concentration importante du savoir-faire au niveau de quelques personnes, ce qui s’accompagne très souvent de processus
IT peu structurés et peu documentés, d’où une dépendance élevée vis-à-vis de ces personnes clés;
• pas de séparation des fonctions entre la comptabilité et l’informatique, notamment parce que dans les petites entreprises
la responsabilité et parfois aussi l’exécution dans ces deux domaines relèvent de la même personne;
• protection appropriée des accès au niveau du réseau et du système d’exploitation, cependant au sein des applications les
droits d’accès sont peu différenciés, des mots de passe peu sûrs sont utilisés et il n’y a pas de changement périodique des
mots de passe;
• présence d'applicatifs Excel ou Access et de solutions individuelles installées par certains utilisateurs sur leur PC et peu
documentées; leur développement, leur évaluation, leur fonctionnement et, souvent, leur utilisation (en particulier
concernant les chiffres clés et le MIS) dépendent entièrement de cette seule personne;
• faiblesses en termes de sécurité physique (accès, détection de la fumée et des incendies, climatisation et alimentation
électrique) dans le centre de calcul ou la salle des serveurs;
• réalisation régulière de sauvegardes des données, mais faiblesses fréquentes au niveau de leur conservation (pas de
coffre-fort pour supports de données), externalisation insuffisante et absence de tests de restauration (pour restaurer les
données après un incident grave);
• absence de mesures de précaution et de préparation pour appréhender les incidents graves (p. ex. destruction du centre
de calcul ou de la salle des serveurs), alors que les processus de l’entreprise dépendent largement de la disponibilité des
moyens informatiques.
4
Le SCI dans le domaine IT
Dans le domaine IT, un SCI global comprend des objectifs de contrôle et des contrôles à différents niveaux:
• Entreprises:
stratégie, organisation et personnel IT, gestion des risques et de la sécurité ainsi que pilotage et gestion de projets IT;
• Processus de l’entreprise:
organisation structurelle et opérationnelle et contrôles principalement au niveau des processus de l’entreprise ayant une
influence sur les flux de données et de valeurs ainsi que sur la présentation des comptes et le rapport financier;
• Applications IT:
contrôles lors de la saisie, de l’entrée, du traitement et du résultat des transactions et des données ainsi que contrôles au
niveau des interfaces entre les applications IT;
• Exploitation IT:
contrôles lors du développement et de la modification de programmes, de l’exploitation et de la configuration des moyens
IT, de la sécurité des systèmes et des données et de la surveillance de l’informatique.
5
3 Guide d’analyse des risques informatiques
Considérations initiales
Le «Guide d’analyse des risques informatiques» a pour but d’aider l’auditeur à identifier et à évaluer, dans les petites et
moyennes entreprises et organisations, les risques éventuels liés à l’utilisation de l’informatique. L’auditeur peut ainsi tirer
des conclusions qui lui serviront pour planifier et exécuter l’audit, mais aussi pour décider s’il doit faire appel ou non à un
auditeur IT spécialisé.
L’approche couvre les «contrôles informatiques généraux (IT)» mentionnés dans la Norme d’audit suisse NAS 890
«Vérification de l’existence du système de contrôle interne». Elle se concentre sur les domaines ayant une importance
directe et indirecte pour la tenue et la présentation des comptes et aborde aussi un certain nombre d’autres domaines.
L’approche est indépendante du type de contrôle (ordinaire ou restreint); elle se fonde sur l’importance que revêt
l’informatique pour l’entreprise ainsi que sur la tenue et la présentation des comptes de celle-ci.
Les prescriptions juridiques et réglementaires concernant l’utilisation de l’informatique et son contrôle ne sont pas prises
en compte dans le «Guide d’analyse des risques informatiques», mais elles peuvent parfaitement constituer une raison
essentielle de faire évaluer l’utilisation de l’informatique par un auditeur IT spécialisé.
Aperçu du contenu
Phase 1: Evaluation sommaire des risques ➔ voir chapitre 4
La phase 1 correspond à une évaluation des risques et des interdépendances liés à l’utilisation de l’informatique.
L’évaluation ne doit pas impérativement être exhaustive et précise en tous points, mais elle doit mettre en lumière le besoin
de réaliser un contrôle complémentaire – et plus détaillé – de l’utilisation de l’informatique.
A l’issue de la phase 1, l’auditeur peut décider, sur la base de cette première évaluation des risques, si l’exécution de la
phase 2 est nécessaire.
Phase 2: Contrôle relatif à l’utilisation de l’informatique ➔ voir chapitre 5
La phase 2 correspond à un contrôle vaste et détaillé des forces et des faiblesses liées à l’utilisation de l’informatique.
Le traitement des questions/du questionnaire de la phase 2 peut s’effectuer tant dans le cadre de la planification stratégique
de l’audit que dans celui de l’audit (intermédiaire) proprement dit.
A l’issue de la phase 2, les conclusions tirées par l’auditeur permettent à celui-ci de décider si un audit IT complet doit être
effectué et dans quels domaines.
Un questionnaire comme base de contrôle
Un questionnaire a été élaboré pour chacune des deux phases. Son étendue et son contenu sont adaptés aux objectifs de
chaque phase et permettent un traitement ciblé et efficace.
Les «réponses» aux différentes questions se basent sur un modèle de maturité à quatre niveaux; elles permettent
(et exigent) ainsi une évaluation claire d’un fait ainsi qu’une comparaison avec d’autres entreprises.
6
L’IT-Check comme «combinaison» des phases 1 et 2 ➔ voir chapitre 6
Le contenu des phases 1 et 2 peut, notamment quand le contrôle lors de chaque phase est effectué parallèlement par le
même auditeur, être regroupé dans un IT-Check.
Ce que le «Guide d’analyse des risques informatiques» n’est pas
Le «Guide d’analyse des risques informatiques» ne constitue pas une analyse complète des risques. Il s’agit plutôt d’un outil
de travail destiné principalement à la planification stratégique de l’audit qui peut être mis en œuvre efficacement. Il permet
une identification et une évaluation raisonnables des risques liés à l’utilisation de l’informatique.
Le «Guide d’analyse des risques informatiques» n’est pas un guide pour un audit informatique approfondi; selon les auteurs
du guide, ce dernier doit être effectué par des auditeurs IT spécialisés. En outre, il existe des approches d’audit globalement
reconnues, comme par exemple l’IT Audit Framework de l’ISACA et l’IT Governance Assurance Guide basé sur le CobiT.
Les grands cabinets d’audit utilisent par ailleurs des approches et des documents de travail spécifiques à l’entreprise.
7
4 Phase 1: Evaluation globale des risques
Positionnement
Le traitement des questions/du questionnaire de la phase 1 doit s’effectuer dans le cadre de la planification stratégique de
l’audit. Les risques liés à l’utilisation de l’informatique peuvent ainsi être identifiés à temps et les conclusions en découlant
peuvent être intégrées dans la planification de l’audit.
La phase 1 correspond à une évaluation des risques et des interdépendances liés à l’utilisation de l’informatique.
L’évaluation ne doit pas impérativement être exhaustive et précise en tous points, mais elle doit mettre en lumière le besoin
de réaliser un contrôle complémentaire – et plus détaillé – de l’utilisation de l’informatique.
Procédure et parties prenantes
Le contrôle lors de la phase 1 doit permettre de déterminer l’importance que revêt l’informatique dans l’entreprise.
Les réponses aux 16 questions permettent de conclure si l’utilisation de l’informatique engendre pour l’entreprise des
risques accrus qui sont à prendre en compte lors de la planification stratégique de l’audit.
Le questionnaire de la phase 1 est remis au client au préalable et rempli par les responsables de la comptabilité et de
l’informatique. La revue du questionnaire effectuée par l’auditeur avec des représentants de l’entreprise devrait prendre
environ une heure.
Il est ainsi possible d’évaluer dans un laps de temps raisonnable, sur la base de faits clairs, si un contrôle approfondi portant
sur les risques IT, c’est-à-dire le déclenchement de la phase 2, s’impose.
Questionnaire / Critères
Le questionnaire contient cinq domaines thématiques; chaque domaine thématique comporte entre une et cinq questions.
Exploitation et IT
• Stratégie de l’entreprise et utilisation Applications IT
de l’informatique Organisation interne et contrôle • Logiciels comptables
• Degré d’innovation dans l’utilisation de • Gestion des risques • Modifications dans les applications de
l’informatique base
• Système de contrôle interne
• Dépendance par rapport à la • Intégration des flux de valeurs dans la
• Sensibilisation à la sécurité informatique
disponibilité des moyens informatiques comptabilité
• Séparation des fonctions
• Suppléance et savoir-faire en matière • Erreurs de programme dans les
applications de base
d’applications au sein du service de
comptabilité
Exploitation IT
Audit indépendant de • Sécurité opérationnelle des moyens
l’informatique informatiques
• Date du dernier audit indépendent • Suppléance au sein du service
de l’informatique informatique
• Dépendance vis-à-vis de prestataires
externes (y c. externalisation)
Pour chaque question/critère, quatre «réponses» différentes (niveaux de maturité) sont proposées.
8
Exploitation et IT
Ce domaine thématique permet de déterminer l’importance que revêt l’informatique pour l’entreprise. Il s’agit de savoir
dans quelle mesure la stratégie de l’entreprise repose sur l’utilisation de moyens informatiques et dans quelle mesure les
processus primaires de l’entreprise dépendent de la disponibilité des moyens informatiques.
Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4

Stratégie de l’entreprise La stratégie de l’entreprise La stratégie de l’entreprise La stratégie de l’entreprise La stratégie de l’entreprise
et utilisation de repose principalement sur repose en partie sur dépend peu des nouvelles ne dépend pas des nouvelles
l’informatique l’utilisation d’Internet et l’utilisation d’Internet et des technologies, mais les technologies (p. ex. Internet
des nouvelles technologies nouvelles technologies; les processus importants de ou e-commerce).
ainsi que sur l’échange actif processus importants de l’entreprise utilisent déjà ces
d’informations via des réseaux l’entreprise se basent sur technologies.
de données. l’échange d’informations via
des réseaux de données.
Degré d’innovation L’entreprise utilise une L’entreprise utilise une L’entreprise utilise une L’entreprise utilise une
dans l’utilisation de infrastructure IT moderne infrastructure IT complexe infrastructure IT étendue, infrastructure IT simple,
l’informatique et complexe et s’adapte et s’adapte aux nouvelles comprenant dans une large comprenant dans une large
clairement aux nouvelles technologies sans retard. mesure des composants mesure des composants
technologies avant l’ensemble standard, et ne s’adapte aux standard; l’infrastructure
du secteur. nouvelles technologies que IT est plutôt en marge par
lorsqu'elles sont matures. rapport aux développements
technologiques.
Dépendance par rapport à La disponibilité des moyens La disponibilité des moyens La disponibilité des moyens La disponibilité des moyens
la disponibilité des moyens informatiques est un facteur informatiques est importante informatiques est parfois informatiques n’est pas
informatiques critique pour l’exploitation pour l’exploitation (activités importante pour l’exploitation critique pour l’exploitation
(activités de front-office et de front-office et processus (activités de front-office et (activités de front-office) et les
processus primaires); le temps primaires); le temps de processus primaires); le temps processus primaires internes;
de défaillance acceptable est défaillance acceptable est de défaillance acceptable est une défaillance supérieure
inférieur à quatre heures. compris entre quatre heures compris entre deux jours et à une semaine semble
et deux jours. une semaine. acceptable.
9
Organisation interne et contrôle
Ce domaine thématique permet d’évaluer la gestion des risques et le système de contrôle interne, la sensibilisation à la
sécurité des données, la séparation des fonctions entre l’informatique et les différents services spécialisés ainsi que le savoir-
faire et la suppléance au sein du service de comptabilité.

Gestion des risques Il n’y a pas de gestion des Il y a une gestion des risques Il y a une gestion des risques Il y a une gestion des risques
risques identifiable; des ponctuelle, spécifique aux formalisée au niveau de formalisée au niveau de
mesures ad hoc sont mises applications et partiellement toute l’entreprise; elle est toute l’entreprise; elle est
en œuvre pour réduire les documentée; les mesures documentée et actualisée documentée et actualisée
risques. de réduction des risques périodiquement et les chaque année et les risques
en découlant ne sont pas mesures de réduction des sont clairement réduits.
(facilement) identifiables. risques en découlant sont La gestion des risques est
clairement identifiables. complétée par une auto-
évaluation des contrôles mis
en place.
Système de contrôle Un système de contrôle Il y a un SCI ponctuel, Il y a un SCI formalisé au Il y a un SCI formalisé au
interne interne (SCI) est difficilement spécifique aux domaines niveau de toute l’entreprise; niveau de toute l’entreprise;
identifiable ou inexistant. d’activité; le niveau il est documenté et actualisé il est documenté et actualisé
de documentation et périodiquement. chaque année. Le SCI est
d’actualisation est toutefois complété par une auto-
peu clair. évaluation des contrôles mis
en place.
Sensibilisation à la Les collaborateurs ne Les collaborateurs sont Les collaborateurs sont Les collaborateurs sont
sécurité de l’information sont pas informés de leur informés de leur responsabilité informés de manière répétée formés systématiquement
responsabilité quant au quant au respect des exigences de leur responsabilité quant et le respect des exigences
respect des exigences internes internes et externes en matière au respect des exigences internes et externes en
et externes en matière de de sécurité de l’information. internes et externes en matière de sécurité de
sécurité de l’information. matière de sécurité de l’information est contrôlé
l’information et sont formés régulièrement.
de manière appropriée.
Séparation des fonctions Il y a uniquement une Il y a une séparation des Au sein des domaines Au sein des domaines
séparation des fonctions fonctions entre l’informatique d’activité, une séparation d’activité, une séparation
sommaire et informelle; il et les domaines d’activité; les fonctionnelle des fonctions fonctionnelle des fonctions
existe (également eu égard à fonctions au sein des services est assurée; celle-ci est est systématiquement
l’informatique) des fonctions spécialisés ne sont parfois pas documentée dans les assurée; celle-ci est
couvrant plusieurs services. séparées. descriptions des tâches, mais documentée dans les
n’est pas contrôlée. descriptions des tâches et
contrôlée en continu.
Suppléance et savoir-faire Seule une suppléance Des suppléances sont prévues Des suppléances existent Des suppléances existent
en matière d’applications sommaire est assurée au sein pour les fonctions importantes, pour toutes les fonctions pour toutes les fonctions
au sein du service de de l’entreprise; l’absence de mais la formation est quasi essentielles et donnent lieu essentielles et donnent
comptabilité certaines personnes engendre inexistante; l’absence de à une formation; les activités lieu à une formation; il
des problèmes déjà au niveau certaines personnes a une quotidiennes habituelles sont y a une documentation
des activités quotidiennes incidence sur les activités assurées; la résolution des correspondante; les activités
habituelles. quotidiennes habituelles après problèmes et des incidents quotidiennes habituelles et
quelques jours; la résolution est cependant difficile et la résolution efficace des
des problèmes et des incidents engendre des retards. problèmes sont assurées.
n’est pas possible en cas de
défaillance.
10
Applications IT
Ce domaine thématique permet d’évaluer les logiciels comptables et les applications de base ainsi que leur degré
d’intégration et leur qualité.

Logiciels comptables L’application comptable a été Pour la comptabilité, Pour la comptabilité, des Pour la comptabilité, des
développée en interne. des logiciels standard logiciels standard disposant logiciels standard sans
paramétrables disposant de uniquement de possibilités possibilités de paramétrage
possibilités de programmation de paramétrage et de et de programmation
individuelle sont utilisés. programmation individuelle individuelle sont utilisés.
limitées sont utilisés.
Modifications dans les Les applications de base ont Des parties essentielles des Des parties essentielles des Les applications de base
applications de base été remplacées au cours de applications de base ont applications de base ont été n’ont été que légèrement
l’exercice précédent ou actuel été remplacées au cours modifiées (p. ex. changement modifiées ou étendues au
et les «anciennes» données de l’exercice précédent ou de version) ou étendues au cours de l’exercice précédent
ont été migrées. actuel et les données ont été cours de l’exercice précédent ou actuel.
migrées. ou actuel.
Intégration des flux Pour les applications de Pour les applications de base, Pour les applications de Plusieurs solutions
de valeurs dans la base, des solutions intégrées des solutions intégrées dotées base, différentes solutions individuelles spécifiques
comptabilité présentant un degré élevé d’interfaces automatisées individuelles dotées aux fonctions et dotées
d’automatisation ont sont utilisées; les flux de d’interfaces (entre lots, d’interfaces (entre lots,
été mises en œuvre; la données et de valeurs sont «batch») sont utilisées; «batch») sont utilisées; les
compréhension des flux compréhensibles. les flux de données et de flux de données et de valeurs
de données et de valeurs valeurs sont facilement dans les applications et au
exige des connaissances compréhensibles. niveau des interfaces sont
spécialisées. documentés de manière
compréhensible au moyen
d’évaluations et de protocoles
d’interface.
Erreurs de programme Les applications de base Les erreurs dans les Les erreurs dans les Les erreurs dans les
dans les applications de connaissent fréquemment des applications de base sont applications de base sont applications de base sont
base problèmes dont la résolution rares, mais leur résolution rares et peuvent être résolues très rares; les erreurs et
exige beaucoup de temps. exige beaucoup de temps. rapidement. Les erreurs et les les défauts sont résolus
Les erreurs et les défaillances Les pannes et les défaillances défauts sont documentés systématiquement,
se répètent souvent. se répètent rarement. rapidement et durablement
et ils sont documentés de
manière compréhensible.
11
Exploitation IT
Ce domaine thématique permet d’évaluer la sécurité de l’exploitation des moyens informatiques ainsi que la situation en
termes de personnel (suppléance / dépendance vis-à-vis de prestataires externes) dans le domaine de l’informatique.

