Cours ASI Definitif

2021-12-11
Université Sidi Mohamed Ben Abdellah 1

Ecole Nationale de Commerce et de
Gestion
National School of Management
Route d’Immouzar, B.P A 81
30000 FES-MAROC
AUDIT DES SYSTÈMES D’INFORMATION
Préparé par TAOUFIK EL BOUZEKRI EL IDRISSI

Ecole Nationale de Commerce et de Gestion
Université Sidi Mohamed Ben Abdellah-Fès
Taoufik_desa@hotmail.com
Année universitaire
2020/2021
Objectifs du cours:
2
Les principaux objectifs de ce cours sont d'amener les étudiants à :
 Comprendre le vocabulaire et les concepts de base associés à l’ audit des SI

 Définition des différents types d'audit;
 Maîtriser les fondamentaux et utiliser les outils essentiels à la fonction
d’audit appliqués aux systèmes d'information;
 Appréhender les méthodes et critères pouvant faciliter la gestion des
risques
 Maîtriser les référentiels associés aux systèmes d’information.
 Etre en mesure de réaliser un audit SI dans l’entreprise de la phase
planification jusqu’au suivi des actions d’amélioration;
 Comprendre et expliquer en quoi l’audit des SI peut améliorer la
compétitivité des entreprises
1
2021-12-11
Sujets abordés
3
 Aperçu sur la genèse de la pratique d’audit

 L'audit des systèmes d'information (SI) : définition et enjeux
 Démarche d'audit des systèmes d’information
 Différent thèmes à analyser dans le cadre d’un audit des SI
 Typologie de l'audit des systèmes d’information
 Les référentiels d'audit des systèmes d’information
 Audit des systèmes d’information dans un cadre CAC
Aperçu sur la genèse de la pratique d’audit

4
Audit : Définition et origines

Etymologie: Audit vient du verbe latin «audire» qui veut dire «écouter»
La théorie fondamentale de l’audit à des origines très anciennes : Sumériens,
Egyptiens, phéniciens, Grecs, Romains ....
Le besoin d’établissement d’une information objective entre les partenaires

économiques au 2ème millénaire avant JC a fait des sumériens les premiers adeptes
de la démarche de contrôle et de normalisation
•Dès le 3ème siècle avant JC, nomination de questeurs ayant pour mission de
contrôler les comptabilités par les gouverneurs romains et à cette époque qui
Historique: apparut le terme audit du latin «audire»;
•Jusqu'à la fin du 19ème siècle, la finalité d'audit était la détection des fraudes
sous la demande des pouvoirs publics, ainsi les modes de contrôle se basaient sur la
vérification détaillée et exhaustive des pièces comptables;
•Premier cabinet d'audit fut fondé au 19ème siècle à Londres;

•Au milieu du 20ème siècle, la finalité d'audit est devenue de porter un jugement sur
la validité des comptes annuels suite à la croissance de la taille des organisations
contrôlées.
2
2021-12-11

5
Audit : Définition et origines (suite)
Un audit est un processus permanent ou ponctuel, par lequel une

fonction de l’entreprise est évaluée par une ou plusieurs personnes qui
n’exercent pas cette fonction dans l’entreprise
Une entreprise souhaite un audit d’une de ses fonctions parce que ses
responsables y perçoivent un dysfonctionnement ou des possibilités
d’amélioration, ou bien veulent comprendre la « vraie » réalité de
cette fonction, c'est-à-dire au-delà de ce qui en est dit ou de ce
qu'elle paraît être.

6
3
2021-12-11

7
Le contrôle Vs l’audit
 Le terme contrôle est fréquemment associé à celui d'audit; la différence

entre les deux notions peut s'expliquer par référence à la théorie des
ensembles puisque la mise en oeuvre de l'audit implique de procéder à
différents contrôles.
 L'audit englobe ainsi l'ensemble des procédures et techniques de contrôle

constituant l'examen approfondi par un professionnel et reposant sur une
méthodologie. Le contrôle se présente donc comme un outil d'audit,
néanmoins ce dernier comprend une opinion qui est le résultat des contrôles.

