Remerciement :

Dans le cadre de ma formation de master « Audit et expertise comptable », je tiens à

remercier tout le personnel de l’école HECF ainsi que les intervenants et les professeurs en
charge des enseignements.
Je tenais aussi à remercier toutes les personnes tout particulièrement mon encadrant,
monsieur le PDG Moussa pour son effort titanesque abattus pour notre réussite, monsieur
Karim pour son attachement dans la régularisation et son grand cœur par rapport à nos
situations respectives, ainsi que tout le personnel de l’école et tous les camarades, qui
m’ont accompagné tout au long de mon cursus scolaire et ont pris de leur temps pour
m’aider dans ma formation.
Enfin, j’espère que ma production sera à la hauteur de leur investissement et de leurs
attentes.

1
 Sommaire :
Introduction générale
I. Chapitre I : Aperçu Général sur L’audit et la Technologie
A. Section 1 : Définition de l’audit et de la technologie
B. Section 2 : Les types d’audits et de technologie
C. Section 3 : l’objectif de l’audit et de la technologie

II. Chapitre II : L'audit et les changements technologiques apportée

A. Section 1 : Les nouvelles technologies au service de l’audit
B. Section 2 : Importance de la technologie dans le domaine d’audit
C. Section 3 : Les transformations à mettre en place aux seins des équipes
D. Section 3 : La Cybersecurité
III.Chapitre III : Approche Technique de cette Technologie
A. Section 1 :Logiciel Audirex
B. Section 2 :Prototype holographique pour la visualisation des données
C. Section 3 : de Cybersecurité BOXCRYPTOR
Conclusion

Introduction générale
Dans le cadre du développement incessant des entreprises au full du temps pour l’atteinte
des objectif, les auditeurs ont dû faire face à plusieurs changements, et ont su s’adapter
2
aux entreprises actuelles qui sont entrains de migrés vers les avancées technologiques les
plus fulgurante de notre époque, c’est pourquoi nous parlerons de l’intégration de la
technologie dans le domaine de l’audit, les changements apportés par celle-ci dans le
domaine, ou l’impact qu’elle a sur le domaine.
Le monde évolue et l’auditeur doit s’adapter à cette dernière pour pouvoir exercer ou
appliqué son rôle de reviseur d’entité de manière efficace.
En 1953, H. R. Bowen publie ouvrage Social responsabilities of the businessman.
C'est lors de la rédaction de cet ouvrage que cet auteur parlera de la doctrine de la
responsabilité sociale qui doit être envisagée comme un moyen pour orienter l’activité des
entreprises vers l’atteinte des objectifs que la société civile s’est fixés.
Il définit la responsabilité sociale de l’entrepreneur dès le début de l’ouvrage :
« La responsabilité sociale renvoie aux obligations de l’homme d’affaires de poursuivre
telles politiques, de prendre telles décisions ou de suivre telles lignes d’action qui sont
désirables en fonction des objectifs et des valeurs des société ».
Bowen pense que si les dirigeants soumettent leurs finances à des audits réalisés par des
commissaires aux comptes indépendants, ils pourraient alors également accepter de
soumettre leurs performances sociales à des experts extérieurs et indépendants à
l’entreprise.
Les auditeurs effectueraient une évaluation indépendante et désintéressée des politiques
de l’entreprise concernant les salaires, la recherche et le développement, la publicité, les
relations publiques, les relations humaines, les relations avec l’environnement, la stabilité
de la main d'œuvre, etc.
Ils soumettraient ensuite leur rapport à la direction avec leur évaluation et leurs
recommandations.
Un tel document serait réservé à usage interne et ne serait pas public.
Les audits sociaux pourraient, par exemple, être réalisés tous les cinq ans et non
annuellement comme les audits comptables et financiers.
L'audit social n'est pas obligatoire.
Selon Bowen, les missions d'audit social devraient être conduites par une équipe de
personnes : orientées sur le point de vue social, connaissant bien le monde des affaires et
ses pratiques et aussi ayant des compétences dans les domaines juridiques, économiques,
sociologiques, psychologiques, philosophie, théologie, etc.
3
Aux environs de 2010, le terme « audit » a commencé à remplacer le terme « vérification »,
bien que toujours en usage, dans plusieurs pays francophones, particulièrement dans les
domaines comptable et financier.
Ainsi, les Services linguistiques de l’Institut Canadien des comptables agréer, dans leur
traduction du International Financial Reporting Standards, ont utilisé le terme audit au lieu
de vérification.
De même pour la traduction française de l'International standard on auditing, qui fut le fruit
d’une collaboration entre la France, la Belgique, la Suisse et le Canada.
En France les premiers cours d'audit en milieu universitaire ont été créés à HEC par L.
Collins et G. Valin au début des années 1970.
Il s'agissait d'une approche globale et transnationale, concernant à la fois, l'audit externe
légal (commissariat aux comptes) et l'audit interne (opérationnel et stratégique).
Des générations d'experts comptables, de commissaires aux comptes et d'auditeurs
internes ont été formés à une pratique moderne et ambitieuse de l'audit à partir des
ouvrages, études de cas et enseignements dispensés à HEC.
Aujourd'hui, c'est une méthode et un terme répandus, On parle ainsi, d'audit énergétique
d'une entreprise, d'audit environnemental d'un système de gestion, d'audit interne, d'une
administration ou d'audit préalable à un investissement, d’audit de conformité, etc.
L’audit légal est le seul terme qui désigne une profession règlementée :
celle d’un commissaire aux comptes, auxiliaire de justice qui certifie les états financiers de
certaines entités.
À savoir que l’audit se pratiquait de manière traditionnelle, en analysant des échantillons
de données, en prenant un bon nombre de temps pour ensuite aboutir à une opinion, mais
de nos jours grâce au développement technologique, et à l’automatisation du traitement
des données, les méthodes d’analyses sont devenues d'avantages plus simplifiées avec des
logiciels en un clic.

À cela viennent s’ajouter la problématique à savoir :

Quelles sont les sont les bien- Faits de la technologie dans le domaine de l’audit ?
À ce problème nous tenterons d’apporter des réponses dans les lignes qui suivent.

4
 I. Chapitre I : Aperçu Général sur L’audit et la Technologie
Au début du moyen âge, les sumériens ont ressenti une nécessité de contrôle de la
comptabilité des agents.
D'origine latine « auditus » signifie audition.
5
Le mot audit n'est apparu que sous l'empire Romain et plus spécialement dès le 3 e siècle
avant Jésus Christ.
Des questeurs, fonctionnaires du trésor public, sont chargés de cette mission.
Ils étaient tenus de rendre compte oralement devant une assemblée composée «
d'auditeurs », qui approuvait par la suite les comptes.
Plus tard, ce concept « contrôle » s'est développé suite aux efforts des anglais.
Ses objectifs étaient axés principalement à la détection des fraudes, progression vers la
recherche d'erreurs puis la publication d'opinions sur la validité des états financiers, en fin
sur leur régularité et sincérité.
À la suite du développement du commerce, de l'industrie, de l'apparition des sociétés
d'assurance, du développement de services bancaires...etc, les législateurs se trouvèrent
dans l'obligation d'instituer le contrôle des sociétés par des agents externes au 19 e siècle.
Avec la crise de 1929, un accroissement des besoins du monde des affaires en audit s'est
accru à la suite d'une mauvaise divulgation des informations fiables.
Aux Etats-Unis par exemple, les sociétés cotées en bourse sont obligées de pratiquer l'audit
interne par les membres de l'American Institute of Chartered Public Accountants (AICPA),
chargée de la normalisation et de la certification des comptes et de la Securities and
Exchange Comission (SEC), dont la mission consiste à « veiller sur l'application de la
législation relative au fonctionnement des bourses américaines des valeurs et à définir dans
le contenu et la présentation des états financiers diffusés par les sociétés dont les titres
sont cotés.
En Afrique plus tard, l'Union Francophone de l'Audit interne (UFAI) fut créée et se fixe
l'objectif de promouvoir et développer la pratique professionnelle de l'audit dans les pays
totalement ou partiellement d'expression française, en regroupant bien sur les associations
d'auditeurs internes de ces pays.
Rien que pour l'Afrique, l'UFAI regroupe plus de neuf pays parmi lesquels la République
Démocratique du Congo (R.D.Congo).
Au niveau national qu'international, la révision comptable, devenue audit, fait l'objet de
travaux qui débouchent essentiellement sur les normes internationales d'audit :
International Standard of Audit (ISA).
De nos jours, l'audit est considéré comme discipline transversale au centre des
préoccupations des managers.

6
Pour cette raison, il s'élargi à d'autres domaines de l'entreprise qui se sont révélés
nécessaires avec l'évolution et la généralisation de nouveaux moyens de traitement de
l'information.

A. Section I : Définition de l’audit et de la technologie

a. Section 1.1 : Définition de L’audit
Selon Le Petit Robert, le vocable « audit » tient son étymologie du latin audi- tus qui signifie
«entendu» (dont le sens est saisi).

7
D'un côté, celui qui formule des questions de façon impartiale, et attend des réponses :
l'auditeur ; de l'autre, celui qui répond, et donc accepte le jeu questions-réponses : l'audité.
Selon un auteur l’audit est une expertise professionnelle effectuée par un agent compétent
et indépendant aboutissant à un jugement par rapport à une norme sur les états financiers,
le contrôle interne, l'organisation, la procédure, ou une opération quelconque d'une entité.
Autrement dit : Un audit est une analyse menée par un ou plusieurs experts, avec un œil
impartial et si possible indépendant, sur un aspect précis de l’entreprise.
En effet, L’auditeur va évaluer, investiguer, mais aussi vérifier et contrôler des éléments
précis.
Un audit peut être ordonné dans le but de vérifier que l’entreprise respecte des règles ou
des normes en vigueur existante.
Un audit peut également être déclenché afin de réaliser un état des lieux d’un service ou
d’un département complet d’une entreprise.
L’audit est un outil d’amélioration bien plus qu’un outil de sanction, qui permet de détecter
les points forts et les points faibles, et de mesurer les efforts à réaliser pour parvenir à des
résultats meilleurs.

b. Section 1.2 : Définition de la Technologie :

Le mot technologie vient du grec technología qui signifie art, compétence, ou artisanat et -
logía , l'étude d'une branche de la connaissance, d'une discipline.
Elle peut être perçu comme un ensemble de procédures non spéculatives ou encore
philosophie des techniques.
Le Petit Robert Indique que le mot est emprunté en 1656 au grec Tardif tekhnologia qui
signifie traiter ou dissertation sur un art, exposé des règles d'un art, de tekhnê et logos.
La notion a ensuite été utilisée en 1772 par un physicien allemand Johann Beckmann.
Le terme s'applique soit généralement, soit à des domaines spécifiques, par exemple :
Technologie de construction, Technologie médicale.
Dans les faits, les deux définitions rigoureuses de la technologie ensemble de procédures
non spéculatives ou philosophie des techniques sont proches de celles que l’on rencontre
aux États-Unis.
Dans ce pays, où l’on emploie handicraft pour signifier technique manuelle. 1
Le mot technology recouvre deux sens :

1
Source dictionnaire du petit Robert Étymologie des mots audits et technologie
IAC : industrial arts collectively Johann Beckman 1772 handicraft technologies cours généralités sur Audit et la Technologie
page 34
8
Le premier renvoie à la définition philosophique, épistémologique qui vient d’être précisée,
l’autre à la notion de système technique : Industrial arts collectively.
Que l’on pourrait traduite par un ensemble de règles et de méthodes appliquées à
l’industrie dans son ensemble, incluant aussi l’ensemble des connaissances et des savoir-
faire associés.
On pourra remarquer que ce second sens est très proche de celui de notre mot technique.
Surtout si l’on prend comme référence de la définition de technology proposée par la
National Academy of Sciences :
Moyens codifiés de manipuler délibérément l’environnement pour réaliser un objectif
matériel ».
Hélas, de telles définitions semblent inadaptées à l’usage courant en France :
Peut-on imaginer définir une réflexion sur l’internet comme une technologie appliquée aux
nouvelles technologies ?
Il semble au demeurant que ces nouvelles technologies de l’information et de la
communication et leur acronyme « (N)TIC » servent surtout à masquer une incapacité à
proposer une réelle réflexion sur les techniques passées et contemporaines, un peu comme
l’expression « société de l’information ».
Mais, plutôt que se battre contre la francisation de telles expressions, on rappellera la façon
dont elles se sont construites.

B. Section 2 : Les types d’audits et de technologies

a. Section 2.1 : Les types d’audits 2
Il existe différents types d’audits en entreprise, qui peuvent répondre à plusieurs besoins :

2
Cours d’audit Général, concept fondamentaux de l’audit, typologie d’audit Brahim Agrad page 4.
9
 L’audit financier :
Centré sur la comptabilité de l’entreprise, et permettant de contrôler les enregistrements
et les états financiers.
 L’audit interne :
Qui consiste à évaluer l’entreprise en elle-même, en passant notamment en revue la
comptabilité et les états financiers, mais plus généralement tout le fonctionnement de
l’entreprise.
Un audit interne est assimilable à un audit financier, complété par d’autres investigations.
 L’audit fiscal :
Qui est un audit centré sur la vérification des déclarations et des paiements des taxes et
autres versements fiscaux réalisés par l’entreprise.
L’audit consiste donc à vérifier que les déclarations et les paiements interviennent en
temps et en heure et avec des montants cohérents.
 L’audit d’opérations :
Est quant à lui un audit avec une vocation normative.
Il consiste à vérifier que toutes les normes que l’entreprise s’est imposée en interne sont
bien respectées, notamment sur le plan financier.
Comme nous pouvons le voir avec la liste non exhaustive des types d’audits existant en
entreprise, il existe à la fois des audits organisationnels et des audits financiers.
Pour mener à bien son rôle, l’auditeur doit apporter un regard nouveau, vérifier les
données, et appliquer une méthode de travail rigoureuse afin de formuler des
recommandations.
L’expert-comptable est en ce sens un professionnel extrêmement bien placé pour être
auditeur.
Il est compétent pour vérifier la bonne tenue des comptes, et venir auditer le travail mené
en interne.
Qui est mieux placé pour s’assurer de l’exactitude de la comptabilité.
Il est véritable garant de la bonne application des règles à la fois fiscales et comptables, ce
professionnel n’arrête pas sa mission à une simple observation.
Le rôle de conseil et d’apporteur de solutions est essentiel.
La notion d’informations est conçue de façon extensive.

b. Section 2.2 : types de technologies 3

Quelques types de technologie révolutionnant le monde :

3
Technologie-cles-2015 IBM CIO 2010 page 59
10
Les principales sont :
 La Robotique :
Qui parle de l’industrie baser sur la robotisation.
 L’intelligence artificielle :
Qui fait référence à une réplique du cerveau humain, ayant presque les fonctionnalités
comparables à une cerveau humain sauf seul limite n’est pas doté d’une conscience et
d’une raison.
 La nanotechnologique :
Qui fait allusion aux petites particules robotiques pouvant accomplir des tâches dans
l’infiniment petit.
 La Biométrie :
Qui fait allusion à la sécurisation des données
Et tant d’autre qu’on ne ferait que citer qui ne finiront jamais.
Tous ces éléments pour faciliter la vie et le travail des êtres humains.

C. Section 3 : objectifs de l'audit et de la technologie dans les entreprises.

a. Section 3.1 : Objectif de l'audit

11
L’objectif de l’audit est d’aider une organisation à atteindre ses objectifs en évaluant son
processus de management des risques, de contrôle et de gouvernement d'entreprise.
Il est également possible de faire des propositions pour renforcer l'efficacité de ces
entreprises.
À la demande de la direction générale, l’auditeur est amené à passer au crible les pratiques
des différents services (comptabilité, ressources humaines, informatique, etc.) au siège
comme dans les filiales.
b. Section 3.2 : Objectif de la Technologie
Tans disque celle de la Technologie facilite le processus d’audit au sein de l’entreprise grâce
aux outils qui existe en son sein.
En quelque sorte la technologie aide l’audit dans son processus afin d’amener celle-ci à
aider l’entreprise dans sa quête pour atteindre ces objectifs.
En somme ce chapitre nous parle de l’aperçu général de l’audit et de la technologie leur
point commun en gros celle d’aider les entreprises en difficulté, car l’objectif de la
technologie c’est de renforcer le processus d’audit, la rendre plus rapide et efficace et ceux
qui paraît être bénéfique pour l’audit, afin de pouvoir exercer de façon efficace le rôle de
révision d’entités.
Car dans un monde en parfaite évolution le métier d’auditeur aura tendance à connaître
une nouvelle ère de son époque et elle devra véritablement s’y faire.

12
 II. Chapitre II : L'audit et les changements technologiques
apportée
Les avantages technologiques apporter au sein du domaine d’audit sont vraiment très
bénéfique, avant les méthodes d’audits était traditionnelles on devait analysé un
échantillon de données pour donner une opinions qui pourrait donner une assurance
raisonnable afin de pouvoir aider l’entité concerner, mais par le biais de la technologie tout
a changé on a la possibilité de faire avec efficacité l’évaluation de la quasi-totalité des
données numériques présente dans notre cloud.
Les entreprises évolue grâce à la numérisation des données et donc dans cette course
contre la montre l’Audit doit devoir se conformiser pour ne pas l’amener a se durcir.
A. Section 1 : Les nouvelles technologies au service de l’audit :
À ce niveau une véritable question se pose à savoir, comment les nouvelles technologies
transforme l’audit ?
Les entreprises de tous secteurs explorent aujourd’hui l’utilisation de l’intelligence
artificielle et l’audit se trouve à un moment clé de son histoire.
Si l’intelligence artificielle a d’ores et déjà fait ses preuves dans l’amélioration de la qualité
de l’audit, comment ses évolutions futures aideront à la visualisation de données et à la
prise de décision ?
L’automatisation au sein de l’audit accélère les processus, les rend plus intelligents et réduit
le risque d’erreurs.
La réalisation de tests détaillés rend les étapes d’audit moins manuelles.
Les efforts des auditeurs se concentrent sur des actions à plus forte valeur ajoutée et sur
une analyse plus fine et plus étendue qui s’inscrit au cœur du processus de décision de
l’entreprise. L’utilisation de drones dans l’audit, plus inattendue, est également source de
plus d’efficacité.
Nous sommes convaincus que de nombreuses technologies émergentes comme
l’intelligence artificielle, dont le champ des possibles est presque illimité, et la réalité
virtuelle ont le potentiel de renforcer la qualité d’audit et d’apporter plus de valeur aux
entreprises.