Sécurité de l’exploitation Les moyens informatiques Les moyens informatiques Les moyens informatiques Les moyens informatiques ne
des moyens informatiques (serveur, clients, réseau et connaissent des pannes et connaissent peu de pannes et connaissent que rarement des
périphériques) connaissent des défaillances à répétition; de défaillances; celles-ci ont pannes et des défaillances;
très souvent des pannes et celles-ci ont une incidence sur parfois une incidence sur les celles-ci n’ont une incidence
des défaillances; celles-ci ont l’ensemble des activités de activités de l’entreprise. que sur certaines activités de
une incidence sur l’ensemble l’entreprise. l’entreprise.
des activités de l’entreprise.
Suppléance au sein du Les règles de suppléance Des suppléances sont prévues Des suppléances existent Des suppléances existent
service informatique au sein du service IT sont pour les principales fonctions pour les fonctions essentielles pour les fonctions essentielles
sommaires; l’absence de au sein du service IT, mais au sein du service IT; elles au sein du service IT; elles
certaines personnes engendre elles donnent rarement lieu donnent lieu à une formation, donnent lieu à une formation
des problèmes déjà au niveau à une formation; l’absence mais elles ne sont pas et il existe une documentation
de l’exploitation IT normale. de certaines personnes a une documentées; l’exploitation IT correspondante; l’exploitation
incidence sur l’exploitation est assurée, la résolution des IT et la résolution efficace des
IT après quelques jours et la problèmes IT est cependant problèmes IT sont assurées.
résolution des problèmes IT difficile sans ces personnes.
n’est pas possible.
Dépendance vis-à- Pour l’exploitation IT, L’exploitation IT normale L’exploitation IT normale L’exploitation normale et la
vis de prestataires l’entreprise dépend largement est largement possible est assurée sans soutien résolution des problèmes sont
externes (y c. partenaires du soutien extérieur; celui-ci sans soutien extérieur; en extérieur; en cas d’erreurs assurées à tout moment sans
d’externalisation) est notamment indispensable revanche, les erreurs ou ou de problèmes, un soutien extérieur; celui-ci est
en cas de problèmes. problèmes ne peuvent guère soutien extérieur est parfois uniquement nécessaire en cas
être résolus sans soutien nécessaire. de crise.
extérieur.
Audit indépendant de l’informatique (risque temporel)

Ce critère montre à quelle date l’utilisation de l’informatique dans l’entreprise a été évaluée pour la dernière fois par un
expert indépendant.

Audit indépendant de Aucun audit IT n’a encore été Un audit IT a été effectué Un audit IT a été effectué Un audit IT a été effectué au
l’informatique effectué. pour la dernière fois il y a plus pour la dernière fois il y a cours de l’exercice écoulé.
de cinq ans. quelques années.
Comment remplir le questionnaire
Pour chacun des 16 critères, il convient de choisir parmi les quatre «réponses» celle qui correspond le mieux à la situation
actuelle de l‘entreprise.
Il ne faut pas donner des évaluations «entre» les niveaux de maturité (1 – 2, 2 – 3 et 3 – 4), ceci ayant peu d’utilité. En cas
de doute, le niveau inférieur doit être sélectionné, car ceci réduit le risque d’audit.
12
Interprétation des résultats / Evaluation
L’interprétation du questionnaire s’effectue au moyen des niveaux de maturité. S’agissant de l’évaluation de la phase 1, un
niveau de maturité ne correspond pas forcément à un degré de maturité technique ou organisationnel, mais à un facteur
de risque potentiel. Par exemple, une entreprise dotée d’un degré d’innovation (question 2) de niveau 1 (c.-à-d. avec une
adaptation très précoce aux nouvelles technologies IT) s’expose certainement à un risque plus élevé qu’avec un niveau 4 (qui
correspond à une adaptation conservatrice et à des moyens IT standardisés et moins modernes).
Sur la base de leurs connaissances et de leurs expériences, les auteurs du «Guide d’analyse des risques informatiques» esti-
ment qu’une classification dans les niveaux de maturité 4 et 3 indique des risques minimes. En revanche, une classification
dans les niveaux de maturité 2 et 1 indique des risques importants à élevés.
Rapport
Pour le rapport concernant la phase 1, une solution efficace et facilement visualisable consiste à documenter l’évaluation
(niveau) directement dans le questionnaire en attribuant la couleur voulue à la «réponse» sélectionnée (p. ex. 1 = rouge, 2
= jaune, 3 = vert clair et 4 = vert foncé).
13
Les résultats de la phase 1 peuvent ainsi être récapitulés sur une seule page. Etant donné que, avec ce type de représentation,
les descriptions des quatre niveaux de maturité sont visibles, une comparaison rapide des conditions correspondant
au niveau choisi avec celles des niveaux de maturité voisins (supérieurs/inférieurs) est également possible. A côté de la
représentation des résultats en forme de tableau ci-dessus, un «graphique en toile d’araignée» permet aussi de déterminer
le degré de dépendance de l’entreprise par rapport à l’informatique. Un exemple d’un tel graphique est donné ci-dessous
pour une entreprise individuelle (à gauche) et pour quatre types d’entreprise différents (à droite):
Stratégie et IT Exploitation et IT
Risque temporel 4 Innovation IT 3.0
de l’audit IT 3.5 2.5
Dépendance par 3 Dépendance IT
rapport à l’extérieur 2.5 2.0
2 1.5
Suppléance IT 1.5 SCI
1.0 Exploitation
1 Risque
0.5 IT
0.5 temporel
Sécurité de Gestion
0 0.0
l’exploitation IT des risques
Erreurs
Séparation
de programme
des fonctions
Degré d’intégration
Suppléance
de la comptabilité
Applications de base Sensibilisation Organisation interne Applications IT
Logiciels comptables et contrôle
Banque Fiduciaire Hôpital Industrie
Figure: Représentation des 16 critères Figure: Récapitulatif des 5 domaines thématiques
Recommandations quant à la poursuite de la procédure
Lorsqu’un ou plusieurs critères sont classés dans les niveaux de maturité 2 et 1 ou dans les couleurs jaune et rouge, les auteurs
considèrent qu’il est opportun de déclencher la phase 2, c’est-à-dire un contrôle approfondi de l’utilisation de l’informatique.
Enfin, il appartient à l’auditeur, et à son «professional judgement», d’évaluer les résultats obtenus au cours de la phase
1 concernant les risques et les dépendances liés à l’utilisation de l’informatique du point de vue de leur importance pour
l’audit des comptes annuels. A cet égard, il peut être judicieux de discuter des résultats et de la nécessité d’un contrôle
approfondi de l’utilisation de l’informatique avec un auditeur IT expérimenté.
14
5 Phase 2: Contrôle relatif à l’utilisation de l’informatique
Positionnement
La phase 2 correspond à un contrôle vaste et détaillé des forces et des faiblesses liées à l’utilisation de l’informatique.
Le traitement des questions/du questionnaire de la phase 2 peut s’effectuer tant dans le cadre de la planification stratégique
de l’audit que dans celui de l’audit (intermédiaire) proprement dit.
Les résultats de la phase 2 peuvent servir à une évaluation finale des «contrôles informatiques généraux (IT)» mentionnés dans
la NAS 890, mais ils peuvent également justifier à l’aide de faits le besoin de réaliser un contrôle complet et/ou approfondi
de l’utilisation de l’informatique dans son ensemble ou au niveau de domaines spécifiques.
Procédure et parties prenantes
Les contrôles lors de la phase 2 doivent être réalisés par un auditeur familiarisé avec les audits IT ou par un auditeur IT.
Ils comprennent, outre une inspection de l’infrastructure IT et la consultation des documents disponibles, des entretiens
approfondis avec les représentants IT de l’entreprise.
Pour les contrôles «sur place», notamment le traitement du questionnaire, nous estimons le temps nécessaire à un jour;
à cet égard, l’étendue de l’utilisation de l’informatique et le nombre d’interlocuteurs concernés sont déterminants.
A l’issue de la phase 2, des affirmations fiables peuvent être énoncées quant aux risques IT et aux faiblesses concrètes.
Ceci permet de déterminer si un audit IT complet est opportun et dans quels domaines.
Questionnaire / Critères (➔ détails dans l’annexe 2)
Le questionnaire de la phase 2 comprend 20 domaines thématiques dotés de quatre points de contrôle en moyenne;
selon les auteurs du guide, il couvre intégralement les «contrôles IT généraux» mentionnés dans la Norme d’audit suisse
NAS 890 «Vérification de l’existence du système de contrôle interne» et, dans certains domaines, il va même volontairement
au-delà afin de réduire le risque d’audit.
Le questionnaire contient environ 90 critères (points de contrôle) concernant les domaines thématiques suivants:
• Documentation IT • Protection des accès
• Organisation IT • Sécurité IT
• Gouvernance IT • Sécurité physique
• Gestion des risques IT • Exploitation IT
• Conformité • Gestion des problèmes
• Gestion des projets IT • Sauvegarde des données
• Développement et modification de logiciels • Externalisation (le cas échéant)
• Evaluation d’applications IT • Comptabilité
• Directives d’utilisation • Contrôles d’application directs
• Formation des utilisateurs • Contrôles d’application secondaires
15
Pour une grande partie des domaines thématiques cités, il s’agit de contrôles IT généraux; certains domaines supplémentaires
qui sont importants pour l’auditeur et permettent d’identifier plus précisément les faiblesses et les risques éventuels sont
également contrôlés.
Comment remplir le questionnaire
Pour chacun des critères, il convient de choisir parmi les quatre «réponses» celle qui correspond le mieux à la situation
actuelle de l’entreprise. L’évaluation (niveau) est donnée dans la colonne «Niveau» du questionnaire ou indiquée directement
en cochant la «réponse» appropriée.
Pour l’évaluation et le rapport, il est utile de fournir des indications complémentaires dans la colonne «Constatation /
Evaluation / Recommandation»; idéalement, celles-ci doivent être identifiées par un «C» pour constatation, un «E» pour
évaluation et un «R» pour recommandation.
Il ne faut pas donner des évaluations «entre» les niveaux de maturité (1 – 2, 2 – 3 et 3 – 4); en cas de doute, les auteurs du
guide recommandent de choisir le niveau inférieur (p. ex. 1 au lieu de 1 – 2) pour réduire le risque d’audit.
Si un critère n’est pas pertinent pour l’entreprise (p. ex. questions concernant l’externalisation), on peut indiquer «n.a.»
(non applicable) dans la colonne «Niveau» du questionnaire.
Interprétation des résultats / Evaluation
L’interprétation du questionnaire s’effectue au moyen des niveaux de maturité. Contrairement à la phase 1, ceux-ci
correspondent plutôt à un degré de maturité technique ou organisationnel et pas forcément à un facteur de risque
potentiel. Cependant, il existe incontestablement un rapport entre la maturité du processus et le risque en question.
Sur la base de leurs connaissances et de leurs expériences, les auteurs du «Guide d’analyse des risques informatiques»
estiment qu’une classification dans les niveaux de maturité 4 et 3 indique un degré de maturité satisfaisant et des risques
minimes. En revanche, une classification dans les niveaux de maturité 2 et 1 indique un degré de maturité insuffisant et des
risques importants à élevés.
16
Rapport
Au vu de l’étendue du questionnaire, nous proposons diverses approches pour la visualisation des résultats relatifs à la
phase 2. Deux des variantes que nous avons testées à plusieurs reprises sont décrites ci-après.
Accent sur la représentation détaillée de la situation réelle
Il est possible d’établir un rapport détaillé en attribuant la couleur voulue à la réponse pour chaque critère ou à la colonne
«Niveau» (1 = rouge, 2 = jaune, 3 = vert clair et 4 = vert foncé).
Constatation
Titre Niveau de maturité 1 Niveau de maturité 2 Niveau de maturité 3 Niveau de maturité 4 Evaluation
Recommandation
Aperçu de Il n'existe pas d'aperçu de Il existe un aperçu ancien Il existe un aperçu actuel des Il existe un aperçu actuel de
l'infrastructure l'infrastructure IT. (remontant à plus d'une principaux composants de l'ensemble de l'infrastruc-
IT année) de l'infrastructure IT. l'infrastructure IT (systèmes ture IT (systèmes et gestion
et gestion de réseau). de réseau). Les processus
Les processus d'acquisi- d'acquisition, d'instal-
tion, d'installation et de lation et de gestion des
gestion des changements changements comprennent
n'entraînent pas obligatoi- l'actualisation obligatoire de
rement une actualisation de cet aperçu.
cet aperçu.
Inventaire Il n'existe pas d'inventaire du Il existe un inventaire ancien Un inventaire du matériel est Un inventaire complet du
du matériel matériel. (remontant à plus d'une en cours de réalisation; les matériel est en cours de
année) du matériel. processus d'acquisition ne réalisation. Les processus
garantissent cependant pas d'acquisition et d'installation
l'actualisation obligatoire de comprennent l'actualisation
cet inventaire. obligatoire de cet inventaire
ainsi que l'adaptation/la
Documentation IT
conclusion de contrats de
maintenance éventuels.
Inventaire des Il n'existe pas d'inventaire Il existe un inventaire ancien Un inventaire des logiciels Un inventaire complet des
logiciels des logiciels. (remontant à plus d'une (également pour le contrôle logiciels (également pour
année) des logiciels. des licences) est en cours le contrôle des licences) est
de réalisation; les processus en cours de réalisation. Les
d'acquisition ne garantissent processus d'acquisition et
cependant pas l'actuali- d'installation comprennent
sation obligatoire de cet l'actualisation obligatoire
inventaire. de cet inventaire ainsi que la
clarification des éventuelles
questions relatives à l'octroi
de licences d'installations et
de mises à jour.
Contrats et Il existe peu de contrats Il existe un aperçu/récapitu- Il existe un aperçu/récapi- Il existe un aperçu/récapi-
contrats de entre le domaine IT et des latif des contrats passés avec tulatif de tous les contrats tulatif de tous les contrats
prestation de tiers, même si des presta- des tiers dans le domaine passés avec des tiers dans passés avec des tiers dans
services tions sont fournies. IT (fournisseurs, clients, le domaine IT (fournisseurs, le domaine IT (fournisseurs,
partenaires); celui-ci est clients, partenaires). clients, partenaires). Celui-ci
cependant incomplet et pas est géré centralement,
actuel. tenu à jour et contient tous
les contrats et documents
connexes tels que les SLA,
etc.
Les résultats de la phase 2 peuvent ainsi être visualisés dans leur globalité sur environ dix pages (format A4), avec les forces
et les faiblesses pour chaque critère. Une évaluation du «contenu» est donnée au moyen des descriptions relatives aux
différents niveaux et via la colonne «Constatation / Evaluation / Recommandation».
Accent sur la représentation des mesures à prendre

Lorsqu’une opinion sur les «mesures à prendre» doit être émise, l’étendue du rapport peut être réduite en «éliminant»
tous les critères dotés d’évaluations de niveaux 3 et 4 (contrôle satisfaisant / risque minime) et «n.a.» (non applicable).
Selon la situation, les faiblesses existantes, et donc les mesures à prendre, peuvent ainsi être récapitulées sur quelques pages
seulement (format A4).
17
Représentation graphique de la situation réelle
Pour la pratique, les auteurs du guide considèrent qu’il est utile de faire un résumé des évaluations par domaine thématique
et, par exemple, de les représenter dans un diagramme circulaire. En indiquant les couleurs voulues, la situation réelle (ici
en vert) et les mesures à prendre «potentielles» (ici en rouge) peuvent être très bien visualisées.
Documentation IT
Contrôle d’application secondaire 4 Organisation IT
3.5
Contrôle d’application direct Gouvernance IT
3
Application comptable 2.5 Conformité

2
1.5
Externalisation Gestion des risques IT
1
0.5
Sauvegarde des données 0 Gestion de projet IT
Gestion des problèmes Développement de logiciels
Exploitation IT Evaluation d’applications IT
Sécurité physique Directives d’utilisation
Sécurité IT Formation des utilisateurs

Protection des accès
Rapport succinct complémentaire
Les auteurs du guide considèrent qu’il est utile de récapituler les principales forces et faiblesses ainsi que les
principales recommandations d’optimisation de la situation dans un rapport succinct destiné au management, au conseil
d’administration et à l’auditeur.
Le rapport succinct constitue un complément précieux à la représentation graphique de la situation réelle ci-dessus et
permet de réaliser une évaluation globale de la situation actuelle et des mesures à prendre et, le cas échéant, de justifier le
besoin d’exécuter un audit IT approfondi.
Recommandations quant à la poursuite de la procédure
Lorsqu’une grande partie des critères sont classés dans les niveaux de maturité 2 et 1, les auteurs du guide considèrent qu’il
est opportun d’exécuter un audit IT complet ou un audit approfondi de l’utilisation de l’informatique dans son ensemble
ou au niveau de domaines spécifiques.
Enfin, il appartient à l’auditeur, et à son «professional judgement», et de préférence en accord avec un auditeur IT
expérimenté, d’évaluer les résultats obtenus au cours des phases 1 et 2 concernant l’utilisation de l’informatique ainsi que
les faiblesses et les risques correspondants du point de vue de leur importance pour l’audit des comptes annuels.
18
6 L’IT-Check comme «combinaison» des phases 1 et 2
Considérations initiales
Le contenu des phases 1 et 2 peut, notamment lorsque les contrôles des deux phases sont effectués simultanément et par
le même auditeur, être récapitulé à peu de frais dans un IT-Check.
En peu de temps (souvent un seul jour «sur place» suffit), il est possible:
• de déterminer l’importance que revêt l’informatique pour l’entreprise et les risques liés à son utilisation;
• d’identifier les forces et les faiblesses liées à l’organisation et aux processus IT et d’évaluer ensuite l’«utilité» de l’informatique
en général ainsi que les «contrôles informatiques généraux (IT)» mentionnés dans la NAS 890;
• de documenter et d’évaluer sommairement les applications de base, y c. les principaux flux de valeurs et de données
(interfaces IT) ainsi que les interlocuteurs concernés par leur utilisation, leur maintenance et leur exploitation.
Procédure
Préparation
• Envoyer au préalable le questionnaire de la phase 1 au client et demander à celui-ci de procéder à une évaluation des
risques (auto-évaluation) de son point de vue, laquelle sera ensuite discutée en commun lors des contrôles «sur place».
• Envoyer également au préalable le questionnaire de la phase 2 au client pour que celui-ci puisse préparer l'évaluation des
contrôles «sur place» (p. ex. mise à disposition de documents ou implication d’autres collaborateurs).
Exécution
1. Réaliser un entretien d’ouverture

