Audit Informatique

M2-SSI
2021 - 2022
Introduction

 Évolution des systèmes d’information a conduit à une croissance, à

une globalisation et à une internationalisation des marchés

 Problème de certification des systèmes d’information vis-à-vis des

référentiels et des normes informatiques

 Intégration de l’audit dans les opérations des organisations

 Quelle est la meilleure approche d’évaluation à l’échelle d’une

organisation des risques et des contrôles ?
Audit des systèmes d’information (IT
audit)
 Une intervention réalisée par une personne indépendante et extérieure au
service audité, qui permet d’analyser tout ou ne partie d’une organisation
informatique, d’établir un constat des points forts et des points faibles et
dégager ainsi les recommandations d’amélioration
 Ou bien
 L’évaluation des risques des activités informatiques dans le but d’apporter une
diminution de ceux-ci et d’améliorer la maitrise des systèmes d’information
Objectif

 Identifier, évaluer et déterminer les risques (opérationnels, financiers,

de réputation, …)associés aux activités informatiques d’une
entreprise ou d’une administration
 Un processus d’audit informatique se base sur
 Le cadre règlementaire du secteur d’activité
 Les référentiels de bonne pratiques existants
 Les benchmarks à disposition et l’expérience de l’auditeur
Phase classiques d’un audit

 Phase 1 analyse de l’environnement SI, les applications et les

produits, les modes de gestion, les relations entre
applications/opérations, le recensement des actifs,…
 Phase 2 évaluation des risques et établissement d’un plan d’audit
 Le plan d’audit dépend de plusieurs facteurs organisationnels
(secteur d’activité, chiffre d’affaire, type et complexité des
opérations, zone géographique des opérations
 L’analyse de risque dépend des composantes et du rôle du SI
 Technologie utilisée, complexité, architecture, niveau de
personnalisation des app, maintenance externalisé ou non, niveau
d’évolution annuelle du SI
 Définition

Réévaluation
Stratégie Conception
du SI

Déploiement
Modèles de l’audit des SI

 Un modèle est une base de données qui sert de référence

 Modèle de l’audit de besoin (permet l’élaboration et l’approbation

d’un projet informatique)
 Partie 1 : L’analyse de l’existant
 Partie 2 : La détermination de la cible

 Modèle de l’audit de découverte des connaissances : consiste à

valoriser les données et les connaissances et aboutit au montage d’un
SI décisionnel
Analyse de l’existant

 Examen du terrain (l’existant)

 L’auditeur formalise la circulation des documents-types et les
traitements qui y sont appliquer par chaque acteur (logigrammes et
graphes relationnels)
Détermination de la cible

 Référer le mode de circulation de l’information et leurs

interprétations,
 Les redondances dans le graphe,
 La dispersion des infrastructures,
 Les points de contrôle et de validation nécessaires
 Découpage en zone et sous graphes
Modèle d’audit de connaissance

 Pas d’objectifs : on ne sait pas ce que l’on va découvrir

 On connait le domaine : on connait le métier (la base de données)
 Une équipe intégrée : (expert metier, expert adm info, datamining)
 Travail par boucle de prototypage
 On modifie le format des données et leur disposition
 À l’aide d’algorithmes d’apprentissage et de visualisation des
données le fouilleur met en évidence les liens empiriques entre les
données
 Les liens retenus doivent répondre à trois critères
 Inconnu de l’utilisateur, Explicable à postériori, Utile
Modèle d’audit de connaissance

 Les connaissances détectées sont formalisés (arbre, règles, …)puis

prototypées de manière logicielle
 La validité des connaissances prototypées est vérifiée grâce à un
test statistique
 Si le test est réussi le modèle est mis en production
 On recommence le cycle
Principes généraux de l’audit

 La finalité doit être définie (contrôle fiscal, …)