13
Qu’en est-il pour les auditeurs ?
Les machines apportent un confort aux auditeurs lorsqu’il s’agit de traiter les données.
Mais l’intervention humaine reste au centre de la fonction pour superviser l’activité des
machines (intelligence artificielle), les programmer et apporter du jugement et de
l’intuition.

 Automatisation et robotisation
L’automatisation de certaines tâches en matière d’audit peut se révéler très utile pour en
renforcer la qualité, la rapidité et l’efficacité.

 Data Auditing
Des outils d’analyse des données, comme 4Halo chez PwC, permettent de faire évoluer
l’approche d’audit, auparavant basée sur une méthode de test d’un échantillon, vers
l’analyse de l’intégrité d’un groupe de transactions.
L’outil Halo permet par exemple de vérifier des millions de données en un temps réduit et
d’identifier les anomalies immédiatement qui feront l'object d’un jugement par l’auditeur.
Il peut ensuite visualiser les données de façons différentes et complémentaires par
fournisseur, par date de transaction, par montant, ce qui facilite le contrôle des auditeurs.
Les bénéfices ?
Un gain de temps considérable et l’assurance d’un audit encore plus précis .

 Intelligence artificielle
Bien qu’elle soit encore à un stade émergent, l’intelligence artificielle contribue déjà à
renforcer la fiabilité des processus de l’audit.
Elle est par exemple utilisée pour repérer des anomalies ou des schémas dans des réseaux
complexes de données consolidées.
Chaque problème identifié est reconnu et retenu par l’intelligence artificielle, qui « apprend
» ensuite de ses expériences et applique cet apprentissage à l’analyse suivante pour un
nouveau jeu de données.
Souvent jugées insatisfaisantes par certaines autorités, les règles en vigueur en matière
d'audit des comptes sont inévitablement amenées à se durcir.

4
Audit explorer Halo audit PWC technologie audit innovations on the year 2017 James Chalmer Page 14
14
Il est grand temps pour les entreprises de se mettre au diapason pour ne pas que le terme
audit rime avec cauchemar.
Fin septembre, trois ans après la découverte d’une fraude dans les comptes de la holding
de William Saurin, les commissaires aux comptes du groupe sont passés devant le
gendarme de la profession, le Haut Conseil du Commissariat aux Comptes (H3C) pour un
procès disciplinaire.
Mazars et PwC ont été accusés d’insuffisance grave et le rapporteur général a réclamé la
sanction maximale d’un million d’euros chacun et une interdiction temporaire d’exercer
avec sursis.
Pour certains, cela fait écho à une série de faillites et de scandales comptables qui ont
ébranlé le Royaume-Uni ces dernières années.
Suite à ces scandales, le Financial Reporting Council (FRC), gendarme britannique des audits
(dont certaines missions recoupent celles du H3C en France), a décidé de contrôler les
entreprises beaucoup plus attentivement, affirmant que la qualité des missions d’audit
Avait diminué de manière inacceptable.
Cette reprise en main pourrait s’accompagner de l’introduction outre-Manche d’une
nouvelle réglementation inspirée de 5la loi Sarbanes Oxley américaine et selon laquelle les
chefs d’entreprise devraient attester que les processus de contrôle utilisés en interne sont
suffisamment robustes pour garantir la fiabilité des états financiers.
Un auditeur externe serait missionné pour valider ces assertions, rendant les dirigeants
personnellement responsables en cas d’infraction.
Dans ce contexte, le simple terme audit pourrait inquiéter les comptables les plus
chevronnés.
Il n’y a pourtant aucune raison que ce soit le cas, les moyens ne manquent pas d’éliminer
les obstacles potentiels et la pression qui accompagnent cet exercice, à commencer par
l’adoption de certaines technologies.
La modernisation des processus traditionnels peut aider la fonction comptable et financière
à minimiser les risques et à gagner la confiance des différentes parties prenantes.

5
Loi Sarbanes Oxley américaine 30 juillet 2002 source wikipédia.org
15
Aborder un audit avec sérénité
Dans le meilleur des cas, un audit implique la recherche d’informations dispersées dans des
applications, des disques durs partagés, des tableurs et des classeurs sans oublier
l’échange d’e-mails, les réunions et les vidéoconférences entre les comptables et les
auditeurs.
Bien souvent, les audits viennent s’ajouter à des échéances mensuelles déjà bien chargées,
exerçant une pression supplémentaire sur les équipes financières.
Mais si ces audits sont nécessaires, les tensions et l’inefficacité qu’ils induisent ne sont en
aucune manière justifiées.
La technologie peut apporter des solutions en réduisant les tâches propices aux erreurs, en
assurant des contrôles plus stricts et en permettant d’accéder en temps réel aux
informations demandées.
Le déploiement d’un logiciel de gestion des clôtures financières permet par exemple
d’automatiser l’exécution des processus de clôture mensuels, qu’il s’agisse d’effectuer des
rapprochements ou d’analyser les fluctuations d’un compte, éliminant ainsi les opérations
génératrices d’erreurs.
Les nombreuses fonctionnalités dont sont dotés ces logiciels permettent de veiller au
respect des règles, procédures et réglementations en vigueur tout en contribuant à la mise
en place d’un environnement de contrôle comptable dématérialisé.
En résumé, un logiciel de gestion des clôtures financières fournit des données propres et
vérifiées issues d’une source d’information unique.
Cette solution simplifie la manière dont les comptables, les contrôleurs de gestion et les
auditeurs trouvent, partagent et décortiquent les informations.
Quelques minutes suffisent pour passer une transaction au crible au lieu de plusieurs
heures, voire plusieurs jours.
Les plateformes de clôture financière permettent également de fournir aux auditeurs
externes et internes un accès aux données en lecture seule.
Résultat, des délais de préparation raccourcis, des échanges moins nombreux et des
recherches moins détaillées.
Ces activités étant rationalisées, les financiers peuvent se concentrer sur la fourniture
d’informations vérifiées aux partenaires et aux auditeurs.

16
Face à un audit, l’utilisation d’un logiciel de clôture financière présente de nombreux
avantages
Une fois ces processus instaurés, les auditeurs peuvent remplacer la méthode réactive
traditionnelle par une approche proactive automatisée qui présente trois avantages :
 Renforcer la transparence et améliorer la relation entre le client et l’auditeur

Transparence rime avec confiance.

Un auditeur sera mieux disposé s’il a la possibilité d’évaluer facilement les tenants et les
aboutissants d’un compte ou d’une écriture.
Avec une plateforme d’automatisation comptable, les désagréments occasionnés par les
échanges incessants et la recherche de détails parfois introuvables disparaîtront, les
informations demandées étant correctement documentées et aisément accessibles en un
seul et même endroit.
C’est une relation positive sur le long terme, l’auditeur pouvant accompagner l’entreprise
auditée pour comprendre et respecter des règles comptables parfois complexes.
 Rationaliser les processus d’audit
Entre les revues trimestrielles, les audits de fin d’année et d’autres processus, les
entreprises ont parfois la sensation que les auditeurs peinent à lever le camp.
Mais grâce aux nouvelles technologies, les audits peuvent gagner en efficacité.
À titre d’exemple, auditeurs et clients disposent désormais d’un "délai de préparation" plus
court grâce à la centralisation des fichiers ; d’une gestion plus claire des tâches attribuées et
de leur suivi grâce à un accès et une surveillance en temps réel ; ainsi que d’un processus
de gestion de la "PBC list" simplifié dans le cadre duquel les clients fournissent et les
auditeurs demandent des informations en appui des procédures d’audit.
 Réduire le coût et la durée des audits
Si la dématérialisation des processus d’audit ne s’accompagne pas toujours d’une
diminution des honoraires, la technologie contribue néanmoins par différents moyens à
minimiser les coûts.
Tout d’abord, l’accès à une plateforme centralisée permet aux auditeurs de travailler à
distance c’est indispensable dans le monde postpandémie, ce qui réduit les visites sur site
et les frais de déplacement.

17
Les auditeurs disposent ainsi d’une plus grande flexibilité pour s’organiser avec leurs
différents clients, avec à la clé une hausse de la productivité et du nombre d’heures
facturables.
Deuxièmement, un auditeur qui pointe une erreur demande généralement des
informations supplémentaires, entraînant des frais imprévus.
En marginalisant ce risque d’erreur, la technologie permet aux auditeurs de tester les
contrôles informatiques ou de revoir les règles métier configurables au lieu de procéder à
un échantillonnage étendu et de tester certaines transactions dans leurs moindres détails.
Et demain ?
Dans un environnement opérationnel et réglementaire de plus en plus complexe, les
exigences qui entourent les audits continuent d’évoluer.
Les équipes en charge des audits internes et de la conformité ne doivent plus fonctionner
de façon réactive, mais faire preuve de proactivité pour identifier et maîtriser les risques.
À l’heure où la qualité et l’efficacité du reporting n’ont jamais suscité autant d’attentes,
c’est le moment ou jamais de renforcer les contrôles en faisant confiance à la technologie.
L'introduction des nouvelles technologies de l’information et de la communication dans les
entreprises, l'accroissement de la concurrence et la recherche d'être plus compétitifs ont
progressivement conduit les firmes d'audit à utiliser de nouvelles démarches et procédures
plus performantes.
Avec le développement des nouvelles technologies de l'information, d'autres méthodes
sont proposées, notamment, les gestionnaires électroniques de fichiers.
Malgré les efforts déployés par les chercheurs pour mesurer l'impact de ces nouvelles
technologies sur la performance des auditeurs, les résultats trouvés sont loin d'atteindre un
consensus.
De ce fait, le but est de présenter une recherche en cours dont l'objectif est d'évaluer les
effets de l'utilisation d’un gestionnaire électronique de fichiers (TI) sur la performance des
auditeurs.

18
La démarche proposée s’appuie sur un modèle qui formalise les relations directes et
indirectes existant entre :
Les déterminants de l’acceptation de TI, notamment les caractéristiques individuelles, les
perceptions vis à vis de TI et l’acceptation traduite par l’utilisation de TI.
Cette dernière agit à son tour sur la performance de l’auditeur et cette performance sera
mesurée en termes de productivité, de la sécurité de l’opinion et la qualité du service offert
au client.
Le modèle est testé auprès d’un échantillon d’auditeurs d’un cabinet d’audit international
parmi les Big Four.

La technologie utilisée par l'auditeur financier afin d'émettre une opinion a bien évolué,
Jusqu'aux années 30, les auditeurs appréhendaient leur activité comme une vérification, le
plus souvent exhaustive, des enregistrements comptables.

Les praticiens ont ensuite développé, durant la période 1940-1960, 6une approche
structurée de l'audit.
Cette approche moderne plus analytique intègre, dès les années 50, une perception du
risque issue de la théorie statistique de la décision :
(Casta et Mikol, 1999).
L’émergence de nouvelles technologies de l’information et de la communication (NTIC)
amène praticiens et chercheurs à réexaminer leur cadre de travail et de réflexion dans tous
les domaines de la gestion : (Bergès, 2002).
L’auditeur financier, au cœur du dispositif légal et contractuel de régulation de
l’information financière, ne saurait s’affranchir de ce réexamen.
L’audit financier des objectifs d’efficacité et de pertinence dans la conduite des missions,
qui ont pour objet de réduire les risques informationnels des différents acteurs de
l’entreprise, notamment en levant l’hypothèse de l’asymétrie de l’information financière
entre dirigeants, actionnaires et tiers en général.
Parallèlement, la pression du marché de ces deux dernières décennies conduit les cabinets
d'audit à fournir des prestations dans des conditions de compétitivité accrue.

6
Notion d'audit Approche structuré de l’audit 1950-1960 fiche méthodologique d’une mission d’audit IFACI page 17
19
De nombreux travaux : Arnett et al (1979), Eichenseher et al (1983), Cushing et al (1986),
Danos et al (1986), Kinney (1988), Wheeler et al (1990), Maher et al (1992), Manson et al
(1998), Work (1985), Baldwin (1987) et Stevens (1988) notent l'augmentation de la
concurrence dans le marché d'audit.
Les cabinets d'audit cherchent à être plus compétitifs en offrant des services de qualité et
en améliorant leur efficacité générale.
Ainsi, leur potentiel de croissance dépend de la façon dont ils construisent et maintiennent
un audit de qualité : (Richard, 2000).
Ce souci a été à l'origine de la recherche d'outils plus productifs et plus efficaces.
Les techniques traditionnelles les plus couramment utilisées pour attester la sincérité et la
régularité des états financiers sont :
Les sondages statistiques, les interviews, les questionnaires, les organigrammes
fonctionnels, les grilles d’analyse des tâches, les diagrammes de circulation etc.
Ces techniques, souvent effectuées manuellement, se caractérisent par leur complexité et
leur déficience.
(Anderson et al ,1986), (Ham et al,1985), (Wendell et al, 1993), (Leitch et al,1981), (Lanza,
1998) et (Selditz, 1999) notent l’existence de plusieurs défaillances avec l’utilisation de ces
outils classiques aussi bien au niveau de la fiabilité de l’opinion de l’auditeur qu’au niveau
du budget (temps et coût) consacré.
Pour pallier aux insuffisances des méthodes classiques, les nouvelles technologies de
l’information offrent des traitements et aides à la résolution de problèmes appropriés.
Les systèmes de traitement de texte, le traitement des bases de données, les tableurs
électroniques, les logiciels graphiques et certains outils spécialisés tels que les logiciels de
planification, les logiciels d’échantillonnage statistique, les systèmes d’aide à la décision, les
systèmes experts et les gestionnaires électroniques de fichiers développés par les Big Four.
Toutefois, il convient d’explorer l’apport de ces nouvelles technologies pour la formulation
du jugement de l’auditeur et pour le rapport qualité coût de la mission d’audit.
La directive de l’IFAC n°1009 publiée en 1998, relative à l'utilisation des techniques d'audit
assistées par ordinateur, souligne que les techniques informatiques permettent d'améliorer
l'efficacité et l'efficience des procédures d'audit.

20
Aussi, dans le cas où il n'y a pas de documents de saisie ou de chemin d'audit visible, elles
permettent d'inventer des tests de conformité et des contrôles substantifs appropriés.
(Beauséjour, 1992) affirmait que même si on a quelquefois l’impression qu’il n’y a pas de
hausse de productivité suite à l’automatisation d’une activité, en y regardant de plus près,
on s’aperçoit qu’il y a eu enrichissement de la tâche.
En outre, (Vasarhely, 1984), (Lin et al, 1993) et (Lafortune et al, 1993) estiment que
l’utilisation des techniques informatiques dans la mission d’audit peut réaliser une
économie du temps et une amélioration de la qualité de vérification.
Le développement des nouvelles technologies d’audit met l’accent sur l’amélioration des
décisions d’audit à partir de schémas devant conduire l’auditeur à l’émission d’une opinion
selon une traçabilité identifiable : Bergès (2002).
Ces objectifs ont amené les cabinets d’audit à développer et à promouvoir une véritable
technologie d’audit (Casta et Mikol, 1999) afin d’aboutir au meilleur rapport coût efficacité
dans le processus de certification de la régularité et de la sincérité des comptes.
L’affirmation d’une technologie d’audit est alors un facteur de différenciation dans l’offre
des cabinets, eu égard à la présomption de rationalité et de qualité de jugement associée à
la nouvelle approche des auditeurs.
Les Big Eight devenus depuis Big Four, apparaissent comme les figures de proue de cette
innovation.
Par contre, (Temkin, 1986), (Fisher et al, 1988), (Elliot et al, 1987) et (Davis, 1984) ont relevé
les risques inhérents à l’utilisation de l’outil informatique dans les missions d’audit.
La première contrainte se situe au niveau de la compétence limitée des auditeurs en
matière informatique.
La seconde contrainte relève du coût d’investissement élevé à mettre en œuvre pour le
développement de certains logiciels.
Une troisième contrainte est relative à la dépendance vis à vis des informaticiens dont on
fait appel pour assurer l’installation des différents outils informatiques et résoudre certains
problèmes techniques.
Il semblerait donc qu’il y a manqué de consensus entre les recherches antérieures quant à
la capacité des nouvelles technologies d’audit à améliorer la performance des auditeurs.

21
Par ailleurs, avant de chercher à apprécier l’impact des TI sur la performance, il serait plus
judicieux de comprendre avant tous les préalables (ou les déterminants) de l’utilisation ou
de l’acceptation des nouvelles technologies par les auditeurs.
Ce problème d’acceptation des technologies de l’information continue d’être une
préoccupation majeure pour les chercheurs en Systèmes d’Information préoccupés par les
études d’impacts des TIC et les déterminants de leur bonne utilisation (Moore, 1991 ;
Norman, 1993 ; Weiner, 1993 ; Johansen et Swigart, 1996 ; Venkatesh et Morris, 2000).
Etant donné le nombre important de recherches qui ont soutenu le modèle d’acceptation
de la technologie (TAM) (Davis et al (1989) ; Mathieson (1991) ; Adams et al (1992) ;
Robichaux (1994) ; Venkatesh et Davis (1994) ; Chin et Gopal (1995) ; Straub et al (1995) ;
Hubona et Whisenand (1996) ; Gefen et Straub (1997) ; Dishaw et Strong, 1999 ; Karahanna
et Straub, 1999 ; Venkatesh, 1999 ; Malhorta et Galleta, 1999 ; Venkatesh et Speier, 1999 ;
Wöber et Gretzel, 2000 ; Dahab, 2001 ; Lefièvre, 2001 et Venkatesh et al, 2002).
Même si plusieurs articles à caractère professionnel traitent des mérites de l’utilisation des
techniques d’audit assistées par ordinateur, il existe très peu de recherches sur l’impact de
l’utilisation de ces techniques sur la performance de l’auditeur.
L’examen de l’impact de l’implantation des NTI dans les firmes d’audit présente un intérêt
considérable aussi bien pour les chercheurs que pour les praticiens (Banker et al, 2001).
Par conséquent, deux objectifs ont été assignés à cette recherche :
Le premier objectif consiste à identifier les différents déterminants de l’acceptation et de
l’utilisation des technologies de l’information par les auditeurs ;
Le deuxième objectif vise à évaluer les effets de l’utilisation d’un outil informatique (TI) sur
la performance des auditeurs.
La démarche proposée s’appuie sur un modèle qui formalise les relations directes et
indirectes existant entre :
Les déterminants de l’acceptation des TI, notamment les caractéristiques individuelles, les
perceptions vis-à-vis de la technologie et l’acceptation traduite par l’utilisation de la
technologie informatique et cette dernière agit à son tour sur la performance de l’auditeur.
La validation de ce modèle d’impact sur la performance utilise ici l’outil informatique (TI)
qui est un gestionnaire électronique de fichiers associé à la méthodologie (MA) interne à un
cabinet d’audit international (Firme) parmi les Big Four.