Déterminer les bases de l’organisation IT et de l’utilisation de l’informatique
2. Effectuer un tour d’inspection
Se faire une idée de l’infrastructure IT
3. Discuter du questionnaire de la phase 1
Déterminer l’importance que revêt l’informatique pour la comptabilité et l’entreprise et examiner l’évaluation des risques
faite par le client
4. Etudier le questionnaire de la phase 2
Identifier les forces et les faiblesses liées à l’organisation et aux processus IT; évaluer la «maturité» de l’informatique
5. Contrôler les applications de base
Se faire une idée des applications de base ainsi que des principaux flux de valeurs et de données (interfaces); catégoriser les
applications financières (logiciels standard, logiciels standard adaptés ou logiciels individuels); identifier les interlocuteurs
concernés par leur utilisation, leur maintenance et leur exploitation
6. Bref feed-back (oral)
Remarque: le contrôle portant sur les applications de base (étape 5) est une étape de travail à part entière qui n’est pas
traitée de manière approfondie dans le présent guide. Elle est décrite en détail dans le «Guide d’audit des applications
informatiques».
19
Rapport / Rapport succinct
• Management Summary avec principales constatations et mesures à prendre

• Aperçu de l’organisation IT, de l’utilisation de l’informatique et des applications de base
• Résultats (constatation, évaluation et éventuellement recommandation) sur l’organisation et les processus IT
• Résultats (constatation, évaluation et éventuellement recommandation) sur les applications de base
• Résultats de l’auto-évaluation (questionnaire de la phase 1)
Dans la pratique, il s’avère utile d’établir une représentation distincte des résultats par domaine thématique, comme le
montre l’exemple ci-après. Une représentation détaillée de ce type ne peut cependant pas être le fruit d’une évaluation
réalisée sur une journée: pour un rapport succinct, il faut généralement plus de temps pour contrôler les informations et
beaucoup plus encore pour le rapport lui-même. L’auditeur obtient toutefois une base plus précise pour la planification
stratégique de l’audit, et le client bénéficie clairement d’une importante valeur ajoutée.
4.14 Sauvegarde des données

Constatations
Il existe un concept de sauvegarde datant de janvier 200x; celui-ci n'a pas été approuvé formellement. Des sauvegardes complètes sont effectuées les jours ouvrables,
4 bandes étant disponibles le vendredi (semaine 1 – 4). Aucun test de restauration visant à vérifier la lisibilité n'est réalisé. Les bandes de sauvegarde ne sont pas
conservées à l'extérieur de l'entreprise, mais dans un tiroir du responsable IT concerné. Il n'existe pas de plan d'urgence IT.
Degré de maturité déterminé Mesures à prendre

Concept de Un concept de sauvegarde est documenté et généralement utilisé; il n'a • Approbation formelle du concept de sauvegarde
sauvegarde toutefois jamais été approuvé formellement. • Réalisation de tests de restauration réguliers
• Conservation des bandes en dehors de l'entreprise
Processus Des sauvegardes quotidiennes sont effectuées, mais leur intégralité • Définition d'un plan d'urgence IT
de sauvegarde n'est pas contrôlée.
Test de Aucun test systématique n'est réalisé pour récupérer et relire

restauration les sauvegardes.
Risques
Plan Peu de réflexions sont engagées quant à un plan d'urgence IT.
• Restauration incomplète des données en cas d'incident
d'urgence IT
• Restauration des données en dehors des délais exigés
Transfert Aucune sauvegarde suffisante des données n'est assurée • Perte de données en cas de catastrophe
des données à l'extérieur de l'entreprise. • Mise en danger de la poursuite de l'exploitation lT
Figure: Présentation détaillée des résultats sous forme de texte (exemple)
Avantages pour l’auditeur
S’agissant des mandats/clients soumis à un contrôle ordinaire:

• l’évaluation des risques IT fait partie de la planification stratégique de l’audit;
• les «contrôles informatiques généraux (IT)» mentionnés dans la NAS 890 peuvent être évalués définitivement;
• un IT-Check fournit des informations fiables et vérifiables pour la détermination des domaines d’audit à intégrer dans un
audit IT complet – ou tout du moins des arguments clairs justifiant leur suppression ou leur report.
S’agissant des mandats/clients soumis à un contrôle restreint:

• l’évaluation des risques IT est certes facultative mais, au vu de la dépendance souvent considérable par rapport à l’informa-
tique, elle est néanmoins judicieuse et permet souvent d’effectuer des contrôles approfondis (du point de vue de l’audit);
• un IT-Check fournit des informations fiables et vérifiables pour la détermination des domaines à intégrer dans un audit IT
complet.
Un IT-Check est en outre toujours judicieux en cas de dépendance importante ou peu claire par rapport à l’informatique et
lorsque des secteurs importants de l’informatique sont externalisés.
20
7 Indications concernant les audits IT approfondis
Situation initiale
A l’issue de la phase 2, des affirmations fiables peuvent être énoncées et justifiées quant au degré de maturité technique et
organisationnel ainsi qu’aux risques IT.
Sur cette base, l’auditeur peut, de préférence en accord avec un auditeur IT expérimenté, décider si et pour quels domaines
un audit IT approfondi doit être effectué, mais également si des domaines connexes, et lesquels, doivent être vérifiés en
détail dans le cadre de contrôles approfondis ou de l’audit intermédiaire.
Domaines d’audit possibles
Sur la base de leurs connaissances et de leurs expériences, les auteurs du guide voient principalement les deux domaines
suivants pour un audit IT approfondi faisant suite à la phase 2:
Domaine d’audit 1: application informatique et SCI lors de leur utilisation
Objectifs de l’audit
a) Evaluation de l’application IT sous les aspects suivants:
- présence des fonctions de traitement nécessaires
- exactitude des règles de traitement programmées
- possibilités de différenciation au moyen de droits d’accès
- étendue et efficacité du système de contrôle interne (SCI) basé sur des logiciels, c’est-à-dire des contrôles programmés
- documentation (intégralité/clarté et conformité avec les programmes)
- adéquation et degré de développement des résultats des transactions du point de vue des dispositions légales en
matière de comptabilité et de conservation
- méthode d’audit, c’est-à-dire preuve des transactions importantes du point de vue de la comptabilité depuis leur origine
jusqu’à la présentation des comptes (progressif) et inversement (rétrograde)
b) Evaluation du SCI lors de l’utilisation de l’application IT, de la documentation d’utilisation, de l’installation («customizing»),
de la maintenance (modifications du programme) et, le cas échéant, évaluation des «contrôles IT généraux» lors de leur
exploitation.
Méthodes
«Guide d’audit des applications informatiques» de la Chambre fiduciaire et listes de contrôle d’origines diverses pour le
contrôle du système de contrôle interne. Le choix de l’application IT se base sur l’étape 5 d’un IT-Check (voir le chapitre 6),
c’est-à-dire le contrôle de toutes les applications de base.
Domaine d’audit 2: organisation et processus IT
Objectif de l’audit
Contrôle approfondi de l’organisation, des processus et des contrôles IT. Ceci permet d’approfondir et d’élargir des domaines
thématiques importants issus de la phase 2 et couvre intégralement les «contrôles IT généraux» conformément à la Norme
d’audit suisse «Vérification de l’existence du système de contrôle interne» (NAS 890).
21
Base méthodologique / Dossiers de travail
La norme CobiT (Control Objectives for Information and related Technologies) de l’ISACA (➔ www.isaca.ch), acceptée
dans le monde entier et largement utilisée, constitue une base de travail éprouvée. Le référentiel CobiT classe les activités
et les responsabilités IT au sein d’un modèle de processus générique dans les quatre domaines suivants: «Planification et
organisation», «Acquisition et mise en place», «Distribution et support» et «Surveillance et évaluation».
CobiT contient une approche et un langage commun, valable pour toute l’entreprise, pour l’examen et la gestion des
activités IT. L’introduction d’une approche opérationnelle et d’un langage commun pour toutes les personnes
concernées est l’une des étapes les plus importantes visant à mettre en place une bonne gouvernance. Cette approche aide les
propriétaires des processus fonctionnels et permet de définir les tâches et les responsabilités.
CobiT contient en outre un référentiel pour mesurer et évaluer la performance IT, communiquer avec les prestataires de
services et intégrer des meilleures pratiques.
Planification de l’audit
Les expériences faites par les auteurs du guide montrent que les donneurs d’ordre éventuels (auditeur / client) n’ont souvent
qu’une idée imprécise des objectifs et des possibilités, mais aussi de la durée et de l’utilité, d’un «audit IT approfondi».
Pour impliquer un auditeur IT spécialisé de manière efficace et ciblée, la formulation du mandat d’audit est très importante.
Selon les auteurs du guide, il est donc judicieux d’impliquer l’auditeur IT et le client.
Le mandat d’audit confié par l’auditeur à l’auditeur IT doit porter au minimum sur les points suivants:
• objectifs supérieurs / conditions cadres
• contenu et étendue détaillés de l’audit / délimitation
• base méthodologique / dossiers de travail
• interlocuteurs et sources d‘information éventuels
• rapport, y c. structure, contenu, étendue et destinataires du rapport
Audit
Au vu des grandes différences d’un audit IT approfondi en ce qui concerne le domaine d’audit ainsi que le contenu et
l’étendue de l’audit, nous renonçons à fournir des indications détaillées sur l’audit.
A titre indicatif, pour un audit IT approfondi réalisé dans une PME, il faut prévoir entre trois et dix jours pour les contrôles
«sur place» et entre deux et cinq jours supplémentaires pour le rapport.
22
Rapport
Le rapport se base en principe sur ce qui a été convenu lors de la planification de l’audit (voir ci-dessus). Les principaux
points sont entre autres:
• La structure, l’étendue et le contenu dépendent des objectifs et du public cible.
• Le rapport doit être clairement structuré et axé sur les destinataires:
- Management Summary avec principales constatations et recommandations;
- détails (constatation, évaluation et recommandation) à l’attention du management sous forme verbale;
- détails avec constatation, évaluation et recommandation (y c. ordre de priorité du point de vue de l’auditeur) à l’attention
des responsables techniques sous forme de tableau;
- récapitulatif des recommandations (selon l’ordre de priorité) et, le cas échéant, prise de position de l’audité ainsi que
délai et responsables de la mise en œuvre de la recommandation.
• Le rapport doit préciser clairement la situation actuelle et les mesures à prendre.
D’après notre expérience, il est fortement recommandé de discuter du projet de rapport avec la personne auditée et, le cas
échéant, le management. Ceci permet de clarifier les incertitudes et les malentendus éventuels avant d’établir et d’envoyer
le rapport définitif.
Un tel rapport ressemble au rapport succinct établi pour un IT-Check (voir page 20), mais il est généralement beaucoup plus
concret sur certains points. Sont notamment concernés l’ordre de priorité des recommandations et la prise de position de
l’audité (y c. délai et responsabilités pour la mise en œuvre).
23
8 Conclusion
Malgré l’existence et l’utilisation d’un certain nombre de supports (approches, questionnaires, référentiel CobiT, listes
de contrôle, etc.), le «professional judgement» de l’auditeur est indispensable pour obtenir des résultats répondant aux
exigences spécifiques à l’entreprise, aux processus et aux risques.
Une discussion approfondie entre l’auditeur et l’auditeur IT s’impose pour évaluer les résultats des audits et, le cas échéant,
déterminer d’autres opérations d’audit nécessaires. Le présent «Guide d’analyse des risques informatiques pour les
auditeurs de PME» doit contribuer à améliorer la compréhension des domaines IT spécifiques.
24
Annexes
Annexe 1 Questionnaire Phase I

Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4 Maturité
Stratégie de La stratégie de l’entreprise La stratégie de l’entreprise La stratégie de l’entreprise La stratégie de l’entreprise
l’entreprise et repose principalement sur repose en partie sur dépend peu des nouvelles ne dépend pas des nouvelles
utilisation de l’utilisation d’Internet et l’utilisation d’Internet et des technologies, mais les technologies (p. ex. Internet
l’informatique des nouvelles technologies nouvelles technologies; les processus importants de ou e-commerce).
ainsi que sur l’échange processus importants de l’entreprise utilisent déjà ces
actif d’informations via des l’entreprise se basent sur technologies.
réseaux de données. l’échange d’informations via
des réseaux de données.
Degré L’entreprise utilise une L’entreprise utilise une L’entreprise utilise une L’entreprise utilise une
Exploitation et IT
d’innovation dans infrastructure IT moderne infrastructure IT complexe infrastructure IT étendue, infrastructure IT simple,
l’utilisation de et complexe et s’adapte et s’adapte aux nouvelles comprenant dans une large comprenant dans une large
l’informatique clairement aux nouvelles technologies sans retard. mesure des composants mesure des composants
technologies avant standard, et s’adapte aux standard; l’infrastructure
l’ensemble du secteur. nouvelles technologies avec IT est plutôt en retard par
du retard. rapport aux développements
technologiques.
Dépendance DiLa disponibilité des moyens La disponibilité des moyens La disponibilité des La disponibilité des moyens
par rapport à informatiques est un facteur informatiques est importante moyens informatiques est informatiques n’est pas
la disponibilité critique pour l’exploitation pour l’exploitation (activités parfois importante pour critique pour l’exploitation
des moyens (activités de front-office de front-office et processus l’exploitation (activités de (activités de front-office)
informatiques et processus primaires); primaires); le temps de front-office et processus et les processus primaires
le temps de défaillance défaillance acceptable est primaires); le temps de internes; une défaillance
acceptable est inférieur à compris entre quatre heures défaillance acceptable est supérieure à une semaine
quatre heures. et deux jours. compris entre deux jours et semble acceptable.
une semaine.
Gestion des Il n’y a pas de gestion des Il y a une gestion des risques Il y a une gestion des risques Il y a une gestion des risques
risques risques identifiable; des ponctuelle, spécifique aux ponctuelle, spécifique aux formalisée au niveau de
mesures ad hoc sont mises applications et partiellement applications et partiellement toute l’entreprise; elle est
en œuvre pour réduire les documentée; les mesures documentée; les mesures documentée et actualisée
risques. de réduction des risques de réduction des risques chaque année et les risques
en découlant ne sont pas en découlant ne sont pas sont clairement réduits.
(facilement) identifiables. (facilement) identifiables. La gestion des risques est
complétée par une auto-
évaluation des contrôles mis
en place.
Système de Un système de contrôle Il y a un SCI ponctuel, Il y a un SCI ponctuel, Il y a un SCI formalisé au
contrôle interne interne (SCI) est difficilement spécifique aux domaines spécifique aux domaines niveau de toute l’entreprise;
identifiable ou inexistant. d’activité; le niveau d’activité; le niveau il est documenté et actualisé
de documentation et de documentation et chaque année. Le SCI est
d’actualisation est toutefois d’actualisation est toutefois complété par une auto-
peu clair. peu clair. évaluation des contrôles mis
Organisation interne et contrôle
en place.
Sensibilisation Les collaborateurs ne Les collaborateurs Les collaborateurs Les collaborateurs sont
à la sécurité de sont pas informés de leur sont informés de leur sont informés de leur formés systématiquement
l’information responsabilité quant au responsabilité quant au responsabilité quant au et le respect des exigences
respect des exigences respect des exigences respect des exigences internes et externes en
internes et externes en internes et externes en internes et externes en matière de sécurité de
matière de sécurité de matière de sécurité de matière de sécurité de l’information est contrôlé
l’information. l’information. l’information. régulièrement.
Séparation des Il y a uniquement une Il y a une séparation Il y a une séparation Au sein des domaines
fonctions séparation des fonctions des fonctions entre des fonctions entre d’activité, une séparation
sommaire et informelle; il l’informatique et les l’informatique et les fonctionnelle des fonctions
existe (également eu égard à domaines d’activité; les domaines d’activité; les est systématiquement
l’informatique) des fonctions fonctions au sein des services fonctions au sein des services assurée; celle-ci est
couvrant plusieurs services. spécialisés ne sont parfois spécialisés ne sont parfois documentée dans les
pas séparées. pas séparées. descriptions des tâches et
contrôlée en continu.
Suppléance Seule une suppléance Des suppléances sont Des suppléances sont Des suppléances existent
et savoir-faire sommaire est assurée au sein prévues pour les fonctions prévues pour les fonctions pour toutes les fonctions
en matière de l’entreprise; l’absence importantes, mais la importantes, mais la essentielles et donnent
d’applications au de certaines personnes formation est quasi formation est quasi lieu à une formation; il
sein du service de engendre des problèmes inexistante; l’absence de inexistante; l’absence de y a une documentation
comptabilité déjà au niveau des activités certaines personnes a une certaines personnes a une correspondante; les activités
quotidiennes habituelles. incidence sur les activités incidence sur les activités quotidiennes habituelles et
quotidiennes habituelles quotidiennes habituelles la résolution efficace des
après quelques jours; la après quelques jours; la problèmes sont assurées.
résolution des problèmes résolution des problèmes
et des incidents n’est et des incidents n’est
pas possible en cas de pas possible en cas de
défaillance. défaillance.
25
Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4 Maturité
Logiciel L’application comptable a été Pour la comptabilité, Pour la comptabilité, des Pour la comptabilité, des
comptable développée en interne. des logiciels standard logiciels standard disposant logiciels standard sans
paramétrables disposant uniquement de possibilités possibilités de paramétrage
de possibilités de de paramétrage et de et de programmation
programmation individuelle programmation individuelle individuelle sont utilisés.
sont utilisés. limitées sont utilisés.
Modifications Les applications de base ont Des parties essentielles des Des parties essentielles Les applications de base
dans les été remplacées au cours applications de base ont des applications de base n’ont été que légèrement
applications de de l’exercice précédent ou été remplacées au cours ont été modifiées (p. ex. modifiées ou étendues au
base actuel et les «anciennes» de l’exercice précédent ou changement de version) cours de l’exercice précédent
données ont été migrées. actuel et les données ont été ou étendues au cours de ou actuel.
migrées. l’exercice précédent ou
actuel.
Applications IT
Intégration Pour les applications de Pour les applications Pour les applications de Plusieurs solutions
des flux de base, des solutions intégrées de base, des solutions base, différentes solutions individuelles spécifiques
valeurs dans la présentant un degré élevé intégrées dotées individuelles dotées aux fonctions et dotées
comptabilité d’automatisation ont d’interfaces automatisées d’interfaces (entre lots, d’interfaces (entre lots,
été mises en œuvre; la sont utilisées; les flux de «batch») sont utilisées; «batch») sont utilisées;
compréhension des flux données et de valeurs sont les flux de données et de les flux de données et de
de données et de valeurs compréhensibles. valeurs sont facilement valeurs dans les applications
exige des connaissances compréhensibles. et au niveau des interfaces
spécialisées. sont documentés de
manière compréhensible au
moyen d’évaluations et de
protocoles d’interface.
Erreurs de Les applications de base Les erreurs dans les Les erreurs dans les Les erreurs dans les
programme dans connaissent fréquemment applications de base sont applications de base sont applications de base sont
les applications des problèmes dont la rares, mais leur résolution rares et peuvent être résolues très rares; les erreurs et
de base résolution exige beaucoup exige beaucoup de temps. rapidement. Les erreurs et les les défauts sont résolus
de temps. Les erreurs et Les pannes et les défaillances défauts sont documentés. systématiquement,
les défaillances se répètent se répètent rarement. rapidement et durablement
souvent. et ils sont documentés de
manière compréhensible.
Sécurité de Les moyens informatiques Les moyens informatiques Les moyens informatiques Les moyens informatiques
l’exploitation (serveur, clients, réseau et connaissent des pannes et connaissent peu de pannes ne connaissent que
des moyens périphériques) connaissent des défaillances à répétition; et de défaillances; celles-ci rarement des pannes et
informatiques très souvent des pannes et celles-ci ont une incidence ont parfois une incidence sur des défaillances; celles-ci
des défaillances; celles-ci ont sur l’ensemble des activités les activités de l’entreprise. n’ont une incidence que
une incidence sur l’ensemble de l’entreprise. sur certaines activités de
des activités de l’entreprise. l’entreprise.
Suppléance au Les règles de suppléance Des suppléances sont Des suppléances existent Des suppléances existent
sein du service au sein du service IT sont prévues pour les principales pour les fonctions pour les fonctions
informatique sommaires; l’absence fonctions au sein du service essentielles au sein du essentielles au sein du
de certaines personnes IT, mais elles donnent service IT; elles donnent lieu service IT; elles donnent
engendre des problèmes déjà rarement lieu à une à une formation, mais elles lieu à une formation et il
au niveau de l’exploitation IT formation; l’absence de ne sont pas documentées; existe une documentation
Exploitation IT
normale. certaines personnes a une l’exploitation IT est assurée, correspondante;