8
L’audit : Pour qui? Et Pourquoi?

Pour qui ?
 Les dirigeants (qu’a-t-on fait? peut-on faire mieux? )
 Les actionnaires actuels (résultats, situation financière peut-on faire
mieux? )
 Les actionnaires potentiels (doit-on acheter? )
 Les salariés (suis-je dans une situation d’emploi précaire? )
 Les fournisseurs(puis-je traiter? serai-je payé? )
 Les clients (puis-je traiter? serai-je servi durablement? )
 L’Etat(résultat fiscal? )
Pourquoi?
 Nécessité de confirmer la validité des informations données par
l’entreprise.
4
2021-12-11

9
Types d’audit
Types d’audit Autres audits spécifiques
Audit financier Audit intégré (combinant les aspects financiers et
opérationnels);
Audit Audit administratifs (évaluation de l'efficacité
opérationnel opérationnelle /productivité);
Audit qualité Audit du système d'information;
Audit social Audit spécialisé (domaine spécifique, démarche
standardisée,...);

10
Selon quelle démarche et avec quels outils ?

Pour auditer, il faut :
 Un besoin clairement exprimé

 Un périmètre bien défini
 Une méthode formelle
 Des outils
 Des moyens et des compétences
5
2021-12-11

11
Les objectifs de l’audit

4 objectifs permanents :
Efficacité La capacité à atteindre les objectifs. Politique de DG
respectée ou non ?
Efficience Les ressources nécessaires de mise en œuvre des politiques
consommées sans gaspillage ?
Economie Les ressources pour mise en œuvre des politiques de la DG :

obtenues au moindre coût ?
Sécurité Les ressources pour mise en œuvre des politiques de la DG

sont-elles préservées.
L'audit des systèmes d'information

12
 Le système d’information
 L’audit du système d’information
6
2021-12-11

13
Un système
 Le mot système vient du bas latin systema et du grec sustêma qui signifie «
organisation, ensemble ».
 Il existe de nombreux systèmes : système nerveux, philosophique, politique,

d’information, etc.
 Cependant le terme système quel que soit le domaine dans lequel il est
employé possède plus ou moins le même sens : il s’agit d’un ensemble
d’éléments interagissant entre eux selon certains principes ou règles.

14
Une information
 Information vient du verbe latin informare qui signifie « donner
forme ou se former une idée de ».
 Etymologiquement, l’information est donc ce qui donne forme à

l’esprit. Au sens pratique, une information peut être définie
comme toute connaissance qui peut créer un effet.
7
2021-12-11

15
Un Système d’Information
 Un système d’information est un ensemble organisé de ressources

de l’entreprise qui permettent la bonne gestion de l’information
(sa collecte, son stockage, son traitement et sa distribution).
Robert Reix (2004)
 Reix et Rowe (2002, page 11) : « Un système d’information est un

ensemble d’acteurs sociaux qui mémorisent et transforment des
représentations via des technologies de l’information et des
modes opératoires. ».
Le système d’information
16
Le système d'information d’une organisation
 Le système d'information d’une organisation est un ensemble de

RESSOURCES qui, en interaction, transforment des informations
élémentaires, préalablement saisies et stockées, en informations
élaborées.
 Ces différentes FONCTIONS de l’information permettent aux
dirigeants de prendre des décisions adaptées.
 Elles permettent également aux autres utilisateurs de contribuer au

fonctionnement de l’organisation au travers de différents ROLES.
8
2021-12-11
Schéma d’un système d’information

17

18
L'audit des systèmes d'information : Définition
L’audit informatique (aussi appelé « audit des systèmes d’information

ou de l’anglais Information Technology audit ») consiste à une
intervention réalisée par une personne indépendante et extérieure au
service audité, qui permet :
 d’analyser tout ou une partie d’une organisation informatique,

 d’établir un constat des points forts et des points faibles et,
 dégager ainsi les recommandations d’amélioration.
9
2021-12-11

19
CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI)
1. Évaluation indépendante
2. Assistance du management
3. Appréciation du contrôle interne

20
CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)
1. Activité d’évaluation indépendante

L'auditeur :
 doit être rattaché au niveau le plus haut de la hiérarchie
 ne peut pas intervenir comme opérationnel
 ni exercer un contrôle des personnes
10
2021-12-11

21
2. Activité d’assistance du management

 Optimaliser le fonctionnement de l’organisation
 Le manager a une obligation de résultats
 L'auditeur a une obligation de moyens et de résultats :
 méthodologie et normes
 pas d’implication opérationnelle

22
3. Encourager un contrôle efficace

Par des:
 enquêtes et analyses
 évaluations
 recommandations et avis
 informations
11
2021-12-11

23
Les demandeurs d'un audit de l'activité informatique
Les demandeurs d'un audit de l'activité informatique
La direction de l'entreprise Pour vérifier le respect des orientations

qu‘elle a définis
Le responsable informatique L'opinion motivée de spécialistes sur sa propre
organisation
Les contrôleurs externes S’intéressent à la qualité de l'environnement
informatique

24
Les principales questions posées par les décideurs :

Les questions posées aux auditeurs informatiques sont très variées .
Elles peuvent porter :
 Le rôle de l’informatique
 La politique informatique
 Les structures informatiques
 Les applications
 Les moyens mis en oeuvre
 Les hommes
12
2021-12-11

25
Les objectifs de l’audit SI

Un audit n’a de sens que si sa finalité est définie. Les objectifs de l’audit définissent
ce qui est attendu de l’auditeur. Ces derniers peuvent comprendre ce qui suit:
 Vérifier la fiabilité de l’outil informatique et l’usage qui en est fait;
 Evaluer de l’aptitude du système d’information à assurer la conformité aux
exigences légales, réglementaires et contractuelles ;
 S’assurer de l’existence d’un plan de développement informatique à moyen
terme;
 Porter un jugement sur l’efficacité et les compétences des services
informatiques;
 Vérifier les performances des matériels et logiciels informatiques;
 Identifier les risques;
 Rechercher des moyens de réduction;
 Apporter des recommandations aux constats soulevés;
 Identifier des domaines permettant une amélioration du système d’information.