22
Le modèle est testé auprès d’un échantillon d’auditeurs de ce cabinet.
L’intérêt de cette recherche se justifie ainsi sur les trois plans théorique, méthodologique et
pratique.
Sur le plan théorique, en plus de contribuer au débat général sur l’efficacité et l’efficience
des nouvelles technologies d’audit, cette recherche permet de dégager les facteurs de
succès et les facteurs de risque de l’utilisation de ces nouvelles techniques.
Aussi, malgré l’utilisation étendue et l’augmentation de l’importance de ces technologies,
peu d’efforts ont été faits pour déterminer les effets des gestionnaires électroniques de
fichiers sur la performance des auditeurs en tant que variable dépendante.
Sur le plan méthodologique, notre étude supportera l’analyse des liens entre les
technologies de l’information et la performance individuelle dans une tâche d’audit des
états financiers.
La performance sera mesurée, entre autres, selon la productivité, mais aussi selon d’autres
mesures, telles que la fiabilité de l’opinion de l’auditeur et la qualité de service procurée
par cette utilisation.
Sur le plan pratique, cette recherche devrait aider les auditeurs à mieux comprendre
l’impact de l’utilisation des nouvelles technologies informatiques sur la mission d’audit.
Plus spécifiquement, nous espérons que les auditeurs trouveront au sein de cette recherche
un cadre théorique qui leur permettra d’apprécier l’impact de ces outils sur la performance
et la qualité de leur jugement.
L’analyse des résultats de ce travail permettra de présenter certaines recommandations qui
pourraient contribuer à accroître l’apport des techniques informatiques au succès des
missions d’audit en favorisant une utilisation plus efficace et plus efficiente de ces
applications dans le cadre de la mission d’audit.
Ces recommandations portent éventuellement sur la formation des auditeurs, l’adaptation
des applications informatiques aux besoins et contraintes spécifiques de la mission d’audit.
Cette compréhension du phénomène ainsi que les recommandations proposées, aideront
les auditeurs dans leur processus d’audit et permettront aux cabinets d’audit d’être plus
compétitifs tout en répondant plus adéquatement aux besoins de leur clientèle et en
formulant des opinions plus fondées.

23
En plus, en connaissant les effets de l’utilisation de ces outils, les concepteurs pourront
tenir compte de ces éléments lors de leur développement et de leur implantation.
L'objectif de ce papier est de présenter l'avancement de cette recherche qui sera divisé en
trois parties : Au niveau de la première partie, on exposera brièvement la démarche
théorique de la recherche. Une deuxième partie sera consacrée à la présentation du cadre
conceptuel de la recherche qui débouchera sur le développement des concepts, des
variables et des hypothèses de la recherche.
Enfin, on va présenter au sein de la dernière partie le cadre méthodologique de notre
étude.
Dans le premier test du TAM, Davis (1989) démontre que des niveaux importants d’utilité
perçue et de facilité d’utilisation perçue prévoient les intentions d’utiliser la technologie
d’information à travers les effets sur l’attitude de l’utilisateur vis-à-vis de la technologie.
(Davis, 1989) trouve que la facilité d’utilisation perçue agit en premier lieu à travers l’utilité
perçue pour influencer les intentions d’utilisation.
Toutefois, il y a un ensemble de construits qui ne sont pas inclus dans le modèle
d’acceptation de la technologie (TAM) pour expliquer l’acceptation des TI.
De ce fait, de nombreuses recherches récentes ont tenté de pallier cette insuffisance
(Dishaw et Strong, 1999 ; Karahanna et Straub, 1999 ; Venkatesh, 1999 ; Malhorta et
Galleta, 1999 ; Venkatesh et Speier, 1999 ; Wöber et Gretzel, 2000 ; Dahab, 2001 ; Lefièvre,
2001 et Venkatesh et al, 2002).
Néanmoins, au-delà des seules perceptions des utilisateurs vis-à-vis des TI, d’autres
éléments déterminent l’acceptation par les utilisateurs.
Les caractéristiques individuelles et celles propres au contexte d’utilisation, en l’occurrence
l’organisation (variables organisationnelles), ont aussi une influence directe sur l’utilisation
des TI et la performance des utilisateurs.
En se référant à la littérature en systèmes d’information (Alavi et Joachimsthaler, 1992 ;
Harrison et Rainer, 1992), les caractéristiques individuelles représentent les facteurs relatifs
à l’utilisateur comme :
Les variables démographiques, les traits relatifs à sa personnalité, les variables de la
situation (expérience, formation).

24
Toutefois, (Huber, 1983) a noté l’ampleur des recherches qui ont étudié les styles cognitifs
comme unique variable des différences individuelles alors qu’aucune attention n’a été
accordée aux autres variables dans les différents modèles et plus particulièrement le
modèle d’acceptation de la technologie (TAM).
Ceci malgré que les recherches parallèles sur l’implantation des nouvelles technologies
aient démontrés une relation significative entre les caractéristiques individuelles et les
différents outputs associés à l’acceptation de la nouvelle technologie (Nelson, 1990 ; Alavi
et Joachimsthaler, 1992).
Zmud (1979) a présenté une revue et une synthèse des recherches antérieures sur les
caractéristiques individuelles et le succès des systèmes d’information en gestion.
L’auteur a noté que la plupart des recherches ont accordé un grand intérêt aux
caractéristiques individuelles des utilisateurs.
Toutefois, ces études tout en signalant l’importance de ces variables dans l’acceptation des
nouvelles technologies de l’information, elles n’ont pas été conçues autour des nouvelles
théories sur l’acceptation de la nouvelle technologie comme le TAM qui a accumulé un
soutien empirique substantiel.
Par ailleurs, Davis (1989) Stipule que : Il est souhaitable que les recherches futures utilisant
le TAM considèrent le rôle des variables externes supplémentaires.
Dans ce sens, certaines recherches ont tenté d’étudier l’impact de certaines variables
externes sur l’acceptation ou l’utilisation des TIC (Igbaria, 1993 ; Igbaria et al, 1995, 1997 ;
Taylor et Todd, 1995; Venkatesh et Davis, 1996 ; Szajna, 1996 ; Jackson et al, 1997 ;
Venkatesh, 1999 ; Venkatesh et Speier, 1999 ; Dahab, 2001 ; Lefièvre, 2001 ; Venkatesh et
al, 2002).
Le modèle de recherche contribue à enrichir ces travaux et à améliorer sensiblement la
version originale du TAM.
Il examine l’influence directe et indirecte des variables individuelles et organisationnelles
sur le comportement de l’utilisateur et sur sa pperformance.0Cependant, les aspects
suivants délimitent ces contributions :
La théorie de l’action raisonnée part du principe que la plupart des actions sont sous le
contrôle de l’individu et que les intentions d’émettre au non le comportement constituent
un déterminant direct de l’action (Ajzen et Fishbein, 1980 ; Ajzen, 1991).

25
Ainsi, les intentions d’utilisation sont considérées comme une variable médiatrice entre les
attitudes et l’utilisation des TI.
Dans cette recherche, l’intention n’est pas prise en compte pour les raisons suivantes :
L’intérêt de mesurer une intention est de prédire un comportement futur (Ajzen et
Fishbein, 1980). Dans ce cas, les intentions doivent être mesurées à un moment aussi
proche que possible du moment où le comportement doit être observé.
Cependant, vu que l’objectif de cette recherche n’étant pas de prédire un comportement
futur mais d’expliquer un comportement observé, la mesure de l’intention n’est pas donc
intégrée dans le modèle ;
Ajzen et Fishbein (1980) considèrent que le rôle principal de l’intention est de valider
d’autres variables qui peuvent intervenir dans l’impact de la norme subjective et des
attitudes sur le comportement.
Ainsi, 7Moore et Benbasat (1991) stipulent que :
Si d’autres variables n’interviennent pas une fois que les attitudes et les normes sociales
sont formées, alors la mesure de l’intention peut être éliminée sans perte d’information
Concernant les normes subjectives, plusieurs recherches ont démontré un impact
significatif de cette dimension sur l’utilisation.
Toutefois, étant donné qu’on compte mener une étude exploratoire, cette dimension n’a
pas tendance à influencer les auditeurs contrairement aux études sur le terrain ou les chefs
de mission et les collègues d’une façon générale ont tendance à influencer les utilisateurs
de la nouvelle technologie.
De ce fait, on va maintenir l’utilité perçue, la facilité d’utilisation perçue et les attitudes
comme étant des déterminants de l’acceptation et donc de l’utilisation de la nouvelle
technologie (en vertu du TAM Davis, 1989).
Ainsi, les caractéristiques de l’utilisateur, les caractéristiques organisationnelles et
l’utilisation des TI semblent être les concepts les plus déterminants dans notre étude de
l’impact de TI sur la performance individuelle des auditeurs.
Pour résumer, ces différentes justifications conceptuelles conduisent à justifier la structure
du modèle conceptuel de cette recherche. Ainsi, il convient d’approfondir la description de
ses principales composantes.

7
Moore et Benbasat 1991 article 28 sur impact des nouvelles technologies dans le secteur de l’audit intention, validation des
variables impact des normes subjective et attitudes sur le comportement de l’auditeur version PDF
26
La relation entre les variables externes et les perceptions est basée théoriquement sur
l’extension des travaux qui concernent l’apprentissage qui suggèrent que les perceptions
soient des réponses apprises et les variables externes jouent un rôle central dans la
constitution de ces perceptions.
Quoi que la médiation par les perceptions des différentes variables externes ait été
largement étudiée dans les recherches antérieures (Venkatesh et Davis, 1996 ; Thompson
et al, 1994), les résultats empiriques étaient mitigés suggérant qu’il y a un besoin
d’examiner d’autres bases théoriques qui conditionnent cette relation.
D’autre part, on va établir un lien direct entre l’utilisation de la technologie et la
performance en prenant les études d’impact des nouvelles technologies sur la performance
individuelle comme base conceptuelle.
Cette recherche s’efforce de suivre la recommandation de Lucas et Spitler (1999) selon
laquelle il faut qu’il y ait plus de recherches qui examinent la relation entre l’utilisation et la
performance.
Au nombre de quatre, elles se répartissent en deux catégories des variables indépendantes
entre elles :
Trois variables individuelles ;
Une variable organisationnelle.
Les variables individuelles prises en compte sont :
(EXPERIENCE) : L’expérience acquise par l’auditeur en matière de technologie de
l’information ;
(FORMATION) : La formation de l’auditeur à l’utilisation de l’outil informatique (TI) ;
(SPECIALISATION) : La spécialisation dans les missions d’audit.
La variable organisationnelle désigne :
(SOUTIEN) : Le soutien des associés (ou partners pour l’utilisation de l’outil informatique
TI).
Ce niveau intermédiaire est caractérisé par quatre variables relatives au processus
d’acceptation et d’utilisation de (TI) par l’auditeur qui agissent sur sa performance.
Il s’agit de variables intervenantes car elles sont à la fois expliquées, et explicatives.

27
Elles désignent :
(UTILITE) : L’utilité perçue de (TI) par l’auditeur ;
(FACILITE) : La facilité d’utilisation perçue de (TI) par l’auditeur.
Ces deux variables reflètent les perceptions de l’auditeur et constituent un premier sous
niveau conceptuel.
(ATTITUDE) : Les attitudes de l’auditeur vis-à-vis de l’utilisation de (TI) ;
Les attitudes de l’auditeur composent le second sous niveau.
(UTILISATION) : Utilisation de (TI) par l’auditeur.
L’utilisation de (TI) constitue le troisième sous niveau conceptuel.
Ces quatre variables de processus sont dépendantes les unes des autres.
Les deux variables relatives aux perceptions (facilité d’utilisation perçue et utilité perçue) de
l’outil influencent les attitudes de l’utilisateur qui impliquent l’utilisation.
Les quatre variables (UTILITE, FACILITE, ATTITUDE et UTILISATION) ont toutes un rôle
explicatif de la performance de l’auditeur.
Le niveau de résultat est caractérisé par trois variables permettant d’appréhender la
performance de l’utilisateur final suite à l’utilisation de l’outil informatique.
Un premier résultat concernant la productivité de l’auditeur.
Un second résultat concerne la sécurité de l’opinion de l’auditeur.
Un troisième résultat est relatif à la qualité du service offert au client du cabinet d’audit.
Ces variables à expliquer désignent :
(PRODUCTIVITE) : La productivité de l’auditeur ;
(SECURITE) : La sécurité de l’opinion de l’auditeur ;
(QUALITE) : La qualité du service offert au client.

28
Deux types de relations sont étudiés, pour justifier la structure du modèle.
Elles font l'objet de deux ensembles d'hypothèses :
En premier lieu, les relations partielles de dépendance directe entre les trois niveaux du
modèle, le niveau I les variables externes, le niveau II processus d'utilisation ou
d’acceptation et le niveau III les performances de l’utilisateur.
Ce premier ensemble établit les hypothèses qui définissent l'existence de relations directes
entre les variables indépendantes et une variable dépendante.
Ces hypothèses partielles permettent de valider la structure interne du modèle de
recherche en considérant les variables deux à deux, et en s'imposant l'ordre d'apparition
des variables postulé par le modèle théorique.
Il s'agit, par ces hypothèses partielles, de postuler à l'existence de relations directes entre
les variables externes et les variables de processus ; entre les variables de perception ou de
croyances et la variable attitude ; entre la variable attitude et la variable utilisation avec le
réseau ; entre la variable utilisation et les variables de performance.
En second lieu, l'hypothèse générale du modèle (HG) suppose l'existence de relations
directes et indirectes entre les variables externe et les variables de performance, via les
variables de processus d’utilisation.
Ces relations établissent les hypothèses qui postulent à des effets directs et indirects de
chaque variable indépendante sur une variable dépendante via chaque variable
intervenante.
Cette hypothèse générale se décompose en trois hypothèses complémentaires de
dépendance directe et indirecte :
l'hypothèse HG1 établit l'existence de relations de dépendance directe et indirecte entre les
variables externes et la première variable de performance au travers les variables de
processus ; l'hypothèse HG2 établit l'existence de relations de dépendance directe et
indirecte entre les variables externes et la deuxième variable de performance, au travers
des variables de processus; l'hypothèse HG3 établit l'existence de relations de dépendance
directe et indirecte entre les variables externes et la troisième variable de performance, au
travers des variables de processus.

29
Un réseau d'hypothèses de dépendance directe et indirecte, adjacentes à l'hypothèse
générale (HG'), est également testé.
Ces hypothèses postulent à l'existence d'effets directs et indirects des variables externes
sur la variable utilisation via les variables de croyances ou de perception et la variable
attitude.
Les concepts de recherche ont été choisis en accord avec les théories existantes et les
travaux empiriques qui leur sont associés.
Ces concepts ont donné lieu aux variables de cette recherche.
Les relations supposées entre ces différentes variables ont été explicitées sous la forme
d'hypothèses de relations de dépendances directes (HP) et de dépendances indirectes (HG
et HG'). L'objectif du modèle est ensuite de rechercher les relations les plus significatives en
testant ces hypothèses.
Dans ce but, une démarche méthodologique en plusieurs étapes sont nécessaires.
La validation de cette étude nécessite, dans un premier temps, de choisir un terrain de
recherche, où les données relatives à l'évaluation de TI sont recueillies.
Dans un second temps, il s'agit de choisir les instruments de mesure des variables retenues
par le modèle conceptuel.
Il faut mettre en place ensuite la procédure de recueil des données de l'étude.
Enfin, les méthodes d'analyse de ces données sont justifiées.
Toutefois, la dernière partie n’est pas encore prête car on est actuellement au stade de la
collecte des données.
Cette recherche est menée auprès d'un échantillon d'auditeurs du cabinet d’audit
international, la "Firme", et plus précisément des bureaux de Tunis, de Casablanca et de
Lyon.
Le choix du terrain d'investigation repose sur trois principaux arguments :
La validation du modèle de recherche dans une seule entreprise permet de réduire, voire
de supprimer, certains biais.
Le contexte de mise en œuvre de l'outil est le même pour tous les auditeurs, et les variables
d'environnement, telles que la taille et la culture de l'entreprise sont supposées avoir les
mêmes effets sur les utilisateurs de TI.

30
D’autre part, la firme réunit les deux conditions nécessaires au test des hypothèses de la
recherche La Firme dispose d’une technologie de l’information qui assiste les auditeurs
dans leur mission d’audit et le nombre d'auditeurs est suffisamment élevé pour
sélectionner un échantillon représentatif de taille suffisante .
Enfin, le cabinet d’audit avec lequel l’étude sera entreprise s'est montré intéressé par cette
recherche contrairement à d’autres firmes d’audit.
La Firme est présente dans 689 bureaux et 134 pays, la Firme offre à ses clients un réseau
global de services intégrés au sein d'équipes pluridisciplinaires et internationales, capables
de s'adapter aux spécificités locales.
La Firme compte 103.000 collaborateurs et réalise un chiffre d'affaires annuel de 13,1
milliards de dollars américains, ce qui la place au premier rang mondial des firmes d'audit
multidisciplinaires.
La Firme est organisée autour de trois métiers :
Audit, conseil et services aux entreprises ;
Juridique et fiscal (droit social, fiscal, des sociétés, douanier),
Corporate finance (transactions, évaluations, restructurations,).
L'audit, dit certification ou commissariat aux comptes ayant pour objectif d'apprécier la
régularité et la sincérité des comptes d'une entreprise, est le métier principal et historique
de la firme.
Au-delà de la certification des comptes, la firme propose à ses clients, des services
d'assistance dans la gestion de l'entreprise et dans la prise de décision.
Avant l’adoption de MA, la Firme travaille avec la balance générale (un programme
standard pour tous les clients).
Maintenant, à partir de 2001, le réseau international de la Firme adopte la même démarche
d’audit adaptée à chaque client.
La méthodologie d’audit est une démarche adoptée par l’auditeur et basée sur une analyse
des procédures internes de l’entreprise, sur l’activité de l’entreprise et sur le mode de
management.