incidence sur l’exploitation la résolution des problèmes l’exploitation IT et la
IT après quelques jours et la IT est cependant difficile sans résolution efficace des
résolution des problèmes IT ces personnes. problèmes IT sont assurées.
n’est pas possible.
Dépendance Pour l’exploitation IT, L’exploitation IT normale L’exploitation IT normale L’exploitation normale et la
vis-à-vis de l’entreprise dépend est largement possible est assurée sans soutien résolution des problèmes
prestataires largement du soutien sans soutien extérieur; en extérieur; en cas d’erreurs sont assurées à tout moment
externes (y c. extérieur; celui-ci est revanche, les erreurs ou ou de problèmes, un sans soutien extérieur; celui-
partenaires notamment indispensable en problèmes ne peuvent guère soutien extérieur est parfois ci est uniquement nécessaire
d’externalisation) cas de problèmes. être résolus sans soutien nécessaire. en cas de crise.
extérieur.
Dernier Aucun contrôle IT n’a encore Un contrôle IT a été effectué Un contrôle IT a été effectué Un contrôle IT a été effectué
Risque temporel
contrôle IT été effectué. pour la dernière fois il y a pour la dernière fois il y a au cours de l’exercice écoulé.
plus de cinq ans. quelques années.
26
Annexe 2 Questionnaire Phase II
Constatation
Recommandation
Aperçu de Il n'existe pas d'aperçu de Il existe un aperçu ancien Il existe un aperçu actuel Il existe un aperçu actuel de
l'infrastructure IT l'infrastructure IT. (remontant à plus d'une des principaux composants l'ensemble de l'infrastructure
année) de l'infrastructure IT de l'infrastructure IT (sys- informatique (systèmes et
tèmes et gestion de réseau). gestion de réseau). Les pro-
Les processus d'acquisition, cessus d'acquisition, d'ins-
d'installation et de gestion tallation et de gestion des
des changements n'en- changements comprennent
traînent pas obligatoirement la mise à jour obligatoire de
une mise à jour de cet aperçu. cet aperçu.
Inventaire du Il n'existe pas d'inventaire du Il existe un inventaire ancien Un inventaire du matériel est Un inventaire complet du
matériel matériel. (remontant à plus d'une en cours de réalisation; les matériel est en cours de
année) du matériel. processus d'acquisition ne réalisation. Les processus
garantissent cependant pas d'acquisition et d'installation
la mise à jour obligatoire de comportent la mise à jour
cet inventaire. obligatoire de cet inventaire
ainsi que l'adaptation/la
conclusion de contrats de
Documentation IT
maintenance éventuels.
Inventaire des Il n'existe pas d'inventaire Il existe un inventaire ancien Un inventaire des logiciels Un inventaire complet des
logiciels des logiciels. (remontant à plus d'une (également pour le contrôle logiciels (également pour
année) des logiciels. des licences) est en cours le contrôle des licences) est
de réalisation; les processus en cours de réalisation. Les
d'acquisition ne garantissent processus d'acquisition et
cependant pas la mise à jour de projet comprennent la
obligatoire de cet inventaire. mise à jour obligatoire de
cet inventaire ainsi que la
clarification des éventuelles
questions relatives à l'octroi
de licences d'installations et
de mises à jour.
Contrats et Il existe peu de contrats Il existe un aperçu/récapitu- Il existe un aperçu/récapi- Il existe un aperçu/récapi-
contrats de entre le domaine IT et des latif des contrats passés avec tulatif de tous les contrats tulatif de tous les contrats
prestation de tiers, en dépit de la fourni- des tiers dans le domaine passés avec des tiers dans passés avec des tiers dans
services ture de prestations. IT (fournisseurs, clients, le domaine IT (fournisseurs, le domaine IT (fournisseurs,
partenaires); celui-ci est clients, partenaires). clients, partenaires). Celui-ci
cependant incomplet et pas est géré centralement,
actuel. tenu à jour et contient tous
les contrats et documents
connexes tels que les SLA,
etc.
Responsabilités Les responsabilités pour Les responsabilités pour La plupart des responsabili- Les responsabilités pour
l'introduction, l'exploita- l'introduction, l'exploita- tés pour l'introduction, l'ex- l'introduction, l'exploita-
tion, la maintenance et la tion, la maintenance et la ploitation, la maintenance et tion, la maintenance et la
protection des ressources IT protection des ressources IT la protection des ressources protection des ressources IT
ne sont pas définies. sont généralement définies IT sont documentées. La sont documentées dans les
de manière informelle. documentation n'est cepen- descriptions de postes ou de
dant pas gérée centralement processus. Ces documenta-
et est parfois ancienne. tions sont contrôlées et adap-
tées en cas de besoin – mais
au moins une fois par an.
Architecture / Les nouvelles technologies Les nouvelles technologies Les nouvelles technologies Les nouvelles technologies
Organisation IT
Technologie sont introduites immédiate- sont introduites immédiate- sont introduites uniquement sont systématiquement
ment, sans que leur utilité ment lorsqu'elles promettent lorsqu'elles se sont établies évaluées et leur importance
économique ou stratégique un avantage économique ou sur le marché et que des pour la stratégie de l'entre-
et leur bon fonctionnement stratégique. Des clarifica- références existent. Les tests prise est analysée. Avant
dans l'environnement exis- tions techniques sont parfois habituels sont effectués la première utilisation, le
tant soient démontrés. effectuées avant la première avant la première utilisation. fonctionnement, la fiabilité
utilisation. et la compatibilité des nou-
veaux produits sont testés
de manière approfondie en
dehors de l'environnement
de production.
Séparation des Il n'y a pas de séparation des Il y a uniquement une Il y a une séparation fonc- Une séparation fonctionnelle
fonctions fonctions au sein du service séparation des fonctions tionnelle des fonctions pour des fonctions est systémati-
IT; les fonctions critiques (p. sommaire et informelle les fonctions IT critiques; quement assurée au sein du
ex. développeur/opérateur) au sein du service IT; les celle-ci n'est cependant pas service IT; celle-ci est docu-
ne sont pas séparées. fonctions critiques (p. ex. documentée et n'est pas mentée dans les descriptions
développeur/opérateur) ne surveillée. des tâches et son respect est
sont pas séparées. surveillé en continu.
27
Constatation
Recommandation
Suppléance Il n'y a pas de règles de sup- Il y a uniquement des règles Des suppléances sont Des suppléances existent
pléance au sein du service IT. de suppléance sommaires au prévues pour les fonctions pour les fonctions essen-
sein du service IT. les plus importantes au tielles au sein du service
sein du service IT, mais elles IT et donnent lieu à une
donnent rarement lieu à une formation; la documentation
formation; une documen- actuelle correspondante
tation correspondante est permet de facto l'exécution
parfois disponible et facilite des tâches par le ou les
l'exécution des tâches par le suppléants.
ou les suppléants.
Procédure Il n'y a pas de procédure Il y a des procédures d'auto- Des procédures d'autorisa- Des procédures d'autorisa-
d'autorisation d'autorisation pour les risation informelles pour les tion formelles sont définies tion formelles sont définies
pour les modifications de l'infrastruc- modifications de l'infrastruc- pour les modifications dans pour les modifications dans
modifications de ture IT. ture IT. toute l'infrastructure IT; toute l'infrastructure IT.
l'infrastructure IT celles-ci peuvent néan- Leur respect est assuré et
moins être contournées ou régulièrement contrôlé. Les
ignorées. demandes de modification
Organisation IT
ne donnant pas lieu aux