26
Périmètre des Audits SI

L’audit informatique concerne l’examen :
 De l’organisation de la structure en charge des systèmes
d’information;
 Des aspects stratégiques : conception et planification de la mise en
oeuvre du système d’informations;
 Des procédures liées au développement;
 Des procédures liées à l’exploitation des applications informatiques;
 Des ressources informatiques mises en service;
 Des fonctions techniques;
 Des activités de contrôle sur la protection et la confidentialité des
données.
13
2021-12-11

27
L’audit des systèmes d’information va se baser sur trois (3) aspects

indispensables :
 Le cadre réglementaire du secteur d’activité d’un pays donné
(exemple: LSF ; Sarbanes-Oxley Act ) ;
 Les référentiels de bonnes pratiques existants (exemple le référentiel

CobiT, ITIL, …) ;
 Les benchmarks à disposition et sur l’expérience professionnelle de

l’auditeur impliqué.

28
Acteur l’audit SI
Tous les «grands» cabinets d’audit et de conseil ont mis en place des
démarches d’audit informatique en support à l’audit comptable
s'appuyant sur des experts généralistes et des spécialistes :
 CISA (Certified Information System Auditor)
 CISM (Certified Information Security Manager)
Les S.S.I.I. (Société de Services et d'Ingénierie en Informatique)
réalisent également des audits informatiques mais dans un cadre moins
réglementés
 expertise technique
 expertise fonctionnelle
14
2021-12-11
L’audit des systèmes d’information vs l’urbanisation des SI

29
L'urbanisation du SI consiste à :
Rationaliser les moyens pour réaliser des économies d’échelle
en mutualisant les ressources matérielles et logicielles, et
pour faciliter la transformation continue du système
d’information.
 a) La vision Métier
 b) La vision fonctionnelle
 c) La vision Informatique
L’urbanisation des SI: les différentes vues du SI

30
15
2021-12-11
LES PRINCIPES DE L’URBANISATION DES (SI)

31
L’outil informatique doit s’adapter aux événements

redondants du système opérationnel pour répondre
des aux besoins de l’organisation. Ainsi, du point de vue de
événements l’urbanisation, le SI doit s’adapter aux ressources
a) La vision humaines. Le plus souvent, il s’agit d’automatiser ces
Métier traitement, sans modifier de façon radicale le
fonctionnement Métier.
Les réponses aux événements redondants se

des décomposent individuellement en une suite logique
processus d’actions répétées appelée processus. Dans une
démarche d’urbanisation, on cherchera à optimiser
ces processus, appelé Réingénierie de Processus.

32
L’urbanisation consiste à faire évoluer son SI pour qu'il soutienne

et accompagne de manière efficace et efficiente les missions des
organisations et leurs transformations.
b) La vision L'urbanisation du SI ne fait pas table rase du passé mais
fonctionnelle tient compte de l'existant et doit permettre de mieux
anticiper les évolutions ou contraintes internes et externes
impactant le SI, et en s'appuyant le cas échéant sur des
opportunités technologiques. L'urbanisation facilite la
transformation continue du système d’information
16
2021-12-11

33
Urbaniser, c’est quoi ? Au fond, il s’agit le plus souvent de

rationaliser les moyens pour réaliser des économies
c) La vision d’échelle en mutualisant les ressources matérielles et
Informatique logicielles, sans pour autant limiter ou perturber les
ressources humaines que sont les utilisateurs, acteurs
actifs de l’organisation.
L’audit des (SI) VS La gouvernance des (SI)

34
 Les professionnels définissent la gouvernance des systèmes

d'information comme un ensemble des moyens qui concourent à un
pilotage efficient et une mise en synergie de toutes les
composantes de son SI afin d'en tirer le profit maximum.
 Sa finalité : est d’assurer aux dirigeants d’entreprise ainsi qu’aux

actionnaires que la fonction SI est parfaitement gérée.
17
2021-12-11
L’audit des (SI) VS La gouvernance des (SI)