31
La méthodologie MA est destinée à identifier les zones de risque ou de non risque propres à
l’entreprise.
L’objectif principal qui était derrière la conception de TI en 1995, est d’assurer la
transparence et de déterminer la piste d’audit (risque, contrôle, opinion).
De ce fait, les objectifs ou les avantages escomptés de l’utilisation de TI sont les suivants :
Avoir une documentation homogène d’audit (si on cherche l’information : on a les moyens
de recherche d’un dossier X à un dossier Y) et donc être plus rapide dans la recherche
d’information ;
Supprimer les risques liés aux papiers (perte, destruction, les risques liés à l’archivage) ;
Simplifier l’archivage annuel des dossiers ;
Simplifier et sécuriser l’audit d’un dossier multi sites (un groupe ayant plusieurs filiales ou
une société ayant plusieurs établissements).
Dans ce cas, il y a intervention de plusieurs équipes d’audit dans la mission.
L’utilisation de TI procure l’avantage de communiquer entre différentes équipes d’audit
sans avoir besoin de se déplacer ;
Permettre de traiter une plus grande masse d’informations difficiles à gérer manuellement ;
Mettre en évidence la stratégie d’audit ou la piste d’audit (remonter de l’opinion vers le
contrôle vers le risque) ;
Simplifier et sécuriser les opérations de supervision (ou de revue).
Ça permet aux managers de superviser et trouver par exemple quels sont les visas et les
contrôles effectués par les différents niveaux hiérarchiques plus bas
Sécuriser l’accès à l’information par des tiers.
Avant, avec la méthode manuelle, les dossiers sont classés dans l’archive et certains
peuvent y accéder.
Or, avec TI (mot de passe, code), les auditeurs de la Firme ne peuvent pas accéder à un
dossier dont ils ne font pas partie de l’équipe d’audit.
On vient de présenter les objectifs assignés à la conception de TI.

32
Toutefois, ces avantages méritent d’être prouvés empiriquement d’une part, et d’autre
part, ne peuvent être confirmés que par les utilisateurs de cette technologie qui sont les
auditeurs.
L'échantillon est composé de 150 collaborateurs installés dans les bureaux de Tunis, de
Casablanca et de Lyon de la Firme.
Ces collaborateurs sont exclusivement des auditeurs dont l'activité principale est l'audit
légal (commissariat aux comptes) des états financiers des entreprises installées en Tunisie,
au Maroc et en France.
Les auditeurs de la Firme ont la particularité de réaliser exclusivement des missions d'audit
légal, contrairement à d'autres cabinets dont les auditeurs sont affectés conjointement aux
missions de commissariat aux comptes et d'expertise comptable.
Ce sont, par conséquent, des collaborateurs spécialisés en mission d'audit qui seront
interrogés.
Par contre, ces collaborateurs ne sont pas spécialisés par marché. Ils interviennent aussi
bien sur le marché des grandes entreprises que celui des petites et moyennes entreprises,
des banques ou des associations.
En outre, les auditeurs interrogés sont familiers au contexte international en raison de leur
appartenance à une firme internationale et à la nature de leur portefeuille clients,
essentiellement composé de filiales de groupes internationaux.
Il est à noter, enfin, que l'échantillon est composé d'auditeurs assistants, chefs de mission,
directeurs de mission ou associés dont l’âge et l'ancienneté au sein du cabinet varient en
fonction des grades qu'ils occupent.
Dans la recherche menée par 8Orlikowski et Baroudi (1991), les auteurs en examinant 155
articles publiés entre 1983 et 1988 dans les principales revues de recherche en système
d’information trouvent que le questionnaire est la méthode de collecte des données la plus
utilisée dans ces études.
Cette méthode est souvent recommandée pour les raisons suivantes :
C’est le mode de collecte de données privilégié par les recherches de nature quantitative
(Thietard et al, 1999 ; Dahab, 2002).

8
Notion de système d’information en matière d’audit Orlikowsku et Baroidit (1991) Firme organisation en matière d’audit.
33
Cette méthode est souvent conseillée pour la collecte de données quand il s’agit
d’expliquer des perceptions, des attitudes, ou des comportements .
L’enquête par questionnaire permet de traiter de façon quantitative les données avec un
grand nombre de variables mises en œuvre ;
Ce mode permet aussi de mener l’étude auprès d’un grand échantillon de répondants.
Le choix de cette méthode de collecte des données nous oblige de choisir une voie
d'administration bien déterminée.
Il existe plusieurs modes d’administration du questionnaire.
Ce dernier peut être administré en face à face, par téléphone, par voie postale ou par voie
informatique (Evrard et al, 2005).
Dans notre recherche, on a choisi de combiner l’enquête face à face pour les auditeurs
tunisiens disponibles au moment de l’administration du questionnaire et l’enquête par
ordinateur pour ceux qui sont en mission et pour les auditeurs français et marocains.
Ces modes d’administration ont été choisis pour collecter le maximum de réponses en
interrogeant simultanément un grand nombre d’auditeurs.
La rédaction du questionnaire est sans doute la phase la plus délicate dans la mise en
œuvre d’une enquête par sondage.
Comme le disait Jean-Jacques Rousseau (dans la Nouvelle Héloïse) : « L’art d’interroger
n’est pas si facile qu’on pense.
C’est bien plus l’art des maîtres que des disciples ; il faut avoir déjà beaucoup appris de
choses pour savoir demander ce qu’on ne sait pas ».
Pour cette raison, avant que sa version définitive n’ait été mise à la disposition des
auditeurs, plusieurs versions ont été réalisées et testées.
Par ailleurs, avant de rédiger la première version du questionnaire, une formation d’une
durée globale d’une centaine d’heures a été reçue afin de maîtriser l’outil (TI) et
comprendre ses fonctionnalités.
Cette formation a été animée par un senior manager, auditeur au sein de la « Firme » et
utilisateur opérationnel de l’outil (TI) dans le cadre de ses missions.
Cette formation débouche sur la conception d’un certain nombre de « construits- métiers »
déduits des spécificités du domaine d’audit et du terrain de la recherche (Firme, MA et TI).

34
 B. Section 2 : Importance de la technologie dans le domaine
d’audit
Le développement des nouvelles technologies d'audit met l'accent sur l'amélioration des
décisions d'audit à partir de schémas devant conduire l'auditeur à l'émission d'une opinion
selon une traçabilité identifiable.
La technologie d'audit représente, de manière large, les investissements qui améliorent la
qualité, réelle ou perçue, ou l'efficience de la production de l'audit (par exemple, publicité,
activités de formation ou programmes d'audit standardisés).
La technologie d’audit est vraiment d’une importance capitale car elle nous permet non
seulement de :
 Avoir un regard externe sur la gestion des processus IT du SI.
 Obtenir un diagnostic des principales forces et faiblesses du système
d’information et sa capacité à produire de l’information comptable et
financière.
 Se rassurer sur la fiabilité de son système d’information.
 Respecter la réglementation en vigueur encadrant la gestion des données et
des systèmes d’information.
 Aider à la prise de décision sur les orientations et les priorités à traiter.
 L’amélioration de la performance
 La réduction de la gestion du système d’information
 La mise en œuvre plus rapide de systèmes
 La limitation des dépenses
 Un meilleur contrôle sur l’activité principale
 Une plus grande expertise en système d’information.

35
Voici quelques outils technologiques intervenant dans le domaine de l’audit  :
a- Les drones :
La technologie s’améliore, et la réglementation se précise.
Les aéronefs sans pilote transforment peu à peu le paysage des affaires.
Ils ont déjà gagné le secteur des médias, de l’agriculture, de la construction, des services
d’urgence… et même de la comptabilité !
En janvier, on apprenait que PricewaterhouseCoopers avait eu recours à un drone pour
réaliser l’audit d’une société d’énergie allemande au Royaume-Uni.
Cet usage demeure relativement nouveau, mais les organisations canadiennes n’ont pas
attendu pour se lancer, affirme Andrew Morgan, directeur principal, Services de
certification, chez Ernst & Young.
Pas plus tard que l’année dernière, nous nous sommes prêtés à l’exercice pour auditer une
entreprise de camionnage, raconte 9M. Morgan.
Il dira alors que le nombre de camions à inventorier était tel que nous avons engagé un
exploitant de drones pour prendre des photos à vue d’oiseau.
Grâce aux 300 photos obtenues, nous avons pu faire un inventaire complet et obtenir
l’absolue certitude que les camions existent bien.
M. Morgan comprend bien les avantages, il dit alors que c’est une question de qualité, dit-
il.
Dans le cas de l’entreprise de camionnage, nous n’aurions pas pu obtenir une telle
assurance si nous avions inventorié le quart seulement des camions en personne.
Le fait de pouvoir inventorier 100 % des stocks augmente la qualité de l’audit.
Selon lui, l’apparition des drones dans le paysage de l’audit est due à la chute des prix et à
l’amélioration des technologies utilisées.
L’économie de temps et d’argent est un autre facteur, d’habitude, les clients doivent
assister à la prise d’inventaire, précise M. Morgan.
Lorsque l’auditeur a recours à un drone, ils sont libérés de cette obligation.
Il dit aussi qu'ils ont avons aussi utilisé des hélicoptères dans le cadre d’audits d’entreprises
agricoles, ajoute-t-il, Mais les coûts sont beaucoup plus élevés.
Autre avantage, l’élimination des risques, les drones sont des sortes de trépieds volants,
explique Sean Greenwood, président de la société Canadian UAVS.
Ils peuvent voler longtemps et maintenir leur caméra dans les airs sans être déstabilisés par
le vent.

9
Affirmation de M.morgan article sur l’utilisation des aéronefs sans pilote avantages technologique selon le Directeur principal
du service de certification chez Ernst & Young
36
Ils peuvent donc effectuer des tâches d’ordinaire dangereuses, comme les inspections
menées du haut d’une grue.
Bien que son cabinet n’en soit pas encore là, M. Morgan se voit déjà utiliser des drones
pour inspecter des câbles ou du matériel installés à une grande hauteur, et, donc, difficile
d’accès.
À partir du 1er juin 2019, de nouvelles exigences régiront l’utilisation de drones.
Transports Canada considère les drones comme des aéronefs, et, par conséquent, celui qui
est aux commandes, comme un pilote.
Les nouvelles règles comprennent deux catégories d’utilisation :
Les opérations de base, pour lesquelles il faut simplement passer un examen théorique, et
les opérations avancées, pour lesquelles il faut aussi passer un examen pratique.
Une fois réussi, ce dernier donne l’autorisation de faire voler un drone dans l’espace aérien
contrôlé et au-dessus des passants.
M. Morgan, qui confie être amateur de drones et fier propriétaire de trois appareils, a
passé dernièrement l’examen pour les opérations de base.
Il espère un jour pouvoir piloter des drones pour EY et rapatrier ainsi une partie du travail
en interne.
Aux enthousiastes qui souhaiteraient investir dans leur propre flotte de drones, M.
Greenwood signale toutefois qu’il demeure préférable de faire appel à un tiers.
Selon lui Les gens pensent qu’il suffit d’acheter un drone à 500 $, dit-il.
En réalité, les coûts sont bien plus importants.
Il faut prévoir des frais d’entretien, de formation… et savoir exploiter les données extraites
du drone.
La multiplication des aéronefs sans pilote, conclut M. Greenwood, entraînera tôt ou tard un
effondrement du coût des inspections.
La bonne nouvelle est qu’on peut s’attendre à ce que les audits complets soient plus
efficaces que jamais.

b- Les hologrammes
Le secteur holographique est très propice à l’audit par l’utilisation d’interaction visuelle qui
va nous permettre de visualiser les données de façon plus claire sans avoir recourt à des
documents, classeur, des tonnes de papier surtout grâce à des données qui seront déjà
stocké dans un cloud pour éviter l’accumulation des documents dans les archives.

37
C'est comme celui de 10Holo Audit qui est une solution complète de bout en bout qui
applique les avancées de la technologie de réalité mixte aux flux de travail d'audit
technique encombrants dans les industries AECO (architecture, ingénierie, construction et
exploitation).
Des listes de contrôle mains libres, des tâches guidées par hologramme et une riche
capture de données sur site améliorent la sécurité, la précision et l'efficacité de l'auditeur
lors des inspections.

Holo Audit utilise le casque de réalité mixte Microsoft HoloLens 2 pour des innovations
novatrices et efficaces qui responsabilisent les auditeurs sur le terrain.
La sécurité est améliorée grâce à des listes de contrôle et des notes mains libres. Les
instructions complexes deviennent également faciles avec les hologrammes animés en 3D,
et des artefacts riches tels que des vidéos annotées et des mesures spatiales peuvent être
capturés - le tout dans le contexte des salles, des systèmes et des machines sur site.
Mais malgré tous ces avantages l’audit technologique ne reste pas sans inconvénient parce
qu’avec la technologie il existera toujours des failles qui pourrons faire de telle sorte que
qu’on pourrait assister à des fuites de données ou des piratages système qui peuvent nuire
à la santé de l’entreprise.

On pourrait avoir d'autre inconvénients comme :

10
Notion de système d’information par holographie système Holo audit de visualisation de donnée affirmation d’après AECO
( architecture, ingénierie, construction, et exploitation).
38
  Des coûts dépassant les attentes
 La perte de l’expertise interne en système d’information
 La perte de contrôle sur le Système d’Information
 La faillite du prestataire
 L’accès limité au produit
 La difficulté de renverser ou de changer les dispositions externalisées.
Toutefois, la mise en place des nouvelles technologies entraîne d’importants changements
sur le plan de l’organisation, des processus et de la technologie.
Avec les ERP, par exemple, une commande client peut générer une commande fournisseur,
un lancement en production, un bon de livraison, une facture, son règlement, et
l’enregistrement en comptabilité de ces événements.
L’intervention humaine est limitée à la validation ou non de certains processus.
C’est ainsi qu’on parle actuellement de la mutation de l’approche de l’auditeur, de
systémique et verticale, pour devenir événementielle et transversale.
Par conséquent, il faudra suivre le chemin parcouru par un événement et étudier son
impact sur l’ensemble du système d’information.
Ce nouvel environnement appelle de la part de l’auditeur un complément de normes de
travail, dont essentiellement :
 L’examen des nouveaux domaines se rattachant aux nouvelles technologies afin
d’obtenir une compréhension suffisante du système comptable et des contrôles
internes de l'entreprise,
 L'analyse des nouveaux risques inhérents et des nouveaux risques de non contrôle
nécessaire pour l'appréciation du risque d'audit et la planification des travaux,
 La conception, l’exécution et le timing des tests sur les contrôles et des tests
substantifs afin de réunir des éléments probants suffisants et adéquats nécessaires
pour fonder l’opinion d’audit.
L’auditeur doit considérer l’importance et la complexité des systèmes et de
l’environnement informatique.
Il doit, aussi, considérer les nouveaux risques inhérents et les risques de non contrôle
associés aux traitements informatisés.
Les changements dans la manière avec laquelle les entreprises réalisent leurs affaires dans
un environnement d’ERP et d’Internet devraient être considérés par l’auditeur lors de la
planification de la mission.
Etant donné les caractéristiques uniques de ces entreprises, une bonne compréhension de
ces caractéristiques lors de la planification de la mission est essentielle.
Cette prise de connaissance est limitée aux systèmes ayant une incidence sur les assertions
sous-tendant l’établissement des états financiers.

39
Elle englobe la collecte d’un complément d’informations spécifiques concernant par
exemple les éléments suivants :
 L’organisation de la fonction informatique et le degré de concentration et de
décentralisation,
 Les contrôles de la direction sur la fonction informatique,
 Dans quelle mesure l’activité repose sur les systèmes informatiques et l’importance
et la complexité des traitements informatisés (volume des opérations, calculs
complexes, génération automatique des traitements et des opérations, échanges de
données, etc.),
 Les caractéristiques principales des systèmes et des environnements et les contrôles
qui y sont rattachés (conception, configuration du matériel informatique, sécurité,
disponibilité des données, contrôles liés à l’environnement informatique, contrôles
liés aux ERP, etc.),
 Les changements significatifs en termes de systèmes et d’environnements
informatiques,
 Les problèmes antérieurs identifiés au niveau des systèmes.
 La phase de collecte de l’information est plus importante la première année ou
l’année du changement avant de pouvoir décider de la stratégie.
En revanche, les années suivantes, compte tenu des connaissances d’audit accumulées, le
processus doit être plus rapide puisque focalisé uniquement sur les changements de
l’exercice.
Le risque inhérent est la possibilité que le solde d’un compte ou qu’une catégorie de
transactions comporte des erreurs significatives isolées ou cumulées à des erreurs dans
d’autres soldes ou catégories de transactions, du fait de l’insuffisance de contrôle interne.

Les risques inhérents associés à l’utilisation des nouvelles technologies de l’information et

de la communication sont généralement élevés et ce, en raison de leur extrême flexibilité
et complexité, de la multiplicité des systèmes en intégration et de la multiplicité des
utilisateurs.
A titre d’exemple, l’absence de sécurité du système d’exploitation peut résulter en des
changements de données ou de programmes altérant, par conséquent, la fiabilité des états
financiers.
En l’absence de contrôles appropriés, il existe un risque accru que des personnes situées à
l’intérieur ou à l’extérieur (par l’utilisation d’équipements informatiques à distance) de
l’entité aient indûment accès aux données et aux programmes et les modifient.