autorisations requises sont
systématiquement rejetées.
Clarté des Les autorisations relatives Les autorisations relatives La plupart des processus Tous les processus d'auto-
autorisations aux modifications de aux modifications de l'infras- d'autorisation des modifi- risation des modifications
relatives aux l'infrastructure IT ne sont tructure IT sont rarement cations de l'infrastructure IT de l'infrastructure IT ainsi
modifications de pas définies par écrit. consignées. ainsi que les modifications que les modifications elles-
l'infrastructure IT elles-mêmes sont consignés; mêmes sont consignés sys-
en revanche, seule une tématiquement. Le respect
surveillance ponctuelle est des processus d'autorisation
assurée. est surveillé en continu et
contrôlé régulièrement.
Contrôle des Les coûts IT ne sont pas trai- Les coûts IT sont budgétisés Les coûts IT sont budgétisés Il existe un processus com-
coûts tés de manière homogène et comptabilisés en continu. globalement et comptabili- plet pour le contrôle finan-
selon des normes précises Une répartition entre les sés en continu. Une répar- cier de toutes les activités et
dans la comptabilité. L'attri- différentes activités IT n'est tition entre les différentes de tous les projets IT, y c. la
bution de coûts et de temps cependant pas effectuée. activités IT n'est cependant planification, la budgétisa-
aux activités IT n'est pas S'agissant des projets, il n'y a pas effectuée. S'agissant des tion, la comptabilisation des
possible. pas de calcul rétrospectif. projets importants, un calcul coûts et du temps ainsi que
rétrospectif est réalisé, les le contrôle des résultats.
principaux dépassements Les écarts font l'objet d'une
étant alors justifiés. analyse systématique.
Infrastructure IT L'acquisition, l'exploitation L'acquisition, l'exploita- L'entreprise veille à la confor- Il existe un processus
convenue et la maintenance de l'infras- tion et la maintenance de mité de l'acquisition, de formalisé garantissant la
tructure IT suivent une l'infrastructure IT ne suivent l'exploitation et de la main- conformité de l'acquisition,
stratégie indépendante des pas une stratégie globale tenance de l'infrastructure IT de l'exploitation et de la
activités opérationnelles. découlant des objectifs aux objectifs opérationnels; maintenance de l'infrastruc-
opérationnels. L'approche il n'existe cependant pas de ture IT aux objectifs opéra-
se base néanmoins sur les processus formalisé à cet tionnels de l'entreprise.
activités opérationnelles. égard.
Prescriptions IT Il n'existe pas de contrats de Il n'existe pas d'objectifs Des contrats de presta- Des contrats de prestation
(SLA) prestation de services entre de performance au sein du tion de services informels de services formels existent
le service IT et les services service IT pour la fourniture existent entre le service IT entre le service IT et les
Gouvernance IT
spécialisés (utilisateurs) de ses prestations. Ceux-ci et les services spécialisés services spécialisés (utilisa-
concernant les temps de ne sont ni communiqués ni (utilisateurs) concernant les teurs) concernant les temps
service, la disponibilité et convenus avec les services temps de service, la dispo- de service, la disponibilité
l'efficacité des services IT. spécialisés. nibilité et l'efficacité des et l'efficacité des services
services IT; ceux-ci ne sont IT sous la forme de SLA
cependant pas documentés écrits. Le respect de ceux-ci
intégralement et leur respect fait l'objet d'un contrôle
ne fait pas l'objet d'un périodique.
contrôle périodique.
Gouvernance IT Aucun pilotage de l'orga- La structure et le pilotage La structure et le pilotage La structure et le pilotage
nisation et des processus IT de l'organisation et des pro- de l'organisation et des de l'organisation et des pro-
n'est effectué. cessus IT ne se basent pas processus IT se basent sur cessus IT sont systématique-
sur des normes, mais sont des normes telles que COBIT ment mis en œuvre confor-
développés en interne. (gouvernance), ITIL (gestion mément à des normes telles
des services) et ISO 27001 que COBIT (gouvernance),
& 27002 (gestion de la ITIL (gestion des services) et
sécurité). ISO 27001 & 27002 (gestion
de la sécurité).
28
Constatation
Recommandation
Documentation Les processus IT et les Les processus IT et les Seuls les processus IT les plus Tous les processus IT
des processus IT responsabilités correspon- responsabilités correspon- importants et les respon- pertinents et les responsa-
dantes ne sont pas com- dantes sont communiqués sabilités correspondantes bilités correspondantes sont
muniqués. Chacun est libre de manière informelle sont fixés par écrit; cette documentés par écrit, tenus
dans son activité. Il n'y a ni et chacun dispose d'une documentation n'est pas for- à jour et conformes à la
surveillance ni contrôle. grande liberté dans son acti- cément actuelle et correcte. réalité; leur respect est sur-
vité. Il n'y a ni surveillance ni Le respect de ces processus veillé en continu et contrôlé
contrôle. est surveillé de manière régulièrement.
sporadique uniquement; des
contrôles ne sont effectués
qu'en cas d'incident excep-
tionnel.
Concept de Il n'existe pas de concept de Il existe un concept informel Il existe un concept de Il existe un concept de
Gouvernance IT
protection de protection des accès réglant de protection des accès protection des accès réglant protection des accès réglant
l'accès aux la classification des données réglant la classification des la classification des données la classification des données
données et les droits d'accès des données et les droits d'accès et les droits d'accès des et les droits d'accès des
utilisateurs. des utilisateurs; il n'a cepen- utilisateurs; son respect utilisateurs. Son respect et
dant pas toujours été com- n'est cependant pas vérifié son efficacité sont vérifiés
muniqué aux utilisateurs. régulièrement et il n'est pas régulièrement et il est mis à
mis à jour régulièrement. jour en cas de besoin.
Concept de Il n'existe pas de concept Il existe un concept informel Il existe un concept de Il existe un concept de
protection de de protection des accès de protection des accès protection des accès réglant protection des accès réglant
l'accès aux réglant les droits d'accès des réglant les droits d'accès des les droits d'accès des les droits d'accès des
applications utilisateurs aux applications utilisateurs aux applications utilisateurs aux applications utilisateurs aux applications
et aux fonctions disponibles et aux fonctions disponibles et aux fonctions disponibles et aux fonctions disponibles
dans celles-ci. dans celles-ci; il n'a cepen- dans celles-ci; son respect dans celles-ci. Son respect
dant pas toujours été com- n'est cependant pas vérifié et son efficacité sont vérifiés
muniqué aux utilisateurs. périodiquement et il n'est périodiquement et il est mis
pas mis à jour régulièrement. à jour en cas de besoin.
Les nouvelles applications ne
sont pas prises en compte
ou le sont uniquement avec
un retard considérable.
Gestion des Les risques IT et les exi- Les risques IT et les exi- Les risques IT et les exi- Les risques IT et les exi-
risques gences de sécurité ne sont ni gences de sécurité ne sont gences de sécurité sont gences de sécurité sont
identifiés ni vérifiés. vérifiés qu'en cas d'incident examinés à intervalles irré- examinés périodiquement
ayant un impact sur la guliers ou de manière non et systématiquement et
sécurité. La mise en œuvre systématique. Les mesures activement traités via une
des mesures d'amélioration d'amélioration prévues auto-évaluation régulière
prévues n'est pas surveillée. ne sont que partiellement des contrôles mis en place.
surveillées. La mise en œuvre complète
des mesures d'amélioration
prévues est surveillée de
manière continue.
Politique de La politique de sécurité IT La politique de sécurité IT et La politique de sécurité IT La politique de sécurité IT
sécurité et le concept de sécurité ne le concept de sécurité sont et le concept de sécurité le concept de sécurité sont
Gestion des risques IT
sont présents que sous une parfois présents, mais ils sont examinés et adaptés à examinés périodiquement
forme sommaire ou sont remontent déjà à plus d'une intervalles irréguliers. et adaptés à la menace
totalement inexistants. année. concrète et à la stratégie/
aux objectifs actuels de
l'entreprise.
Assurances Il n'existe pas d'assurances Il existe parfois des assu- Il existe une assurance de Il existe une assurance de
pour les infrastructures et les rances pour les infrastruc- choses pour les infrastruc- choses pour les infrastruc-
équipements IT (matériel). tures et les équipements IT tures et les équipements IT tures et les équipements IT
(matériel); il n'est cependant (matériel); le besoin d'assu- (matériel); le besoin d'assu-
pas clair s'il existe une rances supplémentaires (p. rances supplémentaires (p.
couverture d'assurance ex. supports de données/ ex. supports de données/
appropriée pour tous les coûts supplémentaires, coûts supplémentaires, inter-
incidents possibles. interruption de l'exploita- ruption de l'exploitation) est
tion) est précisé de manière précisé de manière formelle.
informelle. Les processus d'acquisition
et de projet comprennent
l'examen obligatoire d'une
couverture d'assurance
supplémentaire; il existe
un aperçu central et actuel
de toutes les prestations
d'assurance conclues.
29
Constatation
Recommandation
Non-respect des La reconnaissance de l'appli- Il n'existe pas de dispositions Les principales lois, normes Il existe un processus défini
lois / normes / cabilité des lois, normes concernant le recensement et prescriptions applicables pour le recensement de
prescriptions et prescriptions et de leur systématique et le respect sont connues des divers toutes les lois, normes et
respect n'est pas réglée. des lois, normes et pres- services spécialisés. Leur res- prescriptions applicables
criptions pertinentes pour pect est réglé par domaine. ainsi que des contrôles
l'entreprise. internes clairs concernant
leur respect.
Conformité
Audit IT Aucun audit indépendant Un audit indépendant des Des audits indépendants des Des audits indépendants des
indépendant des applications, de l'infras- applications, de l'infrastruc- applications, de l'infrastruc- applications, de l'infrastruc-
tructure et de l'exploitation ture et de l'exploitation IT ture et de l'exploitation IT ture et de l'exploitation IT
IT n'est réalisé. est rarement réalisé. Aucune sont réalisés, mais unique- sont réalisés régulièrement.
mesure visant à remédier ment en cas d'incidents ou Des mesures appropriées
aux faiblesses ou lacunes d'exigences spécifiques. Les sont mises en œuvre de
identifiées n'est mise en mesures visant à remédier manière systématique et
œuvre. aux faiblesses ou lacunes ne rapidement; les travaux
sont pas mises en œuvre de nécessaires à cet effet sont
manière systématique. contrôlés.
Gestion des Il n'existe pas d'aperçu des Il existe un aperçu partiel des Il existe un aperçu actuel de Un portefeuille de projets
projets IT projets IT. projets IT en cours; il n'existe tous les projets IT; il n'existe comprenant tous les projets
cependant pas de documen- cependant pas d'harmoni- IT est géré au niveau de
tation complémentaire. sation obligatoire avec un l'entreprise. Le processus de
portefeuille de l'ensemble projet comprend l'harmo-
des projets au niveau de nisation obligatoire avec ce
l'entreprise. portefeuille et sa mise à jour.
Répartition Les projets sont rarement ré- Les projets sont répartis dans Les projets sont structurés Les projets sont répartis
des projets partis en phases; la majeure des phases individuelles lon- en phases courtes avec des clairement dans des étapes
en différentes partie des produits livrables gues sans produits livrables livrables clairs; les phases de importantes et des activités
phases ou des étapes importantes et étapes importantes planification initiales (cachier principales et secondaires
manquent. clairement définis. des charges / spécifications) avec des produits livrables
sont habituellement réduites clairement définis (p. ex.
au profit de la phase cahier des charges / spéci-
d'exécution. Un contrôle de fications / exécution / test /
l'avancement des projets est validation / application); des
parfois réalisé. réunions régulières ont lieu
Gestion des projets IT
concernant l'avancement
des projets.
Equipe de projet Les équipes ne sont pas Les responsables et les Des responsables et des Des responsables et des
nommées, les collabora- équipes de projet sont nom- équipes de projet sont équipes de projet sont
teurs sont impliqués de més de manière informelle; nommés, mais leurs tâches nommés; leurs tâches et le
manière dynamique et non il n'existe cependant pas concrètes et le temps pourcentage de temps de
coordonnée. de descriptions claires des correspondant n'ont pas travail correspondant sont
tâches. Les équipes de projet été planifiés de manière clairement indiqués. Les
sont rarement formées à systématique. Une formation responsables de projet et
la méthode de gestion de à la méthode de gestion de tous les collaborateurs par-
projet appliquée. projet appliquée a parfois ticipant aux projets ont reçu
été assurée. une formation suffisante à
la méthode de gestion de
projet appliquée.
Degré de par- La direction n'utilise pas son La direction délègue son La direction est informée La direction est informée
ticipation de la pouvoir de décision et n'a pouvoir de décision, p. ex. sur l'avancement des projets régulièrement sur l'avan-
direction dans pas non plus délégué celui-ci à un comité de pilotage ou via des protocoles réguliers, cement des projets et des
les projets formellement à un comité de au responsable IT. La direc- mais elle participe rarement problèmes survenus et prend
pilotage ou au responsable tion participe aux projets aux réunions (de pilotage) part aux décisions impor-
IT. uniquement à la demande concernant les projets ou tantes relatives aux projets;
des représentants des utili- aux rencontres avec les à cet effet, elle rencontre
sateurs ou du responsable IT. responsables de projet. les responsables de projet
ou participe activement aux
réunions sur l'avancement
des projets.
30
Constatation
Recommandation
Analyse des Les nouveaux systèmes IT Les nouveaux systèmes IT Le développement/ Il existe un processus de
besoins / sont conçus sans la partici- sont conçus principalement l'acquisition de nouveaux développement/d'acquisition
Participation pation de tous les groupes par le service IT sur la base systèmes IT est parfois réglé formel et complet pour les
des utilisateurs d'utilisateurs concernés des souhaits et des idées des formellement. Les nouveaux systèmes IT. Les représen-
principalement sur la base services spécialisés. Certains systèmes sont conçus tants de tous les groupes
des souhaits et des idées de groupes d'utilisateurs sont principalement par le service d'utilisateurs sont impliqués
certains groupes. sollicités pour clarifier des IT, les différents groupes dès le départ dans le pro-
questions de détail. d'utilisateurs étant sollicités cessus et responsables de
précocement pour clarifier et l'exhaustivité de la spécifi-
Gestion des projets IT
piloter les besoins. cation. Les changements de

besoins/spécifications sont
pilotés de manière proactive
par les représentants des
utilisateurs.
Analyse coûts/ Des projets ont été lancés Des projets ad hoc ont Les projets sont lancés sur la Les projets résultent de la
utilité sans que des analyses coûts/ été lancés sur la base des base des besoins démontrés. planification IT stratégique
utilité aient été réalisées. exigences actuelles des Les coûts donnent lieu à de l'entreprise et d'une
services spécialisés ou de une évaluation quantitative, analyse complète des coûts/
la direction, les estimations l'utilité à une évaluation de l'utilité (business case). La
relatives aux coûts/à l'uti- plutôt qualitative. Les effets réalisation des objectifs est
lité se basant sur des idées des projets sur les autres systématiquement mesurée
optimistes qui ne sont pas applications manifestement et évaluée à la fin du projet.
étayées par des chiffres. Les concernées sont analysés et
adaptations nécessaires dans les coûts subséquents sont
le cadre d'autres projets examinés.
sont rarement identifiées et
démontrées.
Processus de Il n'existe pas de proces- Les processus de dévelop- Les processus de déve- Il existe des processus
développement/ sus spécifique pour le pement, d'évaluation et de loppement, d'évaluation fixés par écrit pour le
configuration développement, l'évaluation configuration des applica- et de configuration des développement, l'évalua-
et la configuration des tions sont informels; l'accès applications et l'accès aux tion et la configuration des
applications. aux environnements de environnements de dévelop- applications, y c. l'accès aux
développement et d'évalua- pement et d'évaluation sont environnements de dévelop-
tion n'est pas spécialement documentés et largement pement et d'évaluation et la
protégé. connus; leur respect n'est mise à disposition des pro-
cependant vérifié qu'au cas cessus de l'environnement
par cas. de production. Leur respect
est surveillé en continu et
contrôlé périodiquement.
Cahier des Il existe rarement un Le cahier des charges pour Le cahier des charges pour Il existe un cahier des
charges cahier des charges pour les nouvelles applications les nouvelles applications charges formel et complet
manquant/ les nouvelles applications. est incomplet, d'autant plus est complet, les exigences pour les nouvelles appli-
Développement de logiciels
incomplet Les unités d'organisation que les unités d'organisation de la plupart des unités cations. Les exigences de
importantes concernées ne importantes concernées d'organisation concernées toutes les unités d'orga-
sont pas intégrées. ne sont pas intégrées de étant prises en compte. La nisation concernées sont
manière systématique. Il n'y validation est informelle. systématiquement sondées
a pas de validation formelle Des changements/complé- et analysées. Avant le début
du cahier des charges. ments sont apportés encore du développement/de
fréquemment au cahier des l'acquisition, le cahier des
charges après la validation. charges est formellement
validé. Les changements
apportés ultérieurement
au cahier des charges sont
strictement contrôlés.
Dépendance Les dépendances et les Les suppléances vis-à-vis de Lorsque des développeurs/ Lorsque des développeurs/
vis-à-vis de suppléances vis-à-vis de développeurs/fournisseurs fournisseurs externes sont fournisseurs externes
développeurs/ développeurs/fournisseurs externes sont réglées de ma- impliqués, des suppléances sont impliqués, des règles
fournisseurs externes ne sont ni réglées, nière informelle et ad hoc. formelles sont prévues pour contractuelles garantissent
externes ni surveillées ni contrôlées. Il n'existe pas de contrats les fonctions importantes la disponibilité de collabora-
garantissant la disponibilité auprès des prestataires de teurs compétents. Le savoir-
d'un savoir-faire critique. services, mais elles ne sont faire critique est largement
cependant ni surveillées ni et clairement soutenu auprès
contrôlées systématique- du prestataire de services
ment. Le savoir-faire critique par une formation ciblée, la
est transmis de manière suppléance et la rotation des
informelle ou doit être tâches.
constitué rapidement en cas
d'urgence.
31
Constatation
Recommandation
Disponibilité du Le code source des pro- Le code source des pro- Le code source des pro- Le code source de tous les
code source grammes ou des versions de grammes ou des versions grammes ou des versions de programmes et versions de
programme installés est peu de programme installés et programme installés et les programme installés et les
documenté. leurs configurations sont configurations correspon- configurations correspon-
documentés de manière dantes sont documentés dantes sont documentés de
incomplète. L'accès au code en majeure partie et à jour. manière exhaustive, à jour
source des logiciels acquis L'accès au code source et traçables. L'accès au code
n'est souvent pas possible. des logiciels acquis est source des logiciels acquis
parfois garanti par des est incontestablement
règles contractuelles (escrow garanti (escrow agreement).
agreement).
Documentation Il n'existe pas de documen- Il n'existe qu'une documen- Il existe une documentation Il existe une procédure
relative aux tation écrite relative aux tation informelle relative aux détaillée pour toutes les formelle et complète pour
applications applications. applications; dans de nom- applications; sa mise à jour la documentation des
breux cas, la documentation et son intégralité ne peuvent applications, avec des
disponible est incomplète ou cependant pas être toujours descriptions de toutes les
pas mise à jour. garanties. applications et de leurs prin-
cipales spécifications, y c.
la clarté des documents de
projet centraux et des tests
effectués. La documentation
Développement de logiciels
est obligatoirement mise à

disposition et tenue à jour.
Migration des Lors de l'introduction de Lors de l'introduction de Avant le début de la mise Avant le début de la mise
données nouvelles applications, les nouvelles applications, les en production des nouvelles en production des nouvelles
données nécessaires sont données sont migrées à applications, les données applications, les données
migrées. Avant la mise en l'aide d'outils standard. devant être reprises sont devant être reprises sont
service, des contrôles sont Avant la mise en service, on partiellement migrées et intégralement migrées et
cependant rarement effec- contrôle à l'aide d'échan- l'application est testée avec l'intégralité, l'exactitude et la
tués pour vérifier l'exhaus- tillons si la structure des les données migrées. Lors de compatibilité de l'application
tivité, l'exactitude et la données a été reprise la mise en service, toutes les avec les nouvelles fonctions
compatibilité de la migration correctement. données actuelles sont une sont testées en parallèle de
des données. nouvelle fois migrées. manière exhaustive par un
groupe d'utilisateurs des ser-
vices spécialisés concernés.
Lors de la mise en service,
toutes les données actuelles
sont une nouvelle fois
migrées.
Procédure de Il n'existe pas de procédure Il existe peu de procédures Les procédures de Il existe des règles formelles
modification de contrôle des modifica- de modification formelles. modification sont largement strictes concernant les modi-
tions. Les développeurs Les développeurs peuvent réglées pour la plupart des fications des programmes et
peuvent faire des modifica- faire des modifications systèmes, toutes les modi- configurations, qui couvrent
tions de manière illimitée; non autorisées au niveau fications d'urgence étant aussi les modifications
les modifications ne sont en de l'environnement de couvertes. Les modifications d'urgence. Les modifications
outre pas claires. production ou modifier sont claires et peuvent uni- sont toujours claires, ne
les configurations. Les quement être effectuées par peuvent être effectuées que
modifications – notamment des personnes autorisées; par des personnes autorisées
en cas d'urgence – sont peu elles sont testées dans leur et doivent être testées et
traçables. majeure partie avant leur explicitement autorisées
installation et explicitement avant l'installation. Toutes
autorisées; le respect des les modifications sont
procédures n'est cependant surveillées en continu et
contrôlé qu'au cas par cas. documentées précisément.
Séparation Il n'existe pas d'environne- Il n'existe pas d'environne- Pour certaines applications A côté de l'environnement
Test des applications
développement/ ment de test. Les applica- ment suffisamment séparé importantes, il existe des de développement, il existe
production tions sont intégrées directe- de l'environnement de environnements de dévelop- un environnement de test
ment dans l'environnement production pour développer pement et de test séparés de qui est totalement séparé de
de production et testées en et tester les applications. la production. l'environnement de produc-
direct. tion. Toutes les applications
peuvent y être testées sans
danger avant leur mise en
production.
32
Constatation
Recommandation
Identification des Les environnements de Les environnements de Les environnements de Les environnements de
environnements système disponibles ne sont système disponibles (déve- système disponibles (déve- système disponibles (déve-
de système séparés ni physiquement ni loppement/test/production) loppement/test/production) loppement/test/production)
logiquement. ne sont pas documentés et sont documentés, mais ils sont documentés. Ils sont
ne sont identifiables ni phy- ne sont identifiables ni phy- clairement identifiables
siquement ni logiquement siquement ni logiquement physiquement (p. ex. au
comme des environnements comme des environnements moyen d'un marquage) et
de système dédiés. de système dédiés. logiquement (p. ex. fond
d'écran ou texte en couleur)
comme étant associés à un
certain type d'environne-
ment de système.
Intégralité des La planification, l'exécution Les tests ne sont pas Les tests sont formalisés; Les tests sont formalisés;
tests et la documentation des formalisés; la planification, la planification, l'exécution la planification, l'exécution
tests sont rarement réalisées. l'exécution et la documenta- et la documentation des et la documentation des
tion des tests ne suivent pas tests suivent des directives tests suivent dans toutes les
de directives concrètes. sommaires. Les tests sont phases de développement
généralement réalisés des directives claires concer-
dans la plupart des phases nant l'étendue et l'intégralité
(avancées) de projet; ceci et intègrent tous les services
n'est cependant pas obliga- spécialisés et domaines
toirement mis en œuvre et d'utilisation. Des tests indi-
surveillé. viduels et en série suffisants
sont réalisés intégralement
et correctement, ce qui
Test des applications
donne lieu à une surveillance

