Cas pratique d’Audit des SI de la Société A2M

I. Objet de la mission :
Une mission d’audit du système d’information de la Société A2M a été réalisée, à partir
du 06 Décembre 2019. Le but est d’analyser les systèmes d’information et de recenser
les risques inhérents, ainsi que de donner les recommandations nécessaires pour
élaborer un plan d’action.
II. Champs de la mission :
Cet audit a démarré par une réunion d’ouverture tenue en présence du Directeur
Général Délégué de la Société, le Directeur du Contrôle de Gestion & Système
d’information et le responsable de la Division Système d’information.
III. Présentation de la structure en charge du système d’information de la société :
La structure en charge du système d’information de la société A2M est érigée au rang
d’une Direction qui s’intitule Direction Contrôle de Gestion et Système d’Information.
Cette Direction est composée de deux Divisions :
 Division de contrôle de gestion ;
 Division du système d’information.
La Division du système d’information coiffe trois services :
 Service Développement ;
 Service Matériel et réseaux ;
 Service Exploitation et administration Base de données.
IV. Analyses par domaine :
1. Organisation de la structure du Système d’information :
L’effectif total alloué à la Division SI est de 4 personnes (y compris le responsable de la
Division). Absence des fiches de poste décrivant les missions et les attributions des
entités relevant de la Division SI.
Le responsable de la Division SI s’apprête dans environ 3 ans à un départ en retraite.
Les entretiens réalisés avec l’équipe SI ont pu révéler un besoin en formation afin de
pouvoir suivre les orientations de la société. A la date de l’audit, il n’existe ni un plan
d’action informatique, ni une politique de sécurité.
2. Les Réseaux et les moyens de communication ;
Selon les entretiens effectués, nous avons constaté que le réseau connait des pannes
répétitives, notamment au niveau des agences, cette situation perturbe
considérablement le mode opérationnel de l’entreprise, surtout pendant les périodes des
ventes.
Bien que la Société A2M dispose d’un pare-feu internet et un proxy, la connexion
internet est généralisée pour l’ensemble du personnel et aucune restriction sur les sites
ou les utilisateurs n’a été notée. Le monitoring du pare-feu et du proxy n’est pas réalisé.
Aucun serveur de mise à jour et des patchs de sécurité ou d’antivirus n’est installé sur
l’environnement informatique.
3. La sécurité physique des données ;
L’accès à la salle machine est réservé au personnel relevant de la Division SI. D’après les
entretiens avec les responsables, les deux clefs de la salle sont à la disposition du Chef
de la Division et du Chef de service matériel et réseau ;
Nous avons remarqué l’absence des étiquetages au niveau du matériel installé dans la
salle machine. La salle machine contient de la documentation technique éparpillée et qui
doit être normalement classée dans des endroits spécifiques à l’archivage.
 Cas pratique d’Audit des SI de la Société A2M

Les postes utilisateurs ne sont pas dotés de moyens de protection physiques (cadenas,
câbles de sécurité, etc ...)
4. Les accès logiques des utilisateurs ;
La création des comptes utilisateurs fait objet d’appel téléphonique du demandeur à
l’équipe informatique, ce dernier fournit les informations concernant le login et le mot
de passe par téléphone à la personne concernée.
Il n’existe aucune procédure décrivant le mode opératoire de la gestion des comptes
utilisateurs.
5. La gestion du changement ;
Les projets d’envergure au niveau de la société sont gérés en collaboration avec les
filiales dans le cadre d’un comité de pilotage mis en place à cet effet. Les modifications
au niveau de l’environnement informatique (base de données, domaine, applications,
serveurs ... etc) se font au fil de l’eau, les modifications effectuées ne sont pas
documentées.
6. La gestion des incidents ;
La gestion des demandes d’incident émanant des utilisateurs se fait essentiellement par
des communications téléphoniques.
7. La sauvegarde :
Chaque responsable informatique se charge de sauvegarder les applications, les serveurs
et les bases de données dont il est en charge selon son propre planning.
8. La documentation et archivage ;
Il a été constaté l’absence de guides et de manuels utilisateurs sur l’ensemble des
applications ;
9. La maintenance et parc informatique ;
Le parc informatique est homogène, il est composé essentiellement de postes de marque
HP et DELL avec une moyenne d’âge d’environ 3 ans. Les contrats des acquisitions
contractées par la société X Rabat avec les fournisseurs du matériel informatique
exigent une garantie de 3 ans.
10. Le plan de continuité ;
Les entretiens réalisés avec l’équipe du Système d’Information font ressortir une
absence d’un plan de continuité d’activité.
11. Satisfaction des utilisateurs :
Les chefs de projet et les commerciaux interviewés ont tous exprimé leurs besoins en
formations spécifiques dans l’exploitation des applications. L’ensemble des personnes
interviewées n’ont pas bénéficié de formations dans les applications et que seule leur
propre auto formation leur permet d’exploiter le système.
Questions :
1) Elaborer un organigramme de Direction Contrôle de Gestion et Système
d’Information.
2) Définir les concepts soulignés.
3) Elaborer un schéma réseaux et télécoms.
4) Recenser les dispositifs de sécurité mise en œuvre par la société A2M.
5) Enumérer les bonnes pratiques de la société A2M en terme de SI.
6) Enumérer les risques relatifs au SI de la société A2M.