40
Par ailleurs, le risque d’erreurs humaines dans la conception, la maintenance et la mise en
œuvre d’un système informatique est supérieur à celui d’un système manuel à cause du
niveau de détail inhérent à ces systèmes.
En outre, en raison de la diminution de l’intervention humaine dans le traitement
informatisé d’opérations, les erreurs ou irrégularités se produisant lors de la conception ou
de la modification des programmes risquent de passer longtemps inaperçues et entraînent,
en général, un traitement incorrect de toutes les opérations.
L’auditeur peut considérer, par exemple, les éléments suivants :
 L'intégrité, l’expérience et les connaissances de la direction informatique
 Les changements dans la direction
 Les pressions exercées sur la direction informatique qui pourraient l’inciter à
présenter des informations inexactes
 La nature de l’organisation de l'affaire et des systèmes (Exemples : le commerce
électronique, la complexité des systèmes, le manque de systèmes intégrés)
 Les facteurs qui affectent l'organisation dans son ensemble (Exemple : changements
technologiques)
 Le niveau d’influence d’une partie externe sur le contrôle des systèmes (Exemples :
l’externalisation des traitements informatiques, l’accès direct par les clients)
 La susceptibilité de perte ou de détournement des actifs contrôlés par le système.
 Le risque lié au contrôle est défini comme étant le risque qu’une erreur significative
dans un solde de compte ou dans une catégorie de transactions, isolée ou cumulée à
des erreurs dans d’autres soldes ou catégories de transactions, ne soit ni prévenue
ou détectée, et corrigée en temps voulu par les systèmes comptables et de contrôle
interne.
Au niveau de la planification, l’auditeur procède à une évaluation préliminaire du risque lié
au contrôle.
Cette évaluation doit être fixée à un niveau élevé sauf si l’auditeur :
 Parvient à identifier des contrôles internes appliqués à une assertion particulière et
susceptibles de prévenir ou détecter et corriger une anomalie significative
 Envisage de réaliser des tests de procédures pour étayer son évaluation.
Les risques liés au contrôle ont été traités au niveau du chapitre précédent.
Ils se composent des risques liés aux contrôles directs et des risques liés aux contrôles
généraux informatiques.

41
Certaines entreprises font appel à des services bureaux pour tout ce qui se rattache à leur
système d’information.
Ceci est d’autant plus noté avec l’E-Business où beaucoup d’entreprises utilisent un
fournisseur de service Internet (ISP : Internet Service Provider) pour abriter leurs sites Web,
y compris les bases de données utilisées pour l’initiation des ventes et des encaissements
par cartes de crédit.
Afin de planifier l’audit et concevoir une approche d’audit efficace, l’auditeur doit
déterminer l’étendue des prestations rendues par le service bureau et leur incidence sur
l’audit.
Les éléments à prendre en considération sont, à titre indicatif :
 La nature des prestations du service bureau
 Les conditions contractuelles et relations entre l’entreprise et le service bureau
 Les assertions significatives sous-tendant l'établissement des états financiers
influencées par le recours au service bureau
 Les risques inhérents associés à ces assertions
 Les interactions entre les systèmes comptables et de contrôle interne de l’entreprise
et ceux du service bureau.
 Les contrôles internes de l’entreprise auxquels sont soumises les transactions traitées
par le service bureau.
 L’organisation interne et la surface financière du service bureau et l’incidence
éventuelle d'une défaillance de ce dernier sur l’entreprise
 Les informations sur le service bureau telles que celles figurant dans les manuels
utilisateurs et les manuels techniques
 Les informations disponibles sur les contrôles généraux et d’application de
l’entreprise.
L’auditeur doit ensuite évaluer l’incidence des prestations du service bureau sur le système
comptable et sur le système de contrôle interne de l’entreprise auditée.
Si l’auditeur conclut que l’incidence en question est significative, il doit rassembler des
informations suffisantes pour comprendre les systèmes et évaluer le risque lié au contrôle.
Les différentes étapes décrites ci-dessus, doivent permettre à l’auditeur de recueillir des
indicateurs lui permettant de fixer la stratégie d’audit par cycle et ce afin d’atteindre les
objectifs d’audit.
La stratégie d’audit vise à déterminer le mix des procédures à mettre en œuvre pour
atteindre les objectifs d’audit, en conciliant au mieux l’efficacité, la gestion du risque et la
rentabilité.

42
Elle est définie par rapport au niveau de confiance accordé aux contrôles de direction,
contrôles informatiques généraux et les contrôles d’applications.
Avec l’évolution des technologies de l’information et de la communication, l’approche
basée sur les systèmes semble être, dans la plupart des cas, la plus adaptée et la plus
efficace et ce, en raison notamment de :
 La conscience de plus en plus ressentie des dirigeants des entreprises de la nécessité
de mettre en place les sécurités nécessaires comme condition indispensable de la
pérennité,
 Le volume de plus en plus important des transactions, leur complexité et leur
étendue,
 La dématérialisation des informations.
Par ailleurs, cette approche permet aux auditeurs d’apporter de la valeur à l’entreprise à
travers des conseils touchant aussi bien les processus que la sécurité des traitements

C. Section 3 : Les transformations à mettre en place au sein des

équipes.
L'adoption de ces nouvelles technologies est généralement faible car les équipes d'audit ne
savent pas comment en profiter.
Bien que ces technologies soient merveilleuses, comment une équipe d'audit composée de
personnes réelles, surveillant les risques réels, peut-elle en tirer pleinement parti ?
Cela va nécessiter une planification réfléchie et des changements progressifs.
Les responsables de l'audit devront réunir des personnes ayant l'expertise appropriée : data
analysts, utilisateurs de processus métiers et professionnels de la cybersécurité.
Ces compétences doivent ensuite être converties en pratiques d'audit fiables qui
apporteront une assurance au CA.
Si on plonge tête baissée dans cette initiative, toutes sortes d'erreurs peuvent survenir.
Il se peut qu'il y ait une incompréhension en termes de risque métier par exemple,
conduisant à un processus automatisé qui ne génère pas les bonnes données.
C'est là que repose le défi fondamental parce que ces technologies fonctionneront à une
vitesse grand V, quel que soit le point de départ.
Il est donc essentiel d'identifier les bons risques et les bons objectifs, ainsi que de
développer les meilleures procédures d'audit à l'aide de ces technologies.

43
 D. Section 4 : La Cybersécurité :
Avec réseau, on a l’occasion de faire plusieurs choses impressionnantes.
C’est d’ailleurs dans ce sillage que le commerce devient une option assez importante dans
le monde aujourd’hui.
Mais dès qu’on parle d’informations financières et personnelles au sein des organisations,
il faut automatiquement penser aux mafieux.
Les internautes sont donc tout le temps à la merci des hackers.
C’est dans ce sillage que la cyber sécurité a vu le jour.
a. Section 4.1 : Définition 
11
C’est un ensemble de moyens utilisés pour assurer la sécurité des systèmes et des
données informatiques d'un état ou d’une entreprise.
La protection de la vie privée et la cybersécurité sont étroitement liées, D’une part, les défis
liés à la cybersécurité s’appliquent également à la protection de la vie privée.
Les organisations doivent demeurer à l’affût des cybermenaces les plus récentes pour
protéger leurs systèmes de TI.
De leur côté, les responsables de la protection de la vie privée doivent faire de même pour
protéger adéquatement les renseignements personnels qui leur ont été confiés par leurs
clients et leurs employés.
D’autre part, les politiques de cybersécurité peuvent aussi porter atteinte à la vie privée
tout comme les stratégies mises en place pour lutter contre les cybermenaces, sans que ce
soit voulu pour autant.
Il se peut aussi que les stratégies et les activités de cybersécurité donnent lieu à des
systèmes de surveillance entraînant la supervision et l’analyse illimitées et perpétuelles des
renseignements personnels des individus.
En 2014, 12le Commissariat a publié un rapport sur les intérêts communs et les tensions
entre la vie privée et la cybersécurité.
On y examine comment les défis au chapitre de la cybersécurité touchent également la
protection de la vie privée et des données, et comment les politiques de cybersécurité
peuvent avoir des répercussions sur la vie privée.

11
Source Définition dictionnaire historique de la langue française édition Le Petit Robert .

12
Publication du Commissariat 2014 rapport sur les intérêts et les tensions entre la vie privée et la Cybersecurité.
44
13
La question de la gouvernance et de la sécurité du cyberespace comme enjeux mondiaux
y est aussi abordée.
Enfin, le rapport établit des orientations stratégiques clés dans le but d’intégrer des valeurs
liées à la vie privée dans les orientations stratégiques relatives à la cybersécurité,
d’encourager l’adoption d’approches législatives qui favorisent la préparation en matière
de cybersécurité et de susciter un dialogue sur la cybersécurité en tant qu’élément
important de la protection de la vie privée en ligne.
Le document de consultation publié par le gouvernement est un pas en avant pour
l’établissement de ce dialogue.
Nous invitons fortement le gouvernement à prendre connaissance de notre rapport de
recherche pour avoir une meilleure vue d’ensemble des répercussions sur la vie privée.
Vous trouverez ci-après des observations (et des liens menant à des documents pertinents
préparés par le Commissariat) en réponse aux questions précises posées dans le document
de consultation.
Dans leurs efforts pour contrer la cybercriminalité, les organismes d’application de la loi
doivent être conscients des répercussions de leurs activités sur la vie privée des Canadiens.
Les évaluations des facteurs relatifs à la vie privée (EFVP), exigées dans certaines situations
en vertu de la politique fédérale, constituent un outil de planification et un mécanisme
important d’atténuation des risques d’atteinte à la vie privée.
Le processus d’EFVP aide à déterminer si les initiatives gouvernementales utilisant des
renseignements personnels posent des risques d’atteinte à la vie privée et permet de
mesurer, de décrire et de quantifier ces risques, et de proposer des solutions pour les
éliminer ou les ramener à un niveau acceptable.
Qu’il s’agisse d’un organisme d’application de la loi qui se penche sur les défis croissants
que pose la cybercriminalité ou d’institutions gouvernementales qui détiennent de grandes
quantités de renseignements personnels sur des citoyens ou des employés, l’EFVP
permettra d’assurer le respect de la Loi sur la protection des renseignements personnels,
de faire preuve de transparence en expliquant aux Canadiens la façon dont le
gouvernement traite leurs renseignements personnels et de rendre compte de l’utilisation
des renseignements personnels.

Pour en savoir plus sur les EFVP, je vous invite à consulter les documents suivants :
13
Article du European Cyber Security Organisation
45
  Nos attentes : un guide pour la présentation d’évaluations des facteurs relatifs à la
vie privée au Commissariat à la protection de la vie privée du Canada, 2011
 Évaluation des facteurs relatifs à la vie privée : les dix choses à faire et à ne pas
faire, 2016.
En vertu des lois sur la protection de la vie privée dans le secteur privé au Canada, les
organisations doivent protéger les renseignements personnels dont elles ont la gestion.
Elles doivent aussi déterminer les obligations qui leur incombent en matière de protection
de la vie privée ainsi que les risques dans le domaine.
Ces risques doivent être pris en compte par les organisations au moment d’élaborer leurs
modèles opérationnels, les technologies et les pratiques de fonctionnement connexes, et
les mesures de protection requises avant de lancer de nouveaux produits ou services.
Ils doivent être réduits le plus possible pour l’organisation, ses employés et ses clients afin
d’atténuer les répercussions de toute atteinte à la vie privée. Les organisations y
parviendront en se dotant d’un programme évolutif de gestion de la protection de la vie
privée qui tiendra toujours compte de ces éléments.
Le Commissariat a produit de nombreuses publications pour aider les organisations à
respecter les exigences en matière de reddition de comptes et de sécurité et à éliminer
certaines menaces pour la vie privée et la sécurité, par exemple :
 Un programme de gestion de la protection de la vie privée : la clé de la
responsabilité ;
 Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention
des organisations ;
 Dix conseils pour réduire le risque d’atteinte à la vie privée, 2014
 Risques en matière de vie privée et de sécurité associés à l’utilisation par les
employés de leurs propres appareils à des fins professionnelles, 2015
 Paiements électroniques et numériques et protection des renseignements
personnels.

46
14
La Loi canadienne antipourriel (LCAP) aide à protéger les renseignements personnels des
Canadiens en ligne.
Son adoption, en 2014, a constitué une avancée importante dans le domaine de la
cybersécurité au Canada.
Le Commissariat partage la responsabilité de l’application de la LCAP avec le Conseil de la
radiodiffusion et des télécommunications canal Bureau de la concurrence.
Il se concentre sur deux types d’infractions :
 La collecte d’adresses électroniques, selon laquelle des listes en vrac d’adresses
électroniques sont compilées par divers mécanismes, entre autres au moyen de
programmes informatiques qui fouillent Internet de façon automatique pour y
trouver des adresses
 La collecte de renseignements personnels en accédant aux systèmes
informatiques d’autres personnes de manière illicite, principalement au moyen de
logiciels espions.
Le Commissariat met à la disposition du public diverses ressources portant sur les pourriels,
entre autres :
 Menaces en ligne associées aux pourriels, 2011
 Un guide pour les entreprises œuvrant dans le domaine du cybermarketing, 2015
 Conseils utiles pour les entreprises œuvrant dans le domaine du cybermarketing,
2015
Le Commissariat a récemment mené à bien sa première enquête en vertu de la LCAP contre
l’entité « Compu-Finder ».
Cette entreprise n’avait mis en place aucun programme de gestion de la vie privée et ne
pouvait donc pas prouver qu’elle avait obtenu le consentement des intéressés pour utiliser
leur adresse de courriel. Elle a depuis accepté de mettre en place ce genre de programme.
L’adoption de mesures pour protéger les renseignements personnels contre les activités
illicites telles que l’utilisation de maliciels et d’autres types de fraude constitue non
seulement une exigence prévue par la loi, mais aussi un élément essentiel pour préserver la
confiance dans l’économie numérique canadienne.

14
Article du LCAP loi canadienne anti-pourriel 2014 notion de Cybersecurité.
47
La croissance économique future de notre pays repose sur l’innovation et sur la mise en
place de cadres rigoureux de sécurité et de protection de la vie privée pour appuyer les
citoyens et les organisations.
Contrairement à 15la LPRPDE, la Loi sur la protection des renseignements personnels
n’oblige pas les institutions fédérales à protéger les renseignements personnels dont elles
ont la gestion.
Le Commissariat a formulé à l’intention du Parlement des recommandations portant sur
cette question (entre autres) dans le but d’encourager la réforme et la modernisation de la
Loi pour tenir compte de l’évolution de la technologie et de son utilisation depuis son
entrée en vigueur en 1983.
Pour ce qui est des attentes des Canadiens concernant la protection de la vie privée et les
enquêtes policières sur les activités en ligne, les sondages et les tribunaux au Canada ont
été très clairs : le droit à la vie privée et les libertés garantis par la Charte, dont nous
bénéficions comme citoyens dans notre vie quotidienne hors ligne, devraient aussi
s’exercer en ligne.
16
La Cour suprême du Canada l’a énoncé clairement en 2014 dans R. c. Spencer.
En ce qui concerne expressément les pouvoirs des forces policières, les outils d’enquête
utilisés en ligne devraient être assortis des mêmes mesures de protection, des mêmes
seuils d’autorisation et exigences en matière de fardeau de la preuve et d’atténuation que
leurs équivalents dans les recherches et les saisies hors ligne.
Dans Spencer et d’autres décisions antérieures, la Cour suprême du Canada a rendu des
décisions très cohérentes à cet égard : en tant que société, nous ne mettons pas en péril la
protection des droits fondamentaux pour faciliter l’application de la loi ou accélérer les
procédures judiciaires.
17
La Loi sur la protection des Canadiens contre la cybercriminalité, entrée en vigueur en
mars 2015, a doté les forces policières d’une série de nouveaux outils, entre autres le
pouvoir de surveiller les communications électroniques, de localiser des opérations
numériques et de rendre des ordonnances exigeant la préservation des preuves
électroniques.

15
Article du LPRPDE loi sur la protection des renseignements personnels notion de Cybersecurité
16
Affirmation de la cours suprême 2014 dans R.c. Spencer sur la notion de Cybersecurité
17
Article de la législation canadienne en matière de Cybersecurité mars 2015 loi sur la protection des Canadiens contre les
cyber-attaque.
48
Il incombe aux institutions gouvernementales de faire la preuve d’un problème grave et
d’expliquer comment elles s’y prendraient pour surmonter les obstacles à l’enquête.
Enfin, nous estimons qu’il y a des liens entre les questions soulevées dans le document de
consultation et dans la consultation sur la sécurité nationale lancée peu après celle-ci.
Nous formulerons d’autres observations sur l’application de la loi et les activités des
organismes de sécurité nationale dans le contexte de cette consultation et nous les
rendrons publiques.
Dans un environnement où des cyberattaques surviennent chaque jour, on n’insistera
jamais trop sur l’importance d’adopter un cadre de sécurité global et exhaustif pour assurer
une protection contre les accès non autorisés aux renseignements personnels.
Le Commissariat a récemment fait enquête sur une atteinte à la sécurité des données du
site de rencontres pour adultes Ashley Madison.
Notre enquête a montré combien il est essentiel que les organisations détenant des
renseignements personnels sous forme électronique adoptent des processus, des
procédures et des systèmes explicites et appropriés afin de gérer les risques d’atteinte à la
sécurité des données et qu’elles se dotent de l’expertise nécessaire (interne ou externe)
pour ce faire.
C’est particulièrement important lorsqu’il s’agit de renseignements sensibles dont la
communication pourrait porter gravement atteinte à la réputation des personnes touchées
ou leur causer préjudice autrement.
Le Commissariat a rappelé aux organisations qui détiennent des renseignements personnels
sensibles ou de grandes quantités de renseignements personnels de mettre en place des
mesures de sécurité de l’information, par exemple :
 Une politique de sécurité.
 Un processus de gestion des risques explicite qui traite des questions de sécurité
de l’information, élaboré par des personnes possédant une compétence
adéquate.
 Une formation adéquate sur la sécurité et la protection de la vie privée donnée à
tous les employés.
Les lois rendant obligatoire la déclaration des atteintes à la sécurité des données
constituent un moyen efficace de renforcer la reddition de comptes par les organisations à
l’égard de la protection des renseignements personnels dont elles ont la gestion et de
l’adoption de mesures de protection adéquates.
49
La firme IPSOS a mené en 2016 pour le compte du Centre pour l’innovation dans la
gouvernance internationale (CIGI) Un sondage relatif à la sécurité sur Internet et à la
confiance des Canadiens.
Selon ce sondage, 18 % des Canadiens ont été informés d’une atteinte à la sécurité de leurs
renseignements personnels.
À ce jour, l’approche adoptée au Canada en ce qui a trait à la déclaration des atteintes à la
sécurité des données n’est pas uniforme.
Les organisations doivent déclarer les atteintes à la sécurité des données sur la santé dans
plusieurs provinces, dont l’Ontario, le Nouveau-Brunswick et Terre-Neuve-et-Labrador.
En Alberta, les organisations du secteur privé sont assujetties à la Personal Information
Protection Act de la province, dans tout le pays, elles seront assujetties à la LPRPDE.
En vertu de la politique du gouvernement fédéral, les institutions fédérales assujetties à la
Loi sur la protection des renseignements personnels doivent signaler au Commissariat à la
protection de la vie privée du Canada et au Secrétariat du Conseil du Trésor du Canada
toute atteinte substantielle à la vie privée et préciser les mesures d’atténuation mises en
place.
Le Commissariat a recommandé de rendre obligatoire la déclaration des atteintes à la vie
privée sous le régime de la Loi sur la protection des renseignements personnels.
La déclaration obligatoire renforce la sécurité en donnant un aperçu plus complet des
pratiques de sécurité et en permettant de détecter et de corriger les problèmes
systémiques.
Elle uniformise aussi les règles du jeu pour les organisations sur le plan de l’application de la
loi.
En imposant les mêmes obligations à toutes les organisations, on évite qu’une organisation
soit injustement pointée du doigt lorsqu’elle déclare de façon proactive une atteinte à la
sécurité des données.
Le mandat du Commissariat consiste notamment à sensibiliser la population aux enjeux
concernant la protection de la vie privée et le droit à la vie privée.
Pour s’en acquitter, il publie régulièrement diverses ressources éducatives à l’intention des
Canadiens.