continue et à des contrôles
réguliers.
Tests au début Aucun test n'est réalisé dans Des tests sont réalisés, mais Des tests standardisés sont Pendant et après l'instal-
de la production cette phase de projet. Une ils ne sont ni formalisés ni réalisés, mais ils ne sont lation (mise en service), de
de la nouvelle mise en service définitive standardisés. Il n'y a pas pas formalisés. Il n'y a pas nombreux tests sont réalisés
application ou peut cependant avoir lieu d'archivage des résultats d'archivage des résultats au moyen de questionnaires
de la nouvelle même si les tests sont des tests après leur mise en des tests après leur mise utilisateurs ou via la mise à
version incomplets et les résultats ne œuvre. Une autorisation en œuvre. L'autorisation disposition de l'application
sont pas satisfaisants. définitive peut être donnée définitive pour l'exploita- en vue d'un test représenta-
en vue de l'exploitation tion de l'application est tif. L'autorisation définitive
même si les tests ne sont pas généralement donnée après pour l'exploitation est
exécutés correctement. l'exécution correcte des donnée uniquement si tous
tests; ceci n'est cependant les critères sont remplis.
pas obligatoirement effectué L'exécution du test (y c. les
ni surveillé. résultats du test) est établie
clairement, ce qui est sur-
veillé en continu et contrôlé
régulièrement.
Tests de Avant la mise en production Avant la mise en production Les principales interfaces Il existe des processus
compatibilité d'applications nouvelles ou d'applications nouvelles ou des applications nouvelles formalisés pour la réalisation
modifiées, aucun test n'est modifiées, seuls des tests et modifiées sont soumises de tests de compatibilité des
réalisé concernant la compa- sommaires sont réalisés à des tests concernant les applications nouvelles ou
tibilité avec l'environnement. concernant la compatibi- systèmes secondaires. Les modifiées avec les environ-
lité avec l'environnement résultats de ces tests ne nements existants (notam-
existant. sont cependant pas toujours ment interfaces). Les résul-
documentés ni archivés de tats, les erreurs survenues
manière systématique. et les solutions/mesures de
correction correspondantes
sont systématiquement
documentés et archivés, ce
qui est surveillé en continu
et contrôlé régulièrement.
33
Constatation
Recommandation
Directives Il n'existe pas de directives Il existe des directives d'utili- Il existe des directives d'utili- Il existe des directives d'utili-
d'utilisation sur d'utilisation relatives à la sation informelles relatives à sation formelles relatives à la sation formelles relatives à la
la protection protection anti-virus. Il la protection anti-virus. protection anti-virus. protection anti-virus.
anti-virus n'existe pas de formation Les utilisateurs sont Les utilisateurs sont Les utilisateurs sont informés
spécifique pour les utilisa- informés, p. ex. du fait que informés, p. ex. du fait que dans le cadre de forma-
teurs, p. ex. concernant le les supports de données les supports de données tions, comme p. ex. sur le
traitement des supports de externes, les pièces jointes externes, les pièces jointes traitement des supports de
données externes, les pièces par e-mail, les accès à des par e-mail, les accès à des données, des pièces jointes
jointes par e-mail, l'accès sites Internet douteux et les sites Internet douteux et les par e-mail et des télécharge-
Internet et les télécharge- téléchargements inconnus téléchargements inconnus ments inconnus. Le respect
ments inconnus. représentent un danger, représentent un danger, des directives est surveillé en
mais il n'est pas possible de mais il n'y a pas eu de véri- continu et contrôlé périodi-
prouver que les collabora- table formation au cours des quement.
teurs respectent vraiment les trois dernières années. Le
directives. respect des directives n'est
cependant surveillé qu'au
cas par cas.
Directives d'utilisation
Utilisation Il n'existe pas de directives Il existe des indications Il existe des directives Il existe des directives d'utili-
d'Internet / de d'utilisation relatives à concernant l'utilisation d'utilisation concernant l'uti- sation formelles concernant
l'e-mail Internet et à l'e-mail. Les d'Internet et de l'e-mail, lisation d'Internet et de l'e- l'utilisation d'Internet et
collaborateurs ne sont pas et les collaborateurs sont mail. Les collaborateurs sont de l'e-mail ainsi que des
sensibilisés aux risques liés à sensibilisés aux risques liés à sensibilisés durablement procédures formelle pour
l'utilisation d'Internet et de l'utilisation d'Internet et de aux risques liés à l'utilisation la sensibilisation régulière
l'e-mail. Les activités liées à l'e-mail. Les activités liées à d'Internet et de l'e-mail. Les de tous les collaborateurs à
Internet et à l'e-mail ne sont Internet et à l'e-mail ne sont activités liées à Internet et l'accès aux ordinateurs en ce
ni consignées ni surveilllées. ni consignées ni autrement à l'e-mail sont consignées, qui concerne les risques liés
surveillées et analysées. mais ne sont ni surveillées ni à l'utilisation d'Internet et de
analysées. l'e-mail. Le comportement
relatif à l'e-mail et Internet
est enregistré en continu
et les activités suspectes
ou risquées (tout comme
le respect de la protection
de la personnalité) sont
analysées.
Archivage Il n'existe pas de directives Il existe des directives et Il existe des directives et Il existe des directives d'uti-
d'utilisation concernant la des procédures d'utilisation des procédures d'utilisation lisation et des procédures
conservation, l'archivage informelles concernant la concernant la conservation, formelles concernant la
et la destruction des docu- conservation, l'archivage l'archivage et la destruc- conservation, l'archivage
ments. et la destruction des docu- tion des documents. Le et la destruction des
ments. Il n'est cependant respect des directives n'est documents. Leur respect est
pas possible de prouver que cependant surveillé qu'au surveillé et contrôlé périodi-
les collaborateurs respectent cas par cas. quement.
vraiment les directives.
Manuel d'utilisa- Les utilisateurs ne disposent Il existe uniquement des Il existe des manuels d'uti- Il existe une procédure
tion et documen- pas d'un manuel d'utilisa- manuels d'utilisation infor- lisation détaillés pour les formelle complète pour les
tation tion pour les applications mels pour certaines applica- applications importantes. manuels d'utilisation et la
utilisées. tions. Dans bien des cas, la Leur mise à jour et leur documentation de toutes les
documentation disponible exhaustivité ne peuvent applications. La documen-
est cependant incomplète cependant pas toujours être tation est obligatoirement
Formation des utilisateurs
ou pas à jour. garanties. tenue à disposition et mise

à jour.
Formations Les utilisateurs ne reçoivent Les utilisateurs sont formés Il existe un programme Un programme de formation
informatiques pas de formation. selon le principe "learning de formation destiné à formel et des procédures
by doing". Des formations former les collaborateurs à correspondantes garan-
existent pour certaines l'utilisation correcte et sûre tissent que tous les utilisa-
applications. d'une application. Cette teurs sont systématiquement
formation n'a cependant formés, conformément à
pas obligatoirement lieu leurs besoins spécifiques, à
avant la première utilisation leur niveau de connaissances
de cette application et n'est et aux exigences de sécurité
pas adaptée aux besoins de l'entreprise, à l'utilisa-
spécifiques des utilisateurs ni tion correcte et sûre des
aux exigences de sécurité de applications avant qu'ils ne
l'entreprise. travaillent avec celles-ci de
manière autonome.
34
Constatation
Recommandation
Formation En cas de modification En cas de modification Les collaborateurs sont Une procédure formelle
en cas de majeure des applications, les majeure des applications, informés des modifications garantit que, en cas de
Formation des utilisateurs
modification utilisateurs ne reçoivent ni aucune formation n'est majeures des applications. modifications et de déve-
et de information ni formation. proposée. Les utilisateurs Des formations sont pro- loppements majeurs, les
développement sont formés selon le principe posées, mais elles ne sont collaborateurs sont informés
"learning by doing". cependant pas obligatoi- du besoin de formation
rement suivies par tous les (complémentaire) et qu'ils
utilisateurs. suivent ces formations dans
le délai requis. Un service
spécifique a été mis sur pied
pour répondre aux questions
typiques des utilisateurs.
Le respect est surveillé et
Profils Il n'existe pas de profils de Il existe des applications Il existe un concept d'autori- Il existe un concept d'auto-
utilisateurs sécurité basés sur les rôles. individuelles avec des profils sation avec des rôles clairs et risation général avec des
de sécurité basés sur les des profils de sécurité basés rôles clairs et des profils de
rôles. sur les rôles; il est cependant sécurité basés sur les rôles.
mis en œuvre uniquement Des profils 1-n sont attribués
pour certaines applications aux collaborateurs selon
et fonctions. leur fonction et/ou leur
description de poste. L'octroi
d'autorisations individuelles
est nécessaire uniquement
dans des cas exceptionnels.
Gestion des Il n'existe pas de procédures Les procédures de gestion Les procédures de gestion Il existe des procédures
droits d'accès spécifiques garantissant que des droits d'accès sont des droits d'accès sont fixées par écrit pour la ges-
les autorisations sont saisies informelles; les identifica- documentées et largement tion des droits d'accès, qui
et mises à jour correctement tions utilisateurs et les droits connues, de sorte que les garantissent que les droits
et en particulier que les d'accès sont commandés de droits d'accès d'un collabo- d'accès d'un collaborateur
droits d'accès des collabora- manière ad hoc auprès de rateur sont mis en place à sont mis en place à son
teurs qui quittent l'entreprise l'administrateur système. son arrivée conformément à arrivée conformément à sa
sont supprimés à temps. sa fonction et supprimés lors fonction, mis à jour périodi-
de son départ. La gestion quement et supprimés lors
des droits d'accès est limitée de son départ. La gestion
à quelques personnes. Il des autorisations est stric-
n'existe cependant pas tement limitée à certaines