 Il doit être explicite en déduisant les moyens d’investigation jugés
nécessaires et suffisants (le comment et le pourquoi)
Règles d’audit des systèmes
d’information
 L’audit informatique doit porter non seulement au jugement, qui ne
peut se limiter qu’à une approbation ou plus à une condamnation, ,
mais également préciser ce qu’il aurait fallu faire, et ce qu’il faudra
faire pour corriger les défauts constatés.
 L’audit informatique doit consister à comparer l’observation d’un ou
plusieurs objets, selon un ou plusieurs aspects, à ce qu’ils devraient
être
 a tâche de l’auditeur doit être parfaitement définie quant à l’objet
et l’aspect de l’audit à mener et elle ne doit pas en déborde
 L’auditeur ne doit jamais remettre en cause la finalité de son audit
en fonction de ce qui est plus simple, ou plus intéressant de faire,
selon ses goûts. Il est beaucoup plus facile de formuler cette règle
que de l’appliquer
Règles d’audit des systèmes
d’information
 L’audit informatique doit toujours être faisable
 Les moyens et actions de l’auditeur doivent être adaptés
exclusivement mais exhaustivement au sujet de l’audit
 L’audit informatique doit impliquer les méthodes et les programmes
sensibles de l’application,les saisies d’informations, les recyclages
d’anomalies, et la bibliothèque
 La sécurité de l’audit informatique ne doit s’appliquer qu’aux
documents de travail et aux rapports, et non à leur diffusion hors
destinataires autorisés
Déontologie de l’auditeur

 s’interdire de cumuler audit et conseil, sur une même question

 L’auditeur doit garantir, même implicitement par une simple
acceptation d’une tâche, qu’il a les compétences nécessaires
 L’auditeur doit être rapide, précis, avec juste les connaissances
ponctuelles nécessaires et suffisantes
 L’auditeur doit s’intéresser au système d’information dans son
ensemble, c’est-à-dire il ne doit pas s’atteler aux seuls éléments
automatisés, ou au contraire à ceux qui ne le sont pas
 L’auditeur doit fournir des conclusions motivées, utiles, sur l’objet et
l’aspect, ainsi que la période de temps qui a dû être considérée,
qui ont été les éléments de sa mission
Déontologie de l’auditeur

 L’audit informatique qui suggère une quantification des faits est

inacceptables sauf éventuellement dans un contexte précis, et
dans le délai imparti et accepté. Le domaine de la tâche d’un
auditeur est donc très rigoureusement défini en termes d’objets,
d’aspects, et de cadre temporel, et sa démarche et d’une
démonstration rigoureuse et exhaustive. Les sujets d’audit doivent
être maintenant évidents
Audit de sécurité

 L’audit de sécurité consiste à évaluer le niveau de sécurité.

 Le risque de compromission dépend de plusieurs facteurs

notamment l’exposition à internet

 Il est important d’évaluer la surface d’exposition

 Qu’est ce qu’une surface d’exposition ?

Types d’audit

 Audit d’application web / audit d’application lourde

 Surface d’exposition / intrusif physique
 Test d’intrusion (pentest)
 Interne
 Externe
 Audit de vérification
 Audit de conformité : permet de vérifier la conformité ou l’écart
existant entre des normes ou des règles et la réalité
Mission d’audit
 La durée /coût de l’audit dépendent du nombre d’écrans (vues) de la cible
 La première matinée de l’audit est perdue avec les installations et la présentation
de l’environnement
 Durant la mission d’audit il faut faire des check-up avec le client
 Pour s’assurer de la bonne installation et que vous êtes sur le bon chemin (1er point)
 Point final (avant la rédaction du rapport) : pour expliquer ce que vous avez trouvé
 Le dernier jour de l’audit n’est pas celui stipulé sur le contrat exp (7 jours sur le
contrat signifie 3 jours d’audit + 3 jours de rédaction du rapport)
 Le dernier jour est généralement réservé à la révision du rapport. On charge
généralement un collègue non impliqué dans l’audit
 Le rapport est tjr transmis au client en PDF
La restitution

 Cette phase intervient après la remise du rapport d’audit. Elle

consiste à présenter les vulnérabilité, leurs impacts et vos
recommandations au client

 L’implémentation des recommandations est de la responsabilité de

l’équipe IT du client
 Web
Code
Application lourde source
Applicatif
externe
Audit
intrusif passive GHDB DNS
interne

sécurité
Brute force
découverte active
Port
reseau nmap
70% test 30%
notions rapport Transfert
oral
Rapport de zone

périmètre Contexte Mission reporting

client restitution

Tenue adéquate Points Test pendant

réguliers les horaires slide
du client