50
Selon nous, le meilleur moyen pour les Canadiens de se protéger contre de nombreux
risques d’atteinte à la vie privée, notamment l’accès non autorisé à leurs renseignements
personnels, consiste à connaître leurs droits et à faire des choix éclairés concernant les
renseignements personnels qu’ils communiquent, à qui ils les communiquent et dans quel
but ils le font.
Par exemple, nous avons produit des documents sur les pratiques exemplaires à adopter
pour protéger les renseignements personnels, entre autres :
Le vol d’identité et vous, 2014
Dix conseils pour prévenir le vol d’identité, 2013
10 conseils pratiques pour protéger votre boîte de courriels, votre ordinateur et votre
appareil mobile, 2015.
Le Commissariat travaille avec diligence pour renseigner les individus et les organisations
concernant les répercussions sur la vie privée des nouvelles technologies, des initiatives
gouvernementales et des pratiques commerciales.
En plus de produire lui-même des rapports de recherche sur des sujets variés, entre autres
les drones et l’analyse prédictive, il finance la recherche indépendante par l’intermédiaire
du Programme des contributions.
Ce programme a pour but de générer de nouvelles idées, approches et connaissances sur la
protection de la vie privée que les organisations pourront mettre en œuvre pour mieux
protéger les renseignements personnels ou que les Canadiens pourront utiliser pour
prendre des décisions plus éclairées en ce qui a trait à la protection de leur vie privée.
Le Commissariat a récemment financé des travaux de recherche sur des sujets aussi variés
que les véhicules connectés Et la sécurité des appareils de suivi de la condition physique.
Le Commissariat a aussi publié des orientations pour aider les organisations à mieux
protéger les renseignements personnels dont elles ont la gestion.
Les individus devraient prendre des mesures pour connaître les risques et se protéger en
conséquence, mais la protection des renseignements personnels ne devrait pas reposer
uniquement sur leurs épaules.
Les organisations ont aussi un rôle à jouer à cet égard. La confiance envers l’économie
numérique en dépend.

51
La cybercriminalité n'est pas une menace nouvelle.
Mais elle est en augmentation, les pirates sont de plus en plus doués.
Et ils disposent de toujours plus de moyens pour s'introduire dans un réseau. Notamment
avec l'Internet des Objets qui multiplie le nombre de terminaux et par conséquent, le
nombre de points d’accès.
La taille des cibles augmente de façon exponentielle, en même temps que les perturbations
occasionnées.
Le 21 octobre 2016, le fournisseur de services DNS américain Dyn a subi l'attaque par déni
de service distribué (DDoS) la plus importante de l'histoire.
Les sites web les plus importants du monde, dont Netflix,2 Amazon et Twitter, se sont
retrouvés hors ligne pendant des heures.
En janvier 2017, la Lloyds Bank a subi d'importantes interruptions de connexion.
Les clients ne parvenaient pas à accéder à leurs comptes bancaires ni à effectuer de
paiements. L'accès aux comptes via l'application mobile était également indisponible.
Lloyds n'a rien confirmé, mais il y a de fortes présomptions qu'une attaque DDoS était à
l'origine de la perturbation.
18
Dans le « 2016 Printer Security Survey Report » de Spiceworks (Rapport sur la sécurité des
imprimantes 2016), 34 % des entreprises ont déclaré qu'une attaque déclenche un
engorgement des centres d'appel et une augmentation du temps d'assistance, 29 % ont
constaté une réduction de la productivité et de l'efficacité et 26 % ont signalé des
problèmes générés par l'augmentation du temps d'arrêt du système.
Près de 60 % des responsables de la sécurité interrogés pour un document d'évaluation IBM
CSO ont indiqué que la sophistication des pirates dépassait celle de la défense de leur
entreprise.
Les DSI, inquiets, ont cité la cybersécurité comme l'un des 10 principaux problèmes de ces
dix dernières années.

18
Rapport du PSSR printer Security survey report par rapport aux attaques << notion de Cybersecurité sécurité>> 2016
52
Actuellement, elle occupe la deuxième place dans l'étude annuelle SIM Trends beaucoup
des dommages causés sont évitables.
Dans ce livre blanc, nous aborderons les idées reçues les plus répandues sur la
cybersécurité, nous regarderons de plus près l'incidence de la cybercriminalité sur les
entreprises et nous vous donnerons des clés pour mieux vous protéger contre ces attaques.
Nous terminerons sur une prospective en abordant les menaces futures et comment nous y
préparer.
Il n'est jamais simple de mesurer le coût engendré par les violations de données pour les
organisations commerciales.
L'idée qu'une cyberattaque a pour effet visible, la chute des valeurs boursières est
couramment répandue.
Cependant, les valeurs boursières ne représentent qu'une partie, la première, de l’histoire.
Les valeurs boursières peuvent remonter en quelques semaines, mais d'autres coûts
peuvent s'accumuler à long terme.
Nouveaux programmes de sécurité, personnel remplaçant, dépenses juridiques.
Tous ces facteurs peuvent profondément perturber une entreprise à long terme et bien des
mois encore après une attaque.
En outre, les coûts ne cessent d'augmenter, une étude Ponemon récente indique que le
coût annuel moyen d'un piratage est passé de 7,7 millions de dollars en 2015 à 9,5 millions
en 2016.
L'institut IDC a déterminé que la proportion des entreprises ayant subi une violation a
atteint 99 % en 2016. En outre, le nombre de sociétés ayant indiqué avoir subi 6 à 10
violations par an a bondi de 9 % en 2014 à 18,9 % en 2016.
Ces chiffres sont sans doute inférieurs à la réalité.
Les intrusions ne sont souvent pas signalées, car les sociétés cherchent à éviter la mauvaise
presse qui leur est associée.

53
L'autre aspect que cette idée reçue néglige est l'impact négatif qu'une fuite peut engendrer.
Votre société ne subira peut-être qu'une fuite. Mais une fuite peut occasionner des
difficultés majeures.

Même si le recrutement d'un spécialiste est une bonne idée, chaque salarié de la société
doit suivre une formation sur les bonnes pratiques en matière de cybersécurité.
Pensez au collègue qui télécharge naïvement une pièce jointe d’un e-mail malveillant, un
autre visite un site web dangereux, qui infecte le réseau de la société via un programme
malveillant qui ralentit les ordinateurs ou qui envoie des informations sensibles à un
cybercriminel.
Selon le rapport « 2016 Cyber Threat Report » de CyberEdge, les organisations ont signalé
la « faible sensibilisation du personnel à la sécurité » comme étant le principal problème les
empêchant de se protéger contre les menaces de sécurité dangereuse des Cybercriminels.
Ce facteur a été classé devant d'autres comme les « carences en budget » ou le « manque
de personnel qualifié.
L'antivirus scanne les systèmes pour rechercher des programmes malveillants téléchargés à
partir de sites web ou d'e-mails. Cependant, les pirates ont d'autres moyens de contourner
cette protection.
Voici les cyberattaques qui ne peuvent pas être bloquées par l'antivirus :
Les attaques par déni de service distribué (DDoS), où un site web est inondé de trafic
parasite qui le ralentit ou qui le met en panne ; les attaques Web, où les pirates injectent un
code malveillant dans un site dans le but de voler des données ou d'espionner à distance ;
l'accès des pirates via des appareils volés.
Il n'est pas facile de détecter une cyberattaque.
Le programme malveillant qui pénètre dans un système peut ne pas interrompre les
opérations immédiatement, cependant, il peut espionner le système et fournir au pirate
des informations lui permettant de mettre au point d'autres attaques plus ciblées, souvent
pour accéder à l'ensemble du réseau.
Ces attaques sur des systèmes spécifiques sont considérées comme des menaces
persistantes avancées (APT).
Les attaques APT se caractérisent par une surveillance continue et une obtention de
données à partir d'une infrastructure informatique particulière au fil du temps, qui passe
54
souvent inaperçue. Le Daisy Group, une société de conseil en informatique, estime que la
moitié des entreprises britanniques pourraient être piratées en moins d'une heure.

La surveillance du trafic des données sortantes (s'il est supérieur au trafic normal) permet
d'identifier un vol de données (il peut s'agir d'une attaque APT).
Il faudra sélectionnez un logiciel de sécurité avec protection de données tel que HP
SureStart, qui permet de restaurer automatiquement le BIOS d'un ordinateur lorsqu'une
attaque de programme malveillant est détectée et d'arrêter ainsi les violations avant de
compromettre les données.
Selon « Lena » du groupe de pirates Guardians of Peace (GOP) qui a revendiqué l'attaque
Sony «ne prend aucune mesure pour sa sécurité physique ».
Pour accéder au réseau de Sony, ils se sont tout simplement introduits dans les locaux et
ont volé les identifiants informatiques d'un administrateur système.
Les pirates ont en effet réussi à installer un programme malveillant qui s'emparait de
fichiers privés, confidentielles, code source et mots de passe des bases de données Oracle
et Code SQL.
À partir de là, ils ont pu voler des calendriers de production de films, des e-mails, des
documents financiers, etc., qui, pour beaucoup d'entre eux, ont été publiés sur Internet.
Les pirates ont menacé de publier d'autres informations sensibles et hautement
confidentielles si la société ne retirait pas le film « L'Interview qui tue » des salles de
cinéma.
Sony a finalement abandonné, en perdant au passage une quantité incalculable de recettes
et en voyant sa réputation sérieusement ternie.
Sony a commis deux erreurs, la première, négliger la possibilité que des intrus puissent
accéder physiquement aux données de la société, et la seconde, ne pas investir dans
plusieurs niveaux de sécurité, ce qui aurait permis d'éviter l'accès aux informations
sensibles après la première violation.
Après l'attaque, Bruce Schneier, expert de la sécurité, a écrit :
« Tous les réseaux sont vulnérables face à des pirates suffisamment expérimentés, dotés de
ressources financières et motivés. »
L'astuce consiste à reconnaître les vulnérabilités de votre réseau.
Il peut s'agir de la porte principale.

55
19
Selon une enquête menée en juin 2017 par l’Institut pour la criminologie de la KUL sur 300
entreprises belges
 Deux tiers des entreprises interrogées ont été victimes d’au moins une forme de
cybercriminalité l’année précédente.
 La majorité des signalements concernent des tentatives de pénétrer dans certaines
parties du système informatique de l’entreprise sans que les données n’aient été
volées ou endommagées (50%) et les cyberattaques qui occasionnent des
perturbations du système (46%)
 9% des sociétés visées par l’extorsion et le chantage ont subi des dégâts évalués à
plus de 10 000 euros.
Selon la nature de l’attaque, le chiffre d’affaires a baissé de plus de 50 000 euros dans 3%
des cas.
À mesure que nous avançons vers un monde de plus en plus numérique où les données
n'ont jamais été aussi précieuses, la cybercriminalité peut revêtir plusieurs formes.
Les cybercriminels sont souvent à la recherche d'informations et, en raison du nombre
grandissant d'appareils connectés utilisés sur le lieu de travail (des smartphones et tablettes
aux imprimantes sans fil), le nombre de points d'accès potentiellement ciblés par les pirates
est également de plus en plus important.
Les données financières ne sont pas la seule cible des pirates.
Des informations telles que les noms et les adresses électroniques peuvent être utilisées
pour les usurpations d'identité, le spam ou le piratage d'autres comptes.
Pour un bon pirate, le summum est de pirater les entreprises qui servent d'autres
entreprises de plus grande taille.
On peut voir cela comme l'équivalent numérique de la pénétration par effraction dans un
magasin de matériel, dans le but d’avoir accès au mur du sous-sol, mur derrière lequel se
trouve la salle des coffres d'une banque centrale.
Une fois que les pirates ont accédé au système plus petit, ils sont mieux placés pour
accéder aux données des clients détenus par ses grandes sociétés clientes.

19
Article publier en 2017 par l’Institut pour criminologie belges de la KUL, rapport sur la notion de cyber attaque.
56
Comment la base de données de votre client pourrait-elle être compromise ?
Des virus, des vers et des chevaux de Troie (téléchargés à partir de sites ou d'e-mails
malveillants) peuvent libérer le code nécessaire pour qu'un pirate pénètre dans une base
de données et vole des informations.
 Utilisez un logiciel conçu pour les entreprises qui offre une protection du réseau, de
la messagerie et du terminal.
 Mettez toujours votre logiciel de sécurité à jour afin de bloquer les programmes
malveillants en constante évolution.
 Téléchargez les mises à jour logicielles pour vos programmes système car les anciens
programmes peuvent contenir des failles susceptibles d'être exploitées par les
pirates.
Le recours au cloud computing dans les entreprises françaises s’accroit largement.
20
Selon l'étude sur le cloud computing de l'IDG de 201617, 70 % des entreprises ont au
moins une infrastructure cloud.
Tripwire, quant à lui, a révélé que 90 % utilisent le cloud comme infrastructure et pour le
stockage de données y compris vitales.
Même si la sécurité reste, bien sûr, un sujet de préoccupation, les données sont
généralement plus en sécurité sur le cloud – stockées sur des serveurs extérieurs par une
société dont la réputation repose sur sa capacité à les protéger.
C'est pourquoi 64 % des entreprises interrogées par Tripwire considèrent le cloud comme
étant beaucoup plus sûr que les systèmes existants.
Heureusement, cette confiance est bien placée.
Selon l'étude BIS de 2015,19 seules 7 % des entreprises (grandes et petites) ont souffert
d'une violation sérieuse de leurs services cloud, cela étant généralement dû aux droits
d'accès ou à la protection insuffisante des mots de passe.
Un cloud sûr nécessite encore une gouvernance solide de la sécurité interne. Pensez
simplement à la porte d'entrée de Sony.
De nombreuses personnes utilisent leurs appareils personnels pour les tâches de bureau.

20
Rapport de l’Assemblée Nationale sur l’avenir de la cybersécurité européenne, enregistré le 14 novembre 2019
57
La politique BYOD (Apportez vos appareils personnels) des entreprises est un moyen
efficace de rentabiliser les Smartphones que les employés possèdent déjà.
21
Selon une étude HP consacrée à la mobilité a été réalisée auprès de 1 130 décideurs
informatiques de huit pays européens en 2015, l’adoption des terminaux mobiles devrait
augmenter au sein des entreprises d’ici 2020, les tablettes, smartphones, 2-en-1 et autres
progressant de respectivement 17 %, 11 %, 12 % et 5 %.
On estime qu'une application Android sur cinq contient une forme de programme
malveillant invasif, susceptible d'être transmis aux fichiers et systèmes de l'entreprise pour
surveiller les activités ou dérober des informations.
Dans une entreprise interrogée sur cinq, les failles de sécurité sont dues à l’utilisation de
terminaux personnels dans un contexte professionnel.
Ainsi, plus d’un tiers (36 %) des décideurs soucieux de la sécurité du BYOD déclarent que le
transfert des logiciels malveillants et des virus à partir d’appareils personnels représente
leur principale crainte.
Les employés qui se font dérober leur téléphone peuvent involontairement ouvrir la porte
aux pirates.
Un voleur de téléphone peut revendre l’appareil à un acheteur sur le marché noir.
Ce dernier peut alors en retirer les informations lui permettant d’accéder à l’entreprise de
la victime ou de pénétrer dans les systèmes d’un plus gros client.
Pourtant, moins de la moitié des décideurs informatiques (43 %) sont convaincus que les
dispositifs BYOD sont correctement protégés.
À titre de comparaison, 70 % estiment que les produits fournis aux employés par leur
entreprise sont sécurisés.

21
Politique stratégique de HP sur la notion de Cybersecurité en Europe 2015 << La politique BYOD >>
58
Comment sécuriser les appareils du personnel :
 Installez un outil de détection des menaces tel que X-Ray pour Android de Duo afin
de faciliter la détection des applications malveillantes et des codes suspects.
 Demandez aux employés d'activer l'effacement à distance (disponible gratuitement
pour Android, iPhone et Windows Phone ; sur abonnement pour BlackBerry) afin
que, en cas de perte, les données sensibles (professionnelles et personnelles)
puissent être effacées.
 Demandez aux employés d'activer le chiffrement sur leurs Smartphones afin de
protéger les données (cette option est activée par défaut sur les nouveaux
téléphones iOS et Android).
Le fondement de base de la cybersécurité est une bonne politique concernant les mots de
passe.
Et pourtant, 31 % des violations de sécurité les plus graves en 2015 étaient dues à un
incident lié au personnel.
Qu'il s'agisse du piratage d'un mot de passe faible, du vol de documents envoyés par
messagerie via une connexion non sécurisée ou de l'hameçonnage par e-mail d'un employé
en particulier, les pirates exploitent souvent les erreurs humaines
Comment aider votre personnel :
 Expliquez à votre personnel les meilleures pratiques concernant la cybersécurité et
organisez régulièrement des formations pour qu'ils soient informés des dernières
menaces.
 Développez un protocole de sécurité adapté à votre entreprise et aux types de
données qu'elle traite.
 Créez une équipe pour la communication de votre politique de cybersécurité aux
employés ainsi qu'aux clients et partenaires commerciaux.
Le cabinet de recherche IDC prévoit que le nombre de dispositifs connectés à Internet
atteindra les 30 milliards en 2020, contre une estimation de 13 milliards actuellement.