d'autres contrôles garan- personnes du point de vue
tissant que les comptes tant organisationnel que
non utilisés et les droits technique. Le respect des
d'accès devenus inutiles sont procédures est surveillé en
supprimés. continu et contrôlé périodi-
quement; les droits d'accès
eux-mêmes sont contrôlés
régulièrement afin de garan-
tir que les comptes non utili-
sés ne sont plus actifs et que
les droits d'accès devenus
inutiles sont supprimés.
Comptes Des comptes utilisateurs Des comptes utilisateurs Les cas dans lesquels des Une procédure formelle
utilisateurs impersonnels sont utilisés impersonnels sont parfois comptes utilisateurs imper- garantit que des comptes
impersonnels pour les opérations et les utilisés sans que leur néces- sonnels peuvent être utilisés utilisateurs impersonnels
activités IT quotidiennes sans sité soit systématiquement sont documentés. L'accès sont utilisés uniquement
qu'une surveillance spéciale contrôlée. à ces comptes est limité à dans des cas exceptionnels
ne soit assurée. quelques personnes; il n'est et avec l'accord préalable
cependant pas possible du service responsable.
d'identifier la personne en Les comptes utilisateurs
question. Il n'y a pas de impersonnels peuvent être
contrôle périodique de leur utilisés par les collabora-
nécessité. teurs uniquement via une
authentification personnelle
préalable, de sorte que la
clarté est garantie.
La nécessité des comptes
utilisateurs impersonnels est
contrôlée périodiquement.
35
Constatation
Recommandation
Authentification Il n'existe pas de spécifica- L'accès aux systèmes et Les procédures d'authenti- Une procédure fixée par écrit
(avec mots de tions (techniques/concep- applications est en principe fication des identifications garantit que, pour l'authen-
passe) tuelles) concernant l'utili- protégé avec des mots utilisateurs sont documen- tification des identifications
sation de mots de passe. de passe; pour certains tées et en principe mises en utilisateurs, il existe des
Les systèmes importants ou systèmes particulièrement place de manière sûre. Pour procédures suffisamment
particulièrement exposés exposés, il existe des authen- les systèmes importants ou sûres; les systèmes impor-
ne sont pas protégés avec tifications à deux facteurs. particulièrement exposés, il tants ou particulièrement
des authentifications à deux Le changement périodique existe des authentifications à exposés sont protégés par
facteurs. de mot de passe est imposé deux facteurs. Le change- des authentifications à deux
au minimum une fois par an, ment périodique de mot de facteurs. Lors de l'utilisa-
mais les utilisateurs peuvent passe (au minimum deux fois tion de mots de passe, une
choisir les mots de passe par an) et une syntaxe de syntaxe de mot de passe
qu'ils souhaitent. mot de passe minimale sont complexe et le changement
imposés. périodique des mots de
passe sont imposés.
Sensibilisation à Il n'y a pas de sensibilisa- Les collaborateurs ont été Les collaborateurs sont par- Une procédure fixée par
l'utilisation des tion des collaborateurs sensibilisés au moins une fois fois sensibilisés au choix de écrit garantit que tous
mots de passe concernant l'utilisation sûre (p. ex. lors de leur engage- mots de passe forts et à l'uti- les collaborateurs sont
des mots de passe. Les mots ment) à l'utilisation sûre des lisation sûre de ceux-ci, mais sensibilisés régulièrement
de passe sont rarement mots de passe. Des mots de leur niveau de formation au choix de mots de passe
modifiés et ils sont fréquem- passe faciles à deviner sont n'est ni déterminé ni fixé. Les forts et à l'utilisation sûre de
ment transmis à d'autres utilisés, les mots de passe ne violations des instructions ceux-ci. Tous les utilisateurs
personnes. sont pas modifiés régulière- ne sont pas obligatoirement connaissent leur responsabi-
ment ou sont communiqués poursuivies sur le plan lité quant à l'utilisation des
à d'autres utilisateurs. disciplinaire. mots de passe; leur niveau
de formation et le respect
sont contrôlés; les violations
sont poursuivies sur le plan
disciplinaire.
Violation de la Il n'existe pas de directives Il existe des directives Il existe des directives Il existe des directives
confidentialité en concernant le traitement des d'utilisation informelles d'utilisation concernant d'utilisation formelles
cas d'accès non données confidentielles. Les concernant le traitement des le traitement des don- concernant le traitement
autorisé serveurs et les données ne données confidentielles; il nées confidentielles. Le des données confidentielles
sont pas protégés. Les accès n'est cependant pas possible respect des directives n'est et les utilisateurs sont
non autorisés ne peuvent de prouver que les colla- cependant surveillé qu'au formés en conséquence. Les
pas être détectés. borateurs respectent ces cas par cas. Il existe des données confidentielles sont
directives. Les serveurs et les procédures de cryptage pour cryptées ou se trouvent sur
données ne sont pas spécia- les données confidentielles des serveurs spécialement
lement protégés. Les accès et les serveurs spécialement protégés. Les accès aux
non autorisés ne peuvent protégés, mais elles ne données confidentielles sont
pas être détectés. sont pas mises en œuvre entièrement consignés et
systématiquement. Les accès contrôlés périodiquement.
non autorisés à des données
confidentielles peuvent par-
fois être détectés et tracés.
Sensibilisation Les utilisateurs ne sont ni Il existe des instructions Il existe des instructions Il existe des instructions
des utilisateurs sensibilisés ni formés à la informelles quant à l'utilisa- claires et contraignantes formelles quant à l'utilisation
Sécurité IT
sécurité de l'information tion correcte des systèmes quant à l'utilisation correcte correcte des systèmes
et IT. d'information et à la sécurité des systèmes d'informa- d'information et à la sécurité
de l'information et IT; elles tion et à la sécurité de de l'information et IT; elles
ne sont cependant pas l'information et IT, lesquelles sont communiquées active-
communiquées systéma- sont communiquées aux ment à tous les utilisateurs.
tiquement. Il n'y a pas de collaborateurs lors de leur Des formations systéma-
formation systématique des arrivée dans l'entreprise. Une tiques ont lieu à intervalles
utilisateurs. formation est généralement réguliers selon les groupes
dispensée aux nouveaux cibles et les fonctions et sont
collaborateurs; les autres suivies par la plupart des col-
collaborateurs ne sont pas laborateurs. Des mesures de
systématiquement formés. sensibilisation complémen-
taires sont mises en œuvre
de manière planifiée.
Programmes de Les serveurs et les places de Les serveurs et les places Les serveurs et les places L'entreprise dispose d'un
protection travail (clients) ne disposent de travail (clients) disposent de travail (clients) disposent programme de protection
anti-virus pas de programmes de parfois d'un programme de d'un programme de protec- anti-virus qui est mis à jour
protection anti-virus. protection anti-virus; celui-ci tion anti-virus; celui-ci n'est en ligne quotidiennement,
n'est cependant pas mis à cependant pas mis à jour est installé sur tous les
jour régulièrement. quotidiennement. serveurs et places de travail
et ne peut pas être désactivé
par les utilisateurs.
36
Constatation
Recommandation
Droits d'adminis- Il n'existe pas de concept Il existe un concept informel Il existe un concept formel Il existe un concept
tration sur les réglant l'octroi d'autori- réglant l'octroi d'autorisa- réglant l'octroi d'autorisa- formel réglant l'octroi des
ordinateurs sations administrateur; tions administrateur. Cer- tions administrateur. Cer- autorisations administrateur.
personnels certains utilisateurs dans les tains utilisateurs enregistrés tains utilisateurs enregistrés Aucun utilisateur ne dispose
services spécialisés disposent disposent d'autorisations disposent d'autorisations d'autorisations administra-
d'autorisations administra- administrateur à leurs places administrateur à leurs places teur à sa place de travail.
teur à leurs places de travail, de travail, ce qui permet des de travail, ce qui permet des Une installation de logiciel
ce qui permet d'installer des installations de logiciels, des installations de logiciels sans doit être autorisée par une
logiciels sans l'autorisation logiciels pouvant ainsi être l'autorisation d'un respon- demande formelle du service
d'un responsable. installés sans l'autorisation sable. Les utilisateurs sont responsable. Le logiciel
d'un responsable. toutefois tenus d'obtenir est installé aux places de
une autorisation et de faire travail concernées après un
contrôler les logiciels avant contrôle préalable par les
leur installation. spécialistes compétents et
autorisés.
Protection du Il n'existe pas de concept Il existe des mesures de Toutes les connexions réseau Toutes les connexions réseau
réseau réglant la protection du sécurité fondamentales pour entre le réseau interne et entre le réseau interne et
Sécurité IT
périmètre; le réseau ne protéger les connexions l'extérieur sont systéma- l'extérieur sont protégées,
dispose pas de mesures de entre le réseau interne tiquement protégées; les et les connexions utilisa-
protection identifiables; les et l'extérieur. Les flux de flux de données entrants et teur sont surveillées. Les
flux de données entrants et données entrants et sortants sortants sont enregistrés et connexions réseau sont
sortants ne sont ni enregis- ne sont ni enregistrés ni surveillés en continu. périodiquement contrôlées
trés ni surveillés. surveillés. par des experts indépen-
dants afin de détecter les fai-
blesses et les vulnérabilités.
Accès à distance Il n'existe pas de concept Il existe un concept informel Il existe un concept formel Il existe un concept formel
(remote access) réglant l'octroi des accès réglant l'octroi des accès à réglant l'octroi des accès réglant l'octroi des accès
à distance; il existe des distance; il n'est cependant à distance. Les accès à dis- à distance. Les accès sont
comptes d'accès à distance pas systématiquement tance à partir de réseaux systématiquement consignés
dont personne ne connais- mis en œuvre. Les accès à extérieurs à l'infrastructure et évalués périodiquement.
sait jusqu'ici l'existence. distance à partir de réseaux IT (p. ex. maintenance à Les accès à distance sont
extérieurs à l'infrastructure distance, service de piquet) régulièrement contrôlés, au
IT (p. ex. maintenance à sont parfois consignés, mais moins une fois par an, par le
distance, service de piquet) ils ne sont pas contrôlés service indépendant en ce
ne sont pas contrôlés en ce systématiquement en ce qui qui concerne leur fréquence,
qui concerne leur fréquence, concerne leur fréquence, leur origine et leur nécessité.
leur origine et leur nécessité. leur origine et leur nécessité.
Protection L'infrastructure IT n'est pas L'infrastructure IT n'est pas L'infrastructure IT est proté- L'infrastructure IT est pro-
incendie protégée contre les incen- spécialement protégée gée de manière insuffisante, tégée contre les incendies
dies et il n'y a pas d'équipe- contre les incendies et les malgré le respect des grâce à la mise en place de
ment d'extinction. Il existe équipements d'extinction prescriptions anti-incendie zones anti-feu, de sytèmes
une quantité importante de sont sommaires. Il existe en vigueur; les exigences de détection d'incendies et
matériel inflammable dans parfois une quantité impor- IT spécifiques comme les d'installations d'extinction
les locaux de l'infrastruc- tante de matériel inflam- équipements d'extinction appropriées. Le matériel
ture IT ou dans les environs mable dans les locaux de spéciaux ou l'absence de inflammable n'est conservé
Sécurité physique
immédiats. l'infrastructure IT ou dans les matériel inflammable dans ni dans les locaux informa-
environs immédiats. les environs immédiats ne tiques ni dans les environs
sont que partiellement immédiats.
remplies.
Protection de L'entreprise ne dispose pas L'entreprise dispose d'une L'entreprise dispose d'une L'entreprise dispose pour
l'alimentation de mesures de protection protection contre les fluctua- alimentation électrique sans toute l'infrastructure IT (y
électrique contre les coupures d'élec- tions de la tension pour les coupure et d'une protection c. des principales places de
tricité et les fluctuations de principales installations IT contre les fluctuations de la travail) d'une alimentation
la tension. (p. ex. serveurs, centre de tension pour les principaux électrique sans coupure pour
calcul), mais uniquement serveurs et installations. éviter les dommages dus aux
exceptionnellement d'une Pour les places de travail pannes d'électricité ou aux
alimentation électrique sans elles-mêmes, il n'y a pas fluctuations de la tension.
coupure. d'alimentation électrique
sans coupure.
37
Constatation
Recommandation
Possibilités d'ac- Il est possible d'entrer dans Il est possible d'entrer dans L'entreprise dispose d'une Tous les locaux sont surveil-
cès aux locaux les locaux et de s'y déplacer les locaux et de s'y déplacer réception, mais ni de sas ni lés, les accès sont consignés.
librement sans devoir librement sans devoir de barrières d'accès pour Les visiteurs doivent
s'annoncer à la réception. s'annoncer à la réception. le contrôle des accès à s'annoncer à la réception et
Les locaux informatiques ne Les locaux informatiques l'intérieur. Les visiteurs ne sont accompagnés pendant
Sécurité physique
sont ni fermés ni surveillés. sont fermés, mais ils ne sont sont pas systématiquement toute la durée de leur
En dehors des heures de pas surveillés. En dehors des accompagnés dans les zones présence dans les locaux
travail, les locaux ne sont pas heures de travail, les locaux internes, mais les locaux de l'entreprise. Les locaux
sécurisés par des dispositifs ne sont pas sécurisés par des informatiques sont sécurisés informatiques sont sécurisés,
antivol. dispositifs antivol. par une protection des accès l'accès aux personnes étran-
et les tentatives d'accès gères à l'entreprise (visiteurs,
ou les accès effectifs sont techniciens de maintenance,
clairement identifiables. etc.) doit être demandé
explicitement. Les personnes
étrangères à l'entreprise sont
surveillées en continu dans
les zones de sécurité.
Tâches relatives Les responsabilités liées à Les responsabilités liées à Les responsabilités liées à Les responsabilités liées à
aux applications l'utilisation, à la mainte- l'utilisation, à la mainte- l'utilisation, à la mainte- l'utilisation, à la mainte-
nance et à l'exploitation nance et à l'exploitation des nance et à l'exploitation des nance et à l'exploitation
des applications ne sont applications sont en principe applications sont fixées et des applications sont
pas fixées par écrit. Il n'y a connues des collaborateurs, documentées; la séparation fixées et documentées
aucune séparation des pou- mais pas documentées. La technique des pouvoirs peut formellement. La séparation
voirs aux niveaux technique séparation des pouvoirs cependant être contournée technique des pouvoirs fait
et organisationnel aux niveaux technique et par les collaborateurs. l'objet de contrôles réguliers
organisationnel peut être concernant le respect des
contournée par les collabo- exigences.
rateurs.
Exploitation Personne n'assume la Un administrateur a été Un administrateur et/ou une Un administrateur et/ou
fonction d'administrateur: désigné, mais il n'a pas équipe d'exploitation* res- une équipe d'exploitation
le réseau et les systèmes d'autres fonctions liées à ponsable de la maintenance a été désigné(e). Il/elle est
ne sont ni surveillés ni l'exploitation et ne peut du réseau et des systèmes a responsable des tâches
entretenus. ainsi pas toujours assurer la été désigné(e). Une surveil- de maintenance et de
maintenance des systèmes ni lance sporadique, mais pas surveillance quotidiennes et
les tâches de surveillance. quotidienne, est assurée. systématiques du réseau et
des systèmes.
*en fonction de la taille
de l'entreprise *en fonction de la taille
de l'entreprise
Gestion de la L'accès aux données de Les procédures de modifica- Les procédures de modifica- Il existe une procédure
configuration configuration des systèmes tion de la configuration des tion de la configuration des formelle pour les modifi-
Exploitation IT
est de facto ni réglé par des systèmes sont informelles; systèmes sont documen- cations de la configuration
procédures ni limité à des les modifications de la tées et largement connues des systèmes; toutes les
personnes autorisées. configuration des systèmes et l'accès est limité aux modifications sont vérifiées
ne sont pas enregistrées. personnes autorisées. Le avant leur mise en œuvre
respect des procédures n'est et documentées durable-
cependant contrôlé qu'au ment. Les modifications de
cas par cas. la configuration effectuées
sont automatiquement
reconnues, rapportées et
leur conformité avec une
demande de modifica-
tion correspondante est
contrôlée.
Surveillance Les composants système Il existe des procédures Il existe des procédures Il existe des procédures
système sont rarement surveillés et ils informelles pour la sur- formelles pour la surveillance formelles pour la surveillance
sont remplacés uniquement veillance des systèmes; des systèmes; une surveil- des systèmes qui sont mises
en cas de panne importante. une surveillance technique lance technique est assurée en œuvre de manière sys-
est parfois assurée et les et les composants système tématique. La performance
composants système sont sont remplacés selon un des principaux composants
remplacés si besoin est (de plan prédéfini. Les données système est enregistrée en
manière réactive). pertinentes sont en partie permanence et contrôlée
consignées et évaluées; des régulièrement par les
sondages sont parfois réali- responsables IT chargés de
sés auprès des utilisateurs. la surveillance des systèmes
(pannes, défaillances,
temps de réaction, etc.).
Des sondages sont réalisés
auprès des utilisateurs en cas
de besoin.
38
Constatation
Recommandation
Utilisation Des outils sont rarement Certains outils sont utilisés Des outils sont utilisés Des outils reposant sur un
d'outils utilisés pour l'exploitation IT. pour l'exploitation IT. Leur pour l'exploitation IT; leur concept clair sont utilisés
utilisation est cependant utilisation est cependant pour l'exploitation IT. Les
essentiellement réactive et rarement coordonnée et est différents outils sont clai-
isolée. essentiellement réactive. rement coordonnés; leur
utilisation est planifiée selon
des directives claires.
Surveillance Le réseau est peu surveillé et Certaines statistiques Les statistiques concer- Les statistiques concernant
réseau il n'existe pas de responsa- concernant les connexions et nant les connexions et les les connexions et les erreurs
bilité claire concernant la les erreurs liées au réseau et erreurs liées au réseau et liées au réseau et aux com-
surveillance du réseau. aux composants réseau sont aux composants réseau sont posants réseau sont consi-
disponibles, mais elles ne consignées systématique- gnées systématiquement et
Exploitation IT
sont pas systématiquement ment, mais elles sont plutôt de manière exhaustive selon
analysées. analysées selon la situation un concept clair; elles sont
(p. ex. après un incident). contrôlées régulièrement
et les incidents survenus
font l'objet d'un examen
systématique.
Contrôle de Il n'y a pas de contrôle de Il existe des procédures Il existe des procédures Il existe des procédures
fonctionnement la performance système au informelles pour le contrôle formelles pour le contrôle formelles pour le contrôle
du système sein de l'entreprise. de la performance système de la performance système de la performance système
effective. Les observations effective; l'enregistrement effective; les pannes, défail-
ne sont pas consignées. est automatique. Une éva- lances et temps de réaction
luation n'est effectuée qu'au des applications sont
cas par cas. automatiquement reconnus
et clarifiés en conséquence.
Un résumé des erreurs et des
mesures de résolution mises
en œuvre est disponible.
Traitement des Il n'existe pas de procédure Il existe peu de procédures Les procédures concernant Il existe des procédures
erreurs concernant le traitement des formelles concernant le les pannes et erreurs sont formelles pour le traitement
pannes et erreurs. traitement des pannes et largement réglées pour la des pannes et erreurs. Les
erreurs. Les erreurs ne sont plupart des systèmes; le incidents sont entière-
pas systématiquement respect des procédures n'est ment compréhensibles et
enregistrées et sont peu cependant contrôlé qu'au systématiquement clarifiés.
traçables. Des rapports sont cas par cas. Les pannes sont Les rapports d'erreur sont
établis sur les problèmes. enregistrées, mais évaluées systématiquement archivés.
au cas par cas uniquement.
Helpdesk Il n'y a pas de helpdesk. Il y a un helpdesk, mais pour Un helpdesk spécial pour les Un helpdesk spécial pour les
Les utilisateurs s'adressent différentes raisons (res- utilisateurs est disponible utilisateurs est disponible
directement aux collabo- sources, savoir-faire, etc.), pendant les heures de pendant les heures de
rateurs IT et annoncent celui-ci n'est pas en mesure travail et est en mesure de travail et est en mesure, au
Gestion des problèmes
leurs problèmes de manière de répondre à toutes les de- répondre aux demandes des plan tant quantitatif que
informelle. mandes des collaborateurs. collaborateurs. Les contacts qualitatif, de répondre aux
Des contacts informels entre informels entre les utilisa- demandes des collabora-
les utilisateurs et IT servent teurs et IT sont transmis au teurs. Les demandes, les
d'alternative au helpdesk. helpdesk. problèmes identifiés et les
solutions mises en œuvre
sont systématiquement
enregistrés dans un système
en vue d'une amélioration
proactive.
Disponibilité Les pannes système ne sont Les exigences en termes Il existe un concept de Il existe des procédures
système ni surveillées ni documen- de disponibilité sont maintien de la disponibi- formelles de maintien de la
tées. uniquement contrôlées en lité; il n'est cependant pas disponibilité qui sont entiè-
cas d'incident affectant la entièrement mis en œuvre. rement mises en œuvre. La
sécurité. Les pannes système La disponibilité des systèmes disponibilité des systèmes
sont en partie documentées. importants est automa- est automatiquement enre-
tiquement enregistrée. gistrée et périodiquement
Les pannes système sont analysée. Les causes des
systématiquement docu- pannes sont systématique-
mentées et leurs causes sont ment clarifiées, des mesures
généralement analysées. correctives sont mises en
œuvre de manière proactive.
39
Constatation
Recommandation
Concept de sau- Il n'existe pas de concept de Il existe un concept informel Il existe un concept de Il existe un concept de
vegarde sauvegarde des données. de sauvegarde des données, sauvegarde des données fixé sauvegarde des données fixé
mais il n'est cependant pas par écrit qui règle clairement par écrit qui règle clairement
fixé par écrit. quelles données sont quelles données sont
enregistrées à quel moment enregistrées à quel moment
et dans quelle mesure, ainsi et dans quelle mesure, ainsi
que le nombre de généra- que le nombre de généra-
tions; le lieu et la durée de tions. Le respect du concept
conservation sont en partie est contrôlé régulièrement.
spécifiés. Le respect du
concept n'est pas contrôlé
régulièrement.
Processus de Aucune sauvegarde des Aucune sauvegarde Des sauvegardes quoti- Des sauvegardes quoti-
sauvegarde données n'est effectuée. régulière des données n'est diennes (ou plus fréquentes) diennes (ou plus fréquentes)
effectuée et les sauvegardes sont effectuées confor- sont effectuées conformé-
ne sont pas contrôlées. mément au concept de ment au concept de sau-
sauvegarde des données. vegarde des données. Les
Les sauvegardes sont consi- sauvegardes sont consignées
gnées, mais les journaux et les journaux sont contrô-
ne sont contrôlés qu'au cas lés pour chacune d'elle.
par cas.
Test de Aucun test de restauration Des tests informels, mais pas Des tests de restauration Des tests systématiques de
restauration des sauvegardes n'est systématiques, de restaura- des données sont effectués restauration des sauve-
effectué. tion des sauvegardes sont périodiquement; leurs gardes de toutes les appli-
Sauvegarde des données
effectués (p. ex. à l'initiative résultats sont contrôlés au cations clés sont effectués
des services spécialisés). cas par cas. régulièrement (au moins une
fois par mois); les résultats
sont consignés et systémati-
quement contrôlés.
Plan d'urgence IT Aucune réflexion n'a été Des réflexions ont été enga- Des réflexions ont été enga- Des mesures ont été prises
engagée concernant un plan gées concernant la déter- gées concernant la déter- pour la mise en œuvre du
d'urgence IT. mination des principales mination des principales plan d'urgence (p. ex. mise
données et des éléments du données et des éléments du à disposition d'un lieu de
système d'information sans système d'information sans remplacement pour les cas
lesquels l'entreprise ne peut lesquels l'entreprise ne peut d'urgence et le stockage
pas poursuivre son activité. pas poursuivre son activité. du matériel de remplace-
Un plan de reprise de l'acti- Un plan de reprise de l'activi- ment en cas de panne). Un
vité en cas de dommage n'a té en cas de dommage a été plan précisant les rôles des
pas été établi. établi, mais aucune mesure personnes concernées et
concrète n'a encore été prise les systèmes à restaurer en
aux niveaux technique et du priorité a été formalisé pour
personnel. la reprise de l'activité. Le
plan est testé régulièrement
et prêt à être mis en œuvre.
Transfert de Les sauvegardes de données Les sauvegardes de données Il existe un concept fixé par Il existe un concept fixé par
données ne sont pas conservées en sont mises en lieu sûr, mais écrit pour la mise en lieu sûr écrit pour la mise en lieu sûr
dehors de l'entreprise. le processus n'est ni réglé des sauvegardes de données des sauvegardes de données
ni documenté. L'accès aux qui est entièrement mis en qui est entièrement mis en
données de sauvegarde œuvre. La mise en lieu sûr œuvre. La mise en lieu sûr
n'est pas assuré à tout est consignée, mais le jour- est consignée, et le journal
moment pour l'entreprise nal n'est contrôlé qu'au cas est contrôlé systématique-
(p. ex. en cas de mise en lieu par cas. L'accès aux données ment. L'accès aux données
sûr dans les armoires d'un de sauvegarde dans le laps de sauvegarde dans le laps
collaborateur). de temps défini n'est cepen- de temps défini est assuré et
dant pas toujours assuré au documenté à tout moment
sein du laps de temps défini pour l'entreprise grâce à des
(p. ex. en cas de mise en lieu processus spécifiques.
sûr dans les armoires d'un
collaborateur).
40
Constatation
Recommandation
Contrats d'exter- Il n'existe pas de contrats Les prestations des pres- Les prestations des presta- Les prestations des presta-
nalisation d'externalisation avec les tataires externes se basent taires externes se basent sur taires externes se basent sur
prestataires externes. sur les contrats standard des contrats écrits décrivant des Service Level Agree-
des prestataires et ne les prestations convenues. ments et des contrats clairs
contiennent que des indica- La qualité, la sécurité et qui garantissent la qualité
tions vagues ou insuffisantes la disponibilité ne sont des prestations, la disponibi-
sur la qualité, la sécurité et la cependant pas réglées de lité et la sécurité. Le respect
disponibilité de la prestation. manière exhaustive. Il existe du contrat est surveillé en
Les modalités de résiliation des procédures informelles continu. En cas d'écart, des
du contrat sont inexistantes. concernant la surveillance de mesures ciblées sont prises;
la prestation et son amélio- les modalités de résiliation
ration en cas de non-respect du contrat sont clairement
des contrats. Les modalités fixées.
de résiliation du contrat sont
décrites sommairement.
Procédure de L'entreprise ne dispose pas L'entreprise dispose de L'entreprise dispose d'une L'entreprise dispose d'une
sélection des de procédure de sélection procédures de sélection procédure de sélection for- procédure de sélection for-
partenaires des partenaires d'externa- informelles. Les critères de malisée pour les partenaires malisée pour les partenaires
d'externalisation lisation qui garantit la prise sélection sont toutefois d'externalisation qui est d'externalisation.
en compte de critères de incomplets, des exigences largement appliquée. Les cri- La procédure de sélection
sélection essentiels. spécifiques au projet font tères de sélection essentiels tient compte de tous les cri-
défaut. Des appels d'offre ne (y c. solvabilité et efficacité) tères de sélection essentiels
sont pas systématiquement sont présents, mais ils ne (p. ex. références, taille de
lancés pour tous les projets sont pas obligatoirement l'entreprise, connaissances
d'externalisation. évalués systématiquement. spéciales, exigences spéci-
fiques au projet, solvabilité)
et est soumise à un proces-
sus d'autorisation formalisé
qui intègre tous les services
concernés de l'entreprise. En
principe, des appels d'offre
sont toujours lancés.
Dépendance / Aucune spécification ne Des réflexions informelles Il existe des prescriptions Il existe des prescriptions
Externalisation
perte de précise quelles activités de sont engagées quant aux formelles quant aux activités formelles garantissant que
savoir-faire l'entreprise (non critiques, activités de l'entreprise de l'entreprise pouvant seules les activités définies
critiques, stratégiques) (non critiques, critiques, ou ne pouvant pas être précisément, formalisées et
peuvent ou ne peuvent pas stratégiques) qui peuvent ou externalisées. Concernant documentées sont confiées
être confiées à un prestataire ne peuvent pas être confiées les activités ayant une à des partenaires externes.
externe. Il n'y a pas de res- à un prestataire externe. Les importance stratégique, les Concernant les activités
ponsable de la coordination activités externalisées sont prestations externalisées ayant une importance
avec le prestataire. en partie documentées par sont systématiquement stratégique, les prestations
écrit. documentées; seule une sur- externalisées sont systéma-
veillance au cas par cas est tiquement documentées et
assurée. La documentation surveillées périodiquement.
favorise un changement de Les fournisseurs de rem-
fournisseur potentiel en cas placement ou secondaires
de problèmes. potentiels sont régulière-
ment évalués; la documenta-
tion permet un changement
de fournisseur en cas de
problèmes.
Possibilité de Il n'existe aucune possibi- Les prestations et les Les prestations et les Les prestations et les
contrôle auprès lité de contrôle auprès du mesures de sécurité sont exigences de sécurité devant exigences de sécurité
du partenaire prestataire d'externalisation. décrites uniquement dans être remplies par le presta- devant être remplies par les
d'externalisation Les mesures de sécurité la documentation du pres- taire sont fixées par écrit. prestataires sont fixées par
au niveau du partenaire tataire externe. Les mesures Les mesures de contrôle des écrit de manière détaillée;
d'externalisation ne sont pas de contrôle des prestations prestations et le respect des les mesures de contrôle des
connues. et de respect des exigences exigences de sécurité sont prestations et de respect
de sécurité ne sont pas formellement définies dans des exigences de sécurité
définies formellement dans les contrats; leur respect sont définies formellement
les contrats. n'est cependant pas contrôlé dans les contrats et mises
concrètement. Le prestataire en œuvre. Le prestataire
externe est contrôlé régu- externe est contrôlé régu-
lièrement par une instance lièrement par une instance
indépendante; le rapport de indépendante en ce qui
contrôle est remis au client. concerne les objectifs fixés
dans les contrats; le rapport
de contrôle est remis au
client. Il a le droit d'effectuer
des contrôles supplémen-
taires auprès du prestataire
(Right to Audit).
41
Constatation
Recommandation
Surveillance Les interventions des presta- Les interventions des Les interventions des presta- Les interventions des presta-
des activités de taires externes en matière de prestataires externes en taires externes en matière de taires externes en matière de
support maintenance et de support matière de maintenance et maintenance et de support maintenance et de support
ne sont pas surveillées; le de support sont consignées sont consignées systémati- sont consignées systémati-
Externalisation
résultat de leurs interven- sporadiquement; le résultat quement, le résultat de leurs quement; le résultat de leurs
tions n'est pas comparé avec de leurs interventions n'est interventions est comparé au interventions et les progrès
le résultat attendu. cependant pas comparé avec cas par cas avec le résultat réalisés sont comparés régu-
le résultat attendu. attendu. Les prestataires lièrement avec le résultat
externes sont en contact attendu – concernant les
régulier avec le responsable applications essentielles
IT. en termes de sécurité, les
activités des prestataires
externes sont surveillées très
étroitement.
Archivage Il n'existe pas d'archivage à Il n'existe pas de concept Il existe un concept Le concept d'archivage est
proprement parler. d'archivage. Les supports d'archivage, mais il n'est pas fixé par écrit. Le concept,
(également électroniques) entièrement fixé par écrit. Il les supports (également
et les locaux utilisés pour n'est pas clair si le concept, électroniques) et les locaux
l'archivage ainsi que les supports (également utilisé pour l'archivage
l'archivage proprement dit électroniques) et les locaux et l'archivage lui-même
ne correspondent pas aux utilisés pour l'archivage tout répondent aux exigences
exigences légales (p. ex. comme l'archivage lui-même légales (p. ex. Olico, OeIDI).
Olico, OeIDI). répondent aux exigences L'intégralité et l'exactitude
légales (p. ex. Olico, OeIDI). de l'archivage sont régulière-
Il n'y a pas de contrôle régu- ment contrôlées.
Comptabilité
lier de l'archivage.
Comptes annuels Les travaux de préparation, Certains travaux de Tous les travaux de Tous les travaux de
(préparation) les étapes du traitement et préparation, certaines préparation, les étapes du préparation, les étapes du
les contrôles devant être étapes du traitement et traitement et les contrôles traitement et les contrôles
effectués avant la clôture certains contrôles devant devant être effectués avant devant être effectués avant
de l'exercice ne sont pas être effectués avant la la clôture de l'exercice sont la clôture de l'exercice sont
documentés. clôture de l'exercice ne sont documentés; il n'y a pas de documentés. Leur respect
documentés que de manière surveillance étroite. est strictement surveillé et
sommaire. contrôlé.
Comptes annuels Les étapes et les contrôles Les étapes et les contrôles Les étapes et les contrôles Les étapes et les contrôles
(exécution) du traitement de la clôture du traitement de la clôture du traitement de la clôture du traitement de la
de l'exercice ne sont pas de l'exercice sont insuffisam- de l'exercice sont documen- clôture de l'exercice sont
documentés. ment documentés. tés. Ils ne sont cependant documentés entièrement
pas totalement fixés et clairement; leur respect
clairement et il n'y a pas de est strictement surveillé et
surveillance étroite. contrôlé.
Saisie des L'origine (origination) et la Les processus liés à l'origine Les processus liés à l'origine Tous les processus liés à
données saisie ad hoc des données ne (origination) et à la saisie (origination) et à la saisie des l'origine (origination) et à
(documentation) sont pas documentées. des données ne sont pas données sont entièrement la saisie des données sont
Contrôles d’application directs
documentés ou le sont de documentés. Il n'y a pas de entièrement documentés; les