59
Alors que les ordinateurs de bureau sont sécurisés au moins par un mot de passe, et
idéalement par un logiciel de sécurité, les files d'attente et travaux d'impression ne sont
souvent pas protégés par ce type de protocole de sécurité.
Les imprimantes non sécurisées, ainsi que le matériel en réseau, peuvent être la proie de
logiciels de « sniffing (reniflage) », capables d'enregistrer les documents en attente
d'impression, le trafic sur le réseau, les noms et les mots de passe d'utilisateurs, le tout
étant retransmis au serveur du cybercriminel.
Il est important de noter ici que l'attaque Dyn fortement médiatisée était liée à un réseau
de caméras CCTV connectées à Internet et conçues par une seule entreprise, XiongMai
Technologies.
Selon la société de sécurité Flashpoint.
Cela indique que chaque appareil de votre réseau correspond à un point terminal et que
votre réseau n'est pas plus solide que son appareil le moins sécurisé.
Environ 97 % des entreprises disposent de pratiques de sécurité pour leurs ordinateurs de
bureau/ordinateurs portables, 77 % pour leurs appareils mobiles, mais seulement 57 %
appliquent des pratiques de sécurité à leurs imprimantes.
La seule façon de se protéger pour chaque entreprise est d'appliquer des pratiques de
sécurité à chacun de ses terminaux.
Se préparer à l'Internet des Objets
Supprimez ou désactivez les fonctionnalités inutiles du matériel.
Plus les fonctions sont nombreuses, plus le nombre de points de passage des pirates est
élevé.
Lorsque des pirates souhaitent pénétrer dans un réseau, ils peuvent déclencher une
attaque DDoS ; des milliers de machines infectées par un programme malveillant s'unissent
pour générer un trafic parasite tellement important que le réseau devient indisponible sous
le poids de l'attaque.
Souvent, les pirates DDoS souhaitent détourner l'attention des administrateurs du site en
gelant le système, pendant qu'ils dérobent des données ou installent des programmes
malveillants pour planifier des vols ultérieurs de données.

60
Certaines attaques DDoS sont le fait de « script kiddies », des pirates débutants qui
souhaitent simplement prendre le contrôle d'un site Web car ils en ont la capacité.
Même une interruption de quelques heures d'un site Web peut avoir un effet dévastateur
sur les résultats et la réputation d'une entreprise.
Comme conseil : investissez dans du matériel offrant une protection intégrée, comme
l'authentification avancée et les outils de chiffrement.
Alors comment sécuriser votre réseau ?
 Construisez des systèmes capables de vérifier les données circulant sur votre réseau.
Un pic d'activité soudain peut indiquer une attaque, alors qu'une activité constante mais
inexpliquée peut indiquer qu'un cheval de Troie transmet des données à son vaisseau-
mère.
 Filtrez tout le trafic afin de vous assurer que seul le trafic nécessaire à votre
entreprise se retrouve sur votre réseau.
 Vérifiez que chaque routeur, commutateur ou appareil connecté fonctionne avec les
mêmes fonctionnalités et logiciel de référence, et téléchargez toujours les mises à
jour logicielles.
Alors que les entreprises sont de plus en plus dépendantes d'Internet, il devient
indispensable de créer des défenses et une cybersécurité solide.
Aujourd'hui, les employés apportent leurs propres appareils au travail.
Les propriétaires utilisent des plates-formes de cloud computing et externalisent leurs
services techniques principaux.
Et plus de quatre millions de britanniques travaillent maintenant à leur domicile.
La cybersécurité devient plus difficile lorsque ni l'appareil, ni l'infrastructure, ni le lieu de
travail ne sont contrôlés.
De même, les smartphones nous ont appris qu’il est possible de travailler partout et
n'importe quand.
Dans un café aussi bien qu’au bureau, dans le train ou de chez soi.
Nous utilisons les réseaux Wifi publics pour traiter d'importantes quantités de données
professionnelles et personnelles, souvent via des smartphones peu sécurisés.
Ce changement n'échappe certainement pas à l'attention des criminels.

61
La sécurité souffre lorsque nous ne prêtons pas attention à nos conditions de travail.
Dans les années à venir, il faudra bien plus qu’un simple ajout d’antivirus à nos appareils ou
la modification de nos mots de passe tous les six mois.
Les entreprises devront adopter des mesures de sécurité améliorées, fonctionnant aussi
bien à distance que dans un bureau régi par un administrateur informatique.
Pour les organisations distribuées de demain, la cybersécurité repose sur une analyse
sophistiquée capable d'isoler les comportements inhabituels et une sécurité en couches
capable de protéger tous les points d'accès.
Analyse : enquêteur de la cybersécurité Même si votre site ne génère pas un trafic
important, il disposera de modèles.
L'utilisation d'outils d'analyse capables de mesurer et de noter l'activité peut faciliter la
détection des problèmes.
Ces outils fonctionnent en suivant et en décrivant le comportement normal dans un
premier temps afin de détecter les anomalies dans un second temps.
Après détection, les administrateurs peuvent passer à l'offensive et contrecarrer les
attaques avant qu'elles ne déclenchent un cyber-chaos.
Comme conseil :
Suivez et décrivez le comportement normal dans un premier temps afin de détecter les
anomalies dans un deuxième temps.
Organisation en couches :
Garder une longueur d'avance sur les pirates Parfois appelée « défense en profondeur », la
sécurité en couches protège chaque point d'accès de différentes manières.
Les approches courantes comprennent les certificats SSL à validation étendue rendant
difficile la falsification des identifiants nécessaires pour accéder à un réseau sécurisé.
Renforcer cela avec une authentification multifactorielle qui contraindrait les pirates à
casser plus qu'un simple mot de passe peut s'avérer utile.
Quelle que soit la technologie spécifique en œuvre, le principe qui sous-tend l'organisation
en couches est que toutes les zones sensibles de votre réseau d'entreprise soient
verrouillées d'une manière ou d'une autre.

62
Vos utilisateurs et partenaires devront sans doute redoubler d'effort et avoir besoin de plus
de temps pour accéder aux données importantes, mais tous ces inconvénients vous
permettront de gagner en tranquillité d'esprit pour votre entreprise.
Passer à l'action maintenant Investir dans un logiciel de cybersécurité et dans la formation
constitue la meilleure défense.
Commencez réaliser un audit de vos systèmes et de votre infrastructure.
Votre action est-elle suffisante ? Que pourriez-vous améliorer ?
La recherche sur la sécurité réalisée par Spiceworks24 a montré que les sources principales
des menaces de sécurité auxquelles les entreprises doivent faire face sont les :
 Ordinateurs portables et ordinateurs de bureau : 81 % externes et 80 % internes
 Appareils mobiles : 36 % externes et 38 % internes
 Imprimantes : 16 % externes et 16 % internes.
Laquelle de ces menaces nécessite des mesures de sécurité urgentes ?
Elles sont toutes concernées.
Cela semble tout simplement évident, mais un nombre inquiétant d'entreprises
sélectionnent encore avec parcimonie les appareils à sécuriser.
Le point de vue de HP est que tous les appareils qui se connectent à votre réseau doivent
être sécurisés.
Pour dire les choses simplement, votre réseau n'est pas plus sécurisé que votre appareil le
moins sécurisé.
La logique intuitive pourrait vous faire penser que la sécurisation d'une imprimante
connectée n'est pas aussi importante que la sécurisation de votre parc d'ordinateurs
portables.
Mais le risque est le même.
Les pirates sont réputés pour cibler les appareils tels que les imprimantes, ou n'importe
quel appareil intelligent qui se connecte à votre réseau.
Car ils savent que ces appareils sont généralement mal sécurisés, alors qu'ils offrent le
même niveau d'accès à votre réseau.

63
Il n'existe pas de solutions rapides en matière de cybersécurité.
Une défense solide nécessite une approche multidimensionnelle englobant les réseaux, les
appareils et le personnel.
Le choix de la technologie adaptée est un bon début :
HP équipe ses appareils des fonctions suivantes :
 HP WorkWise :
Lors de l'utilisation du Bluetooth, la machine se verrouille automatiquement lorsque vous
vous absentez et se déverrouille lorsque vous revenez.
 Sécurité biométrique :
La reconnaissance faciale et d'empreintes digitales permet l'accès aux utilisateurs
authentifiés par contrôle biométrique uniquement.
 Écrans HP SureView :
L'écran assombri empêche les curieux de voir le contenu de votre écran, protégeant ainsi
vos données confidentielles lorsque vous travaillez en déplacement.
 BIOS à réparation automatique HP SureStart :
L’ordinateur HP Elite contrôle son BIOS toutes les 15 minutes.
S'il détecte une anomalie, il réinitialise le PC à son état d'origine et éjecte tout intrus.
Les appareils de la gamme Elite de HP ne protégeront pas votre entreprise à eux seuls.
Mais ils constitueront une première ligne solide.
Pour accéder facilement à chaque appareil et service dont votre entreprise a besoin,
consultez l’outil HP Device as a Service (DaaS).
Vous pouvez choisir un appareil et un accessoire qui sont aussi uniques que vos besoins, le
tout géré à distance, optimisé et maintenu par HP.
Les Attaques par web :
En général, une attaque par Internet qui consiste à rediriger un navigateur vers un site
malveillant.

64
Botnet : Renvoie généralement à un programme automatisé conçu pour accéder et
contrôler les ordinateurs connectés à Internet sans que les propriétaires n'en soient
conscients.
Les ordinateurs sont souvent infectés par des programmes malveillants.
Les pirates utilisent les botnets pour déclencher des attaques de déni de service sur un site
Web.
Cheval de Troie :
Comparables aux virus et aux vers en termes d’incidences, les chevaux de Troie doivent être
installés par l’utilisateur et, par conséquent, ils sont souvent très bien dissimulés.
Les effets peuvent aller de la modification des paramètres de l’ordinateur à la suppression
de fichiers en passant par la création d’une « porte dérobée » permettant au pirate de
l’exploiter ultérieurement.
Gestion basée sur des stratégies :
En général, les outils de gestion des politiques définissent une norme pour établir ce que
certains utilisateurs peuvent et ne peuvent pas afficher, puis appliquent ces politiques à un
réseau entier. La cohérence garantit la sécurité (au moins, en théorie).
Hameçonnage :
Généralement effectué via e-mail, où un pirate demande des informations d’identification à
renseigner dans une boîte de dialogue ayant un aspect légitime.
Ingénierie sociale :
Cas dans lequel un pirate essaie de forcer un utilisateur autorisé à fournir des informations
confidentielles dans le but d’obtenir l’accès à un système.
Logiciel malveillant (Malware) :
Vaste catégorie de logiciels capables d’endommager, voire de désactiver, d’autres
systèmes. Les virus, vers et chevaux de Troie sont des exemples de programmes
malveillants.
De même, pour répondre aux besoins de l’étude Ponemon citée tout au long de cet eBook,
les programmes malveillants se distinguent des virus, car ils « sont présents dans le
terminal mais n’ont pas encore infiltré le réseau ».

65
Outils de prévention de la perte de données :
Vaste catégorie de logiciels dont l'objectif est de surveiller les données sensibles et de
bloquer les tentatives d'accès ou de copie par des personnes non autorisées.
Différentes approches permettent la protection au point d'accès (c'est-à-dire le terminal),
lors de la traversée du réseau, ou dans un système de fichiers.
Selon Gartner, ce marché a augmenté de 25 % en 2013.
Outils GRC (Governance, Risk and Compliance) :
Ils concernent des initiatives importantes et coordonnées au sein d’une entreprise, qui
visent à gérer et contrôler les opérations conformément aux réglementations et qui, par
conséquent, permettent de réduire les risques.
Périmètre réseau :
Catégorie générale décrivant la cyberdéfense au point où l’Internet public ou un autre
réseau public rencontre un réseau privé, géré localement.
Elle comprend généralement plusieurs couches d’appareils de types différents.
Systèmes de renseignement de sécurité :
Un grand nombre de renseignements de sécurité permettent d’obtenir et de synthétiser les
informations liées aux menaces.
Les systèmes varient de la méthode de connexion des responsables aux systèmes pour
détecter les anomalies du réseau.
Technologies de chiffrement :
Outils qui rendent les données en elles-mêmes illisibles sans un décodeur spécifique.
Sous l’impulsion des dernières menaces terroristes en France, certaines voix au sein du
gouvernement français ont plaidé en faveur d’une initiative européenne visant à la
limitation du chiffrement.
Plus récemment, le gouvernement a été contraint de revenir sur sa position concernant la
technologie de chiffrement suite à de sévères critiques.

66
Technologies de pare-feu :
Un autre terme générique qui décrit un type de dispositif utilisant des algorithmes et
d'autres technologies pour bloquer le trafic et empêcher les utilisateurs non autorisés à
pénétrer sur le réseau.
Les versions de nouvelle génération de ces dispositifs peuvent être efficaces car elles
intègrent des fonctions qui auparavant étaient gérées par des dispositifs distincts.
La détection des intrusions, par exemple.
Elles ont également tendance à être compatibles avec l'application, et reconnaissent par
conséquent la différence entre un trafic web provenant d'une mise en œuvre du service
Salesforce.com et d'une page Facebook.
Vers :
À la différence des virus qui se propagent lorsqu'un fichier hébergé est partagé, les vers
peuvent se reproduire quel que soit le fichier hébergé, par exemple un document Word ou
une feuille de calcul Excel, et n'ont donc pas besoin d'une autre interaction humaine pour
faire des ravages.
Les systèmes de messagerie instantanée sont bien connus pour leur propagation des vers,
comme l'a appris Skype à ses dépens en 2012.
b. Section 4.2 : Objectif de la cybersécurité :
La cyber sécurité est principalement née pour protéger les entreprises et les personnes
individuelles des arnaques et des fuites de données sur internet.
Il signalera qu’il n’y a pas que le fait de vous voler de l’argent qui peut fragiliser vos projets.
De jour en jour, des virus destinés à détruire les systèmes entiers d’une entreprise.
Lorsque ce dernier est envoyé sur votre site web ou alors dans le réseau de votre
entreprise, vous pouvez soit perdre vos données, soit les partager avec d’autres personnes
et autres.
C’est donc pour pallier à ce type de problème que la cybersécurité a vu le jour et nous
pouvons dire qu’elle fait bien son travail

En somme pour ce deuxième Chapitre nous retenons que la technologie donne un grand
regard vers le futur pour les auditeurs, bien que des complications se présenterons de par

67
la complexité du domaine, les solutions serons toujours application pour aider les auditeurs
a bien faire leur travail.
On assistera à l’apparition de nouvelles normes de nouveau apport de nouveau risque
auquel les auditeurs feront face car dans un monde en perpétuelle développement tout
change et les auditeurs se feront dans l’obligation de changer et d’adapter leurs méthodes
de travail au entreprises qui seront bientôt numérique.

68
III. Chapitre III : Approche Technique de cette Technologie
Ce dernier chapitre nous montre l’aspect technique de la technologie dans le domaine de
l’audit a savoir que nous allons voir des instruments technologique d’audit qui vont
vraiment révolutionné le domaine de l’audit si elle était appliquer dans les règles de l’art
parce que nous l’avons dit le but de la technologie est de faciliter le processus d’audit afin
que les auditeurs puisse exercer de manière fuite et efficacement leur travail.
On aura les feras dans les lignes qui suivent.

A. Section 1 : Le Logiciel Audirex

AUDIREX est le premier logiciel d’audit et de révision des comptes automatis és
Les types de version du logiciel
1- la version de formation
2- La version professionnelle
3- La version ultimate

Version de formation :
Dans la version FORMATION, On ne peut qu’auditer que la balance de formation.

Version professionnelle :
Dans la version professionnelle on peut qu’importer et auditer toutes les balances.

Version ultimate :
On a l’avantages des deux premières versions et un coaching professionnel gratuitement.

69
Voici les détails des tests au sein de ce logiciel :
1. Cycle des capitaux propres
Lead
Règles et méthodes comptables
Revue analytique
Contrôle de l’affectation du résultat de l’exercice précédent
Tableau de mouvements des capitaux propres
Mémo de section des capitaux propres

2. Chiffre d’affaires
Balance générale auditée / Balance et états définitifs N-1 / Rapports N-1
Lead
Règles et méthodes comptables
Revue analytique
Contrôle interne
Test sur la validation du CA
Test sur le Cut-vente et avoirs
Cadrage CA déclaré / CA Comptabilisé
Test sur les produits accessoires
Examen analytique validation CA
Test sur le contrôle séquentiel des factures
Mémo de section

3. Cycle des stocks

Lead
Revue analytique
Evaluation Contrôle interne Cycle Stock
Règles et méthodes comptables
Assistance à inventaire physique – Mémo
Test sur les quantités
Cut-off IP réception
Cut -of IP expédition
Test de validation et procédure IP
Rapprochement BG – fichier des stocks
70
Test sur la variation des stocks
Validation des méthodes de valorisation des stocks
Validation des méthodes de dépréciation des stocks
Mémo de section des stocks

4. Cycle des Immobilisations

Lead
Revue analytique du cycle
Evaluation Contrôle interne cycle des immobilisations
Règles et méthodes comptables
Cadrage fichier immobilisation / balance générale
Tableau de mouvement des immobilisations corporelles
Tests sur les acquisitions
Tests sur les cessions
Contrôle des amortissements
Contrôle des immobilisations en cours (cas particulier)
Contrôle de la correcte distinction entre charges et immobilisations

5. Cycle des Fournisseurs

Lead
Revue analytique du cycle
Evaluation Contrôle interne Cycle des achats
Méthodes et principes comptables
Cadrage Balance Auxiliaire et Balance Générale
Procédure de circularisation et confirmation
Etat des circularisations
Procédure alternative fournisseur
Cut-off fournisseurs et avoirs
Opérations en devises
Contrôles Facture et BR
Revue des Factures non parvenues
Revue CCA et CAP
Test sur la recherche de passif non comptabilisé
Analyse des fournisseurs débiteurs
Examen de l’apurement et de l’antériorité des soldes au 31 décembre
Test sur les débits post clôtures

71
6. Cycle personnel
Lead
Revue analytique du cycle
Evaluation Contrôle interne Cycle personnel
Règles et méthodes comptables
Rapprochement BG/ Livre de paie
Test sur les cotisations fiscales
Test sur les cotisations sociales
Contrôle DISA- Etat 301- Livre de paie
Test sur le compte personnel rémunération due
Contrôle des provisions pour engagements envers le personnel

7. Trésorerie
LEAD
Revue analytique du cycle
Evaluation Contrôle interne Cycle impôts et taxes
Règles et méthodes comptables
Circularisations et rapprochements bancaires
Contrôle de l’apurement des écritures en rapprochement
Test sur les débits post clôture
Test sur ls encaissements pré clôture
Validation de la caisse
Validation des emprunts et des dettes et frais financiers
Mémo de section

8. Charges d’exploitation
Revue analytique du cycle
Examen des charges comptabilisées d’avance
L’ensemble de ces éléments de test sont intégrés dans le menu il suffirait tout simplement
de choisir le test correspondant à l'audit que nous voulons effectuer et de suivre la
procédure.
Le logiciel est paramétré de telles sorte que le travail effectué par l’auditeurs de façon
manuel est semi-automatisé parce qu’elle est en phase de prototype, elle n’est pas doté
d’une IA capable de faire tout le travail à la place de l’homme.