manière insuffisante. contrôle régulier de la mise processus de modification
à jour de cette documen- et de projet comprennent
tation. obligatoirement la mise
à jour de cette documen-
tation. L'exactitude de la
documentation est vérifiée
régulièrement.
Saisie des Les opérations/transactions Les opérations et transac- Les opérations/transactions Les opérations/transactions
données ne sont pas consignées dans tions saisies manuellement saisies manuellement et saisies manuellement et
(clarté) des journaux. et générées par le système générées par le système générées par le système
ne sont que partiellement sont consignées entière- sont consignées entièrement
consignées dans des ment et clairement dans dans des journaux; leur
journaux. des journaux; il n'y a pas intégralité, leur exactitude et
de contrôle régulier des leur mise à jour sont périodi-
enregistrements. quement contrôlées.
42
Constatation
Recommandation
Contrôles d’application directs
Traitement des Les opérations saisies ou Toutes les opérations saisies Toutes les opérations saisies Toutes les opérations saisies
données traitées ne sont pas enre- ou traitées ne sont pas enre- ou traitées (journal) sont ou traitées (journal) sont
(intégralité) gistrées. gistrées chronologiquement. enregistrées chronologique- enregistrées chronologi-
ment. quement. Les journaux sont
clairement identifiables et
numérotés; leur intégralité et
leur exactitude sont réguliè-
rement contrôlées.
Données Les évaluations ne donnent Les évaluations donnent Les évaluations donnent Les évaluations donnent des
produites pas d'indications quant aux parfois des indications sur des indications claires sur indications claires sur les
(transparence) données et aux critères de les données. les données sous-jacentes, données sous-jacentes et
sélection utilisés. mais pas sur les critères de sur les critères de sélection
sélection utilisés. utilisés.
Documentation Les principales fonctions Les principales fonctions Pour la plupart des applica- Pour toutes les applications
des systèmes des applications financières, des applications financières, tions financières, les princi- financières, les principales
les flux de données et de les flux de données et de pales fonctions, les flux de fonctions, les flux de
valeurs ainsi que les inter- valeurs ainsi que les inter- données et de valeurs ainsi données et de valeurs ainsi
faces avec les applications faces avec les applications en que les interfaces avec les que les interfaces avec les
en amont et en aval ne sont amont et en aval sont insuf- applications en amont et en applications en amont et
pas documentés. fisamment documentés. aval sont documentés; leur en aval sont intégralement
intégralité et leur mise à jour documentés et à jour; les
ne peuvent cependant pas processus de modification
être toujours garanties. et de projet comprennent la
mise à jour obligatoire de la
documentation.
Surveillance Il n'y a pas de surveillance ni Les rapports d'erreur des Pour la plupart des appli- Pour toutes les applications
des interfaces pour les interfaces automa- applications financières cations financières, les rap- financières, les rapports
tisées ni pour les interfaces générés par la surveillance ports d'erreur générés par d'erreur générés par la
manuelles. des interfaces manuelles et la surveillance des interfaces surveillance des interfaces
automatisées ne sont pas manuelles et automatisées manuelles et automatisées
examinés en détail et ne ne sont pas examinés en sont analysés rapidement.
Contrôles d'application secondaires
sont pas conservés. détail, mais uniquement Le processus de correction

conservés des erreurs est documenté,
les erreurs sont corrigées
rapidement et clairement.
Mise à jour L'accès aux fonctions de Les procédures de mise à Les procédures de mise à Il existe des procédures
des données mise à jour des données de jour des données de base jour des données de base fixées par écrit pour la mise
de base base n'est de facto ni réglé sont informelles; l'accès sont documentées et large- à jour des données de base.
par des procédures ni limité aux données de base n'est ment connues et l'accès aux L'accès aux données de
à des personnes autorisées. pas spécialement limité aux données de base est limité base est strictement limité
personnes autorisées. aux personnes autorisées. Le à quelques personnes d'un
respect des procédures n'est point de vue tant organi-
cependant contrôlé qu'au sationnel que technique.
cas par cas. Le respect des procédures
est surveillé en continu et
Accès directs Il n'existe pas de procédure Les procédures pour l'accès Les procédures pour l'accès Il existe une procédure
aux bases de pour l'accès direct aux bases direct aux bases de données direct aux bases de données, formelle et documentée
données de données. L'installation et ainsi que l'installation et p. ex. via l'utilisation de pour les accès directs aux
l'utilisation de supports per- l'utilisation des supports per- supports spécifiques sont bases de données, p. ex. via
mettant un accès direct et mettant un accès direct et suffisamment documentées. l'utilisation de programmes
la manipulation du contenu la manipulation du contenu L'installation et l'utilisation d'aide spécifiques. Les
des bases de données est des bases de données de programmes permettant accès directs sont consignés
possible de manière quasi- (outils, SQL, etc.) sont infor- un accès direct et la manipu- sans faille et des procès-
ment illimitée. melles. L'utilisation de ces lation du contenu des bases verbaux sont conservés. Le
outils n'est pas spécialement de données sont limitées à propriétaire des données
limitée. quelques personnes autori- doit approuver et surveiller
sées. Les propriétaires des étroitement chaque utilisa-
données ne sont impliqués tion de ce type.
qu'au cas par cas dans
les accès directs; il existe
rarement une surveillance
étroite.
43
Constatation
Recommandation
Données L'accès aux données de Les procédures relatives à la Les procédures relatives à Il existe une procédure for-
Contrôles d'application secondaires
de pilotage pilotage et de configuration mise à jour des données de la mise à jour des données melle de demande, d'autori-
(paramètres) n'est de facto ni réglé par pilotage et de configuration de pilotage et de configu- sation et de validation pour
des procédures ni limité à sont informelles; l'accès n'est ration sont documentées et toutes les modifications des
des personnes autorisées. pas spécialement limité aux largement connues et l'accès données de pilotage et de
personnes autorisées. à ces données est limité aux configuration. La mise à jour
personnes autorisées. Le de ces données s'effectue
respect des procédures n'est uniquement par les per-
cependant contrôlé qu'au sonnes autorisées disposant
cas par cas. des connaissances voulues et
est documentée de manière
compréhensible par des
enregistrements. Le respect
des procédures est surveillé
en continu et contrôlé pério-
diquement.
44

Analyse de Risque Informatique Pour PME

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Analyse de Risque Informatique Pour PME

Transféré par

Droits d'auteur :

Formats disponibles

Guide d’analyse

des risques informatiques

Table des matières

Table des matières 1

Vue d’ensemble et délimitation 2

Guide d’analyse des risques informatiques 6

Phase 1: Evaluation globale des risques 8

Phase 2: Contrôle relatif à l’utilisation de l’informatique 15

L’IT-Check comme «combinaison» des phases 1 et 2 19

Indications concernant les audits IT approfondis 21

Questionnaire Phase I (Annexe 1) 25

Questionnaire Phase II (Annexe 2) 27

contrôle IT (polices, onn

Guide d’audit des applications informatiques

Guide d’analyse des risques informatiques

Importance de l’informatique pour le SCI

«Plus le processus de tenue de la comptabilité et d’établissement du rapport financier dépend de systèmes IT et

Utilisation de l’informatique dans les PME

Le SCI dans le domaine IT

Phase 1: Evaluation sommaire des risques ➔ voir chapitre 4

Phase 2: Contrôle relatif à l’utilisation de l’informatique ➔ voir chapitre 5

Un questionnaire comme base de contrôle

L’IT-Check comme «combinaison» des phases 1 et 2 ➔ voir chapitre 6

Ce que le «Guide d’analyse des risques informatiques» n’est pas

Procédure et parties prenantes

Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4

Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4

Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4

Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4

Audit indépendant de l’informatique (risque temporel)

Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4

Comment remplir le questionnaire

Interprétation des résultats / Evaluation

Banque Fiduciaire Hôpital Industrie

Figure: Représentation des 16 critères Figure: Récapitulatif des 5 domaines thématiques

Recommandations quant à la poursuite de la procédure

5 Phase 2: Contrôle relatif à l’utilisation de l’informatique

Procédure et parties prenantes

Questionnaire / Critères (➔ détails dans l’annexe 2)

Comment remplir le questionnaire

Interprétation des résultats / Evaluation

Accent sur la représentation détaillée de la situation réelle

Accent sur la représentation des mesures à prendre

Application comptable 2.5 Conformité

Gestion des problèmes Développement de logiciels

Exploitation IT Evaluation d’applications IT

Sécurité physique Directives d’utilisation

Sécurité IT Formation des utilisateurs

Rapport succinct complémentaire

Recommandations quant à la poursuite de la procédure

6 L’IT-Check comme «combinaison» des phases 1 et 2

1. Réaliser un entretien d’ouverture

• Management Summary avec principales constatations et mesures à prendre

4.14 Sauvegarde des données

Degré de maturité déterminé Mesures à prendre

Test de Aucun test systématique n'est réalisé pour récupérer et relire

Figure: Présentation détaillée des résultats sous forme de texte (exemple)

Avantages pour l’auditeur

S’agissant des mandats/clients soumis à un contrôle ordinaire:

S’agissant des mandats/clients soumis à un contrôle restreint:

7 Indications concernant les audits IT approfondis

Domaines d’audit possibles

Domaine d’audit 1: application informatique et SCI lors de leur utilisation

Domaine d’audit 2: organisation et processus IT