72
Parce qu'il faut insérer manuellement les données, les questionnaires sont insérer de façon
manuelle selon le type d’entreprise.
Ainsi dans l'image si dessous on peut constater l'interface du logiciel .

INTERFACE DU LOGICIEL AUDIREX

Voici en gros l’interface du logiciel avec les tests insérer dans la barre menu Démarrer
C’est la phase de démarrage du Test C’est là que tout commence.
Dans notre cas nous allons effectuer un audit sur I200-CAISSE :
C’est-à-dire la validation du compte Caisse dans les test qui concerne la trésorerie.

73
La première chose a faire c’est l’ouverture de la feuille de test chanson l’image ci-dessous :

Cette ouverture de la page de test va nous afficher le test correspondant à savoir l’intitulé
du test qui est l'audit de la caisse qui contient :
 L’objectif de notre test
 La démarche d'audit (contrôle audit)
 La conclusion ou le résultat

74
On peut bien le constater sur l'image :

Et ensuite vient l’import des données qui s’avères très primordial pour le test c’est-à-dire
que nous allons nous assurer que le compte caisse est valide qu’elle respecte belle et bien
les conditions et norme d’audit et de contrôle.
Celle -ci constitue la première phase d'ouverture du test.
Dans notre cas ici on a un tableau de cadrage des PV d'inventaire qui va nous servir de
guide pour voir un peut l’évolution du travail.
Alors comme données nous avons le Solde du PV d’inventaire qui est de : 500.000 FCFA
75
Le solde de la Balance général qui est de : 300.000 FCFA

Import des données

Dans l’importation des données nous avons seulement besoin du solde la balance générale
et du solde du PV d’inventaire pour pouvoir déterminer l’écart pour pouvoir faire
l’ajustement et conclure.

Le premier questionnaire le logiciel nous demande quelle est le solde de la Balance général
qui est de 300.000 FCFA comme le montre l’image ci-dessus.
Après l’import des données nous aurons droit à plusieurs questionnaires pour la validation
du compte caisse.
La première question se base sur l’existence.
Es ce que le Procès verbale existe vraiment ?

76
Vous le constateras sur l'image ci-dessous.

Notre réponse va être : Oui

Parce que notre procès verbal d’inventaire existe belle et bien parce qu'on nous signale que
la source de notre PV d’inventaire de caisse au 31 Décembre à été signé par deux
personnes sur l’image.
Ceux qui prouve l’existence de notre Procès verbale et donc justifie notre réponse.
En conclusion notre Procès existe vraiment.

77
Dans l’assurance de la validité le logiciel nous demande es ce que le Procès verbale
d’inventaire respecte les conditions de validité.

Es ce que notre Procès respecte les conditions donc  : Oui

78
Ensuite le logiciel va s’intéresser au respect des conditions d’audit par comme on peut le
constater dans l’image qui suit.
Le logiciel va nous demander si le Procès respecte les conditions de contrôle interne à
savoir :
La validation , l’autorisation, et la séparation des tâche.

Notre réponse sera : Oui

79
Ensuite le logiciel va nous demander sur la correcte comptabilisation du compte en nous
demander si le compte utilisé pour la comptabilisation des transactions est conforme au
Plan comptable importer aussi pendant le paramétrage du logiciel.

La réponse est : Oui

A savoir que le plan comptable importer c’est le SYS-OHADA.

80
Par la suite le logiciel va nous demander es ce que le montant présent ici est un bon
montant
Et la question sera es ce que le PV d’inventaire ne présente pas d’écart de solde avec la
balance ?
On va dire non parce effectivement si on fait la différence entre le solde du PV verbale
d’inventaire et du solde de la balance générale on option un écart de solde qui est de
200.000 FCFA.

Alors notre réponse sera : Non

81
Le logiciel nous demande après si réellement le Procès verbale d’inventaire laisse t’il
apparaître les transactions comptabilisées sur la bonne période c’est-à-dire que es ce que la
séparation des exercices est respectée.

La réponse est : Oui

82
Enfin le logiciel va conclure le test pour nous afficher les résultats

La Réponse est : Oui

83
 Conclusion du test
Le logiciel nous affiche la conclusion en nous affichant l’ajustement à faire selon
les règles de l’art comme t' elle a été paramétré.

Et le logiciel nous propose un ajustement pour sous-évaluation pour un

montant de 200.000 FCFA au 31/12/N
Telle est la conclusion de ce test.

84
Une fois validé le rapport est directement généré de façon automatique comme
suit :

Rapport automatiquement généré

85
 B. Section 2 : Prototype holographique pour la visualisation de donnée
Le Prototype Holographique se nomme Holofan, c’est une hélice qui représente des images
Holographiques pour pouvoir visualiser des données.
Bien encore en phase d’expérimentation, elle ne peut encore être utilisée pour visualiser
des données en audit et dans d’autre domaines complexes parce qu’elle respecte une
schématisation bien précise, des étapes pour pouvoir représenter ces données de façon
virtuelle et augmenter ( réalité virtuelle).

Vous pouvez constater sur cette image un ensemble d’hélice holographique reliée entre
elle pour former une seule image.
Elle pourrait être utile dans le secteur de l’audit et bien d’autres et nous assisterons à une
dématérialisation des données physiques

86
( support papier) en données virtuelles avancées pour les entreprises ceux qui réduirait les
gaz à effets de serres car pour produire du papier il faut énormément d’énergie et
énormément d’arbre.
On pourrait lutter contre l’avancer du désert grave à la diminution de la coupe des arbres
qui pourrait être d’une aide contre le réchauffement climatique.

L’hologramme de Jean-Luc Mélenchon, lors de la dernière élection présidentielle en

France, en est un symbole.
Le candidat a envoyé un message fort comme une fracture avec le monde d’hier et une
grande implication dans le monde de demain.
Par ailleurs, cette technologie permet une simultanéité de la délivrance de l’information.
On peut ainsi facilement imaginer son utilité pour de grandes entreprises
multinationales souhaitant procéder à un effet d’annonce stratégique auprès de
l’ensemble de leurs employés de partout dans le monde et aussi Permettre à des métiers
Comme l’audit de briser les distances entres les auditeurs et les dirigeants ainsi que les
employés des entités.

87
Image du dit Prototype

88
Étapes pour créer un Hologramme compatible à cette technologie
1. Installation du 3Ds-Player V1.4
Le 3Ds-Player est un comparant qui va permettre la lecture des données sur le prototype
holographique.
L’interface de cette composante est un peu comme le tableau de bord de notre hélice
holographique qui va nous permettre d’importer nos données que nous voulons afficher
grâce au point d’accès wifi que notre hélice vas nous partager dans la liste de nos
Connexion que nous avons sur notre PC portable.
2. Installation du A3-PCSoftware
Il s’agit d’une composante qui va nous permettre de transformer les données brutes que
nous voulons importer dans le 3DS-Player (lecteur) en fichier BIN ( une image de CD ou de
DVD, c'est-à-dire une copie binaire de son contenu sous forme d'un fichier).
Une fois ces composantes installées on importe les données dans le 2 ème fichier qui va
transformer nos données brutes en fichier BIN qui sera enregistrée dans le bureau de notre
ordinateur.
Une fois cette transformation faite on importe ces données BIN dans notre 1 er fichier.
Une fois notre Holofan allumé on le connecte à notre PC portable par le 3DS-PLAYER V1.4
par le biais du point d’accès partager par le dispositif holographique.
Une fois fais on laisse le dispositif télécharger automatiquement les données qui pourront
ensuite être visualiser sous forme d’hologramme.

89
 C.... Section 3 : logiciel de Cybersecurité BOXCRYPTOR
Le logiciel BOXCRYPTOR est un logiciel de Cybersecurité sécurité qui va nous permettre de
sécuriser les données de notre entreprise face au intrus qui tenterai de nous dérobés ces
données pour pouvoir nuire à notre entreprise.

Dans ce logiciel nous allons établir un chiffrage de données qui va interdire l’accès à des
membres non autorisée qui doivent détenir ou soit un mot de passe pour pouvoir voir les
données chiffrées ou détenir d’une autorisation spéciale permis par l’administrateur du
logiciel pour pouvoir accéder au données.
Voici en gros le paramétrage qu’il faut faire.
Faut d’abord crée le compte BOXCRYPTOR administrateur
C’est ce compte qui contient les informations de l’administrateur et de l’entité, les données
chiffrées sur le bureau de l’administrateur.
C’est ceux ce compte qui contient le mot de passe, les données de sécurité pour vont nous
permettre de rendre plus sûr l’utilisation des données confidentielles.
Comme vous pouvez voir en dessous les l’images.

90
 Informations personnelles du compte administrateur

Le compte est bloqué parce que nous sommes sur une version démo.

91
Plus bas :
le mot de passe du compte administrateur qui va nous servir pour créer le Master-
password ( un mot de passe de l’organisation).
que les employés vont utiliser pour se connecter et selon les restrictions et les autorités
accordé par l’administrateur.

92
A ce niveau on a la possibilité de créer un groupe Sécuriser en mettant uniquement que des
personnes Autorisées par l’administrateur pour avoir accès au données chiffrées.

93
Dans les paramètres avancés du compte administrateur on a la possibilité d’exposer une
clés de sécurité par mesure de précaution ou de créer une clés de sécurité qui sera utilisée
uniquement que pour ouvrir le logiciel et avoir accès au données chiffrées d’une
importance capitale.
On peut paramétrer le logiciel de telles sorte que le logiciel exige la clés même après avoir
inséré le mot de passe qui est vraiment un obstacle pour les Cybercriminels.

94
 La création du compte de l’organisation
Après la création du compte administrateur la deuxième étape consiste à créer le compte
de l’organisation et de la paramétrée.
La création du compte se fera de façon automatique vu que les données ont déjà été inséré
dans le compte administrateur.
Et le paramétrage doit se faire manuellement.

95
Ensuite la création du Master Key le mot de pass de l’organisation qui va permettre au
employés autorisée par l’administrateur d’avoir accès au logiciel.

L’image qui suite est le cœur de notre système parce que nous avons la possibilité de
choisir des utilisateurs et des administrateurs qui vont gérer le compte de l’organisation,
mais ne se fera pas sans que le compte administrateur ne soit informé des activités et de
tous qui s’opère dans l’organisation.

96
97
A ce niveau ce sont les groupes créer pour faciliter le travail dans l’entité et le partage
sécuriser des données sous autorisation du compte administrateur.

98
Après cette étape nous devons mettre en place une politique qui va nous permettre de bien
gérer notre entité afin d’éviter l’anarchie totale, le désordre et la fuite de données qui
pourrait nuire.

99
Par la suite on peut vérifier facilement les activités qui ont été menées par l’ensemble des
employés dans le compte organisation.
C’est-à-dire qu’à chaque fois qu’il y’a une connexion dans notre logiciel on peut voir le nom
de la personne, les coordonnées de la personne.
Et quand cette personne ne respecte pas la politique qui a été mise en place par
l’administrateur dans le logiciel elle peut bloqué l’accès aux données pour cette personne
afin d’éviter qu’il es une fuite d’information dans le système de Cybersecurité ceux qui peut
être bénéfique pour la santé de l’entreprise.
Et en matière d’audit comme on le dit les informations de l’entité doivent rester en
l’interne.
Si ces informations cruciales tombait dans les mains de personnes mal intentionné sa
pourrait conduire l’entité a sa perte.
Généralement c’est les concurrents qui peuvent être capable de préparer des hacking pour
soutirer des informations importantes à des entreprises pour pouvoir connaître leur secret
et les nuire pour s’améliorer et avoir une part de marché plus grande avoir une influence,
ou un particulier qui s’y connais en hacking qui veut simplement voler une somme
astronomique d’argent qui devait normalement servir pour financer les activités de
l’entreprise infectées par les Cybercriminels.
Et en matière d’audit la fuite d’information est vraiment un risque à prendre en compte.
Et comme on peut le voir dans l’image qui suit on peut faire un contrôle sur qui est l’intrus
dans notre système de Cybersecurité et qui a tenter de faire qu’elle acte contraire à nos
politiques parce que généralement avant que l’agression ne soit externe elle est d’abord
interne.

100
Illustration du contrôle des activités des employés

101
 Conclusions
L’audit depuis des décennies est axés sur l’analyse et les diagnostics des entités qui font
face aux risques pouvant les détruires et grâce aux nouvelles technologies de l’information,
on assiste à une nouvelle évolution des analyses et de nouvelles innovations qui vont
changer le monde des auditeurs dans leur travail, grâce à des outils comme le data-
analytics ou le Big Data utiliser par certains cabinet d’audit comme PWC, KPMG qui font
partir des BIG FORT les techniques traditionnelles basées sur les échantillons d’analyse de
données auront tendance à faire place aux techniques automatisées, ainsi les auditeurs
devrons avoir de nouvelles compétences en matière de technologie pour pouvoir effectuer
leur analyse.
Un autre facteur auquel les auditeurs seront confrontés serait, la fuite de données aux sein
des entités car les données au sein des entités devrons rester confidentielles, et avec la
technologie en parfaite évolution, on risquerait d’assister à des failles technologiques qui
donneront l’occasion aux Cybercriminels d’accéder à tout un système de données, de les
déchiffrés et de nuire à l’entité, mais grâce à la Cybersecurité , les réviseurs d’entités seront
à mesure de garder les informations sous haute sécurité et de garder le contrôle sur le
système d’information et de contrôle de l’entité.
La technologie avec ces outils en sont sein permettrons à l’audit de connaître un nouvel
essor, une nouvelle ère, de nouvelle connaissance à acquérir et une efficacité plus accrue
pour les auditeurs de demain.

102
 Bibliographie
 Raphael Yende. SUPPORT DE COURS DE L’AUDIT DES SYSTEMES D’INFORMATION
(IN-FORMATIQUE). Licence. Audit des systèmes d’information, Congo-Kinshasa. 2018.
 Information Technology Control and Audit ; Frederick Gallegos, Sandra Senft, et al.
2nd Edition.
 Internal Audit: Efficiency through Automation; David Coderre.; 1st Edition.
 Information Technology Control and Audit, de Gallegos, Manson et Allen-Senft,
ISACA.
 Manuel de préparation CISA couramment appelé le CISA Review Manual.
 Guide d'audit des systèmes d'information, Edition française faite par l'AFAI
 Christian Aghroum, Les mots pour comprendre la cybersécurité  : Et profiter
sereinement d'Internet, Lignes de Repères Editions, 1er octobre 2010
 Nicolas Arpagian, La Cybersécurité, Paris, PUF, coll. « Que sais-je ? ».
 Bertrand Boyer, Cyberstratégie, l’art de la guerre numérique, Nuvis, 1 er juillet 2012.
 Bertrand Boyer, Cybertactique  : conduire la guerre numérique, Nuvis, 1er janvier 2014.
 Hugo Loiseau, Daniel Ventre, Hartmut Aden (Eds.), Cybersecurity in Humanities and
Social Sciences : A Research Methods Approach, Wiley-ISTE, novembre 2020.
 Myriam Quéméner et Jean-Paul Pinte, Cybersécurité des acteurs économiques :
Risques, réponses stratégiques et juridiques, Paris, Hermes Science Publications, coll.
« Cyberconflits et cybercriminalité », 13 décembre 2012.

103
 Webographie
SUPPORT DE COURS DE L’AUDIT DES SYSTEMES D’INFORMATION
https://hal.archives-ouvertes.fr
Human and machine collaboration in the audit
https://www.pwc.fr
Utiliser la technologie pour transformer le processus d’audit
https://www.journaldunet.com
Proposition d’une nouvelle approche de la relation entre la taille de
l’auditeur et la qualité de l’audit : l’importance de la technologie d’audit.
https://www.cairn.info

104
 Tables des matières
Remerciement……………………………………………………………………
………………………….……1
Sommaire…………………………………………………………………………
………………………….……..2
Introduction
Général……………………………………………………………………………
……………..3
I. Aperçu Général sur L’audit et la technologie………….….
……………..……..……6
A. Section 1 : Définition de l’audit et de la Technologie…………..…………..8
a. Section 1.1 : Définition de l’audit……………………..…………..…......8
b. Section 1.2 : Définition de la technologie………………………………8
B. Section 2 : types d’audit et de technologie…………..…….………………….10
a. Section 2.1 : types
d’audits…………………………………………………..10
b. Section 2.2 : Les types de
technologie………………………………….11
C. Section 3 : Les objectifs de l’audit et de la technologie dans les
entreprises…………………………………………………………………………….….……12
a. Section 3.1 : Les objectifs de l’audit…………………………………….
….12
b. Section 3.2 : Les objectifs de la technologie………………..……..
…..12
II. Chapitre II : L’audit et les changements technologiques
apportée……….13
A. Section 1 : Les nouvelles technologies au service de l’audit….…….
…..13
B. Section 2 : Importance de la technologie dans le domaine d’audit…35
C. Section 3 : Les transformations à mettre en place au sein des
équipes...............................................................................................43
D. Section 4 : Cybersécurité………………………………………………….………….…44
105
 a. Section 4.1 : Définition……………….……..………….………….…………44
b. Section 4.2 : Objectifs de la Cybersecurité……………………………
67
III. Chapitre 3 : Approche Technique de cette
Technologies…………….......….69
A. Section 1 : Logiciel
Audirex……………………………………………………….………
69
B. Section 2 : Prototype holographique de visualisation de
donnée…....86
C. Section 3 : Logiciel de Cybersecurité
BOXCRYPTOR……………………..…..90
Bibliographie………………………………………………………………………………..…..103
Webographie…………………………………………............................................104
Tables des matières………………………………………..………………………..………105

106