35
 L’association ISACA (Information Systems Audit and Control

Association) qui prête beaucoup d’intérêt à la gouvernance des
systèmes d’information en définit 5 piliers :
Alignement
stratégique
Mesure de la Création de
performance valeur
La
gouvernance
des SI
Gestion des Gestion des

risques ressources
36
DEMARCHE D'AUDIT DES SYSTEMES

D’INFORMATION
18
2021-12-11
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION
37
 Une mission d'audit informatique se prépare. Il convient de

déterminer un domaine d'études pour délimiter le champ
d'investigation.
 En ce sens il est conseillé d'effectuer un pré-diagnostic afin de
préciser les questions dont l'audit va traiter.
 Cela se traduit par l'établissement d'une lettre de mission
détaillant les principaux points à auditer.
Pour mener à bien l'audit informatique il est recommandé de suivre

cinq phases suivantes :
38
Les cinq phases de l'audit des systèmes d’information
Phase 1 Le cadrage de la mission
Phase 2 La compréhension de l’environnement informatique
Phase 3 L’identification, évaluation des risques et des contrôles afférents aux

systèmes
Phase 4 Les tests des contrôles
Phase 5 La rédaction du rapport d’audit et les recommandations
19
2021-12-11

LE CADRAGE DE LA MISSION
39
Les objectifs du cadrage de la mission se présentent comme suit :
 Une délimitation du périmètre d’intervention de l’équipe d’audit

informatique. Cela peut être matérialisé par une lettre de mission, une note
interne, une réunion préalable organisée entre les équipes d’audit financier
et d’audit informatique ;
 Une structure d’approche d’audit et organisation des travaux entre les deux
équipes ;
 Une définition du planning d’intervention ;
 Une définition des modes de fonctionnement et de communication.
 Lors de cette phase, l’auditeur informatique prendra connaissance du
dossier de l’équipe de l’audit financier (stratégie d’audit, rapports d’audit
interne, points d’audit soulevés au cours des précédents audits).
LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE

40
Elle a pour but de comprendre les risques et les contrôles liés aux
systèmes informatiques et;
Elle doit permettre de déterminer comment les systèmes clés
contribuent à la production de l’information.
Elle se fait sur la base de 3 aspects notamment :
1. L’organisation de la fonction informatique
2. Les caractéristiques des systèmes informatiques
3. La cartographie des applications
20
2021-12-11

41
1. L’organisation de la fonction informatique :

 Le mode de gestion et d’organisation de la fonction informatique : il
s’agit notamment de comprendre dans quelle mesure la structure
organisationnelle de la fonction informatique est adaptée aux
objectifs de l’entreprise.
 La stratégie informatique de l’entreprise : il s’agit bien d’un examen

du plan informatique, du comité directeur informatique, des tableaux
de bords etc.

42
21
2021-12-11

43
Alignement stratégique informatique
Le SI étant au cœur de l’entreprise, l’application de la stratégie

revient à adapter chaque sous-système d’information dans chaque
domaine fonctionnel, en tenant compte des stratégies déclinées pour
chaque métier : C’est l’alignement stratégique informatique fondé sur
une stratégie relationnelle.

44
Les niveaux de l‘audit des (SI)

Stratégique Assurer la pertinence du SI, son adéquation aux objectifs de
l‘entreprise, (son alignement à ses stratégies)
Tactique Assurer la qualité des processus mis en œuvre par la fonction
informatique (exploitation quotidienne, développement de
nouvelles applications, évolution du système existant,
préparation de l‘avenir,..)
Opérationnel Assurer la sûreté du fonctionnement quotidien de
l‘informatique
22
2021-12-11

45
2. Les caractéristiques des systèmes informatiques :
L’auditeur devra se focaliser sur les systèmes clés de façon à

identifier les risques et les contrôles y afférents. Ainsi, il faudrait
documenter l’architecture du matériel et du réseau en précisant:
 Les caractéristiques des systèmes hardware utilisés;
 Les caractéristiques des systèmes software.

46
3. La cartographie des applications :

La documentation des applications clés devrait être effectuée de
préférence, conjointement par l’équipe de l’audit financier et celle de
l’audit informatique.
Les auditeurs financiers identifient les comptes significatifs compte

tenu du seuil de matérialité de la mission. Les deux équipes recensent les
processus qui alimentent ces comptes.
23
2021-12-11

47
 Le Schéma Directeur

48
Le Schéma Directeur
 Le Schéma Directeur doit présenter un existant, un point de

départ : l’étude des besoins et la définition de systèmes cibles
devront être faites après un état des lieux. De manière
objective, les forces et faiblesses de l’organisation (sur le plan
informatique) doivent être évoquées durant la phase d’Audit.
 Cette phase débouche sur une représentation « photographique »

du SI existant (architecture
technique, fonctionnelle, organisationnelle) puis sur une définition
de la cible.
24
2021-12-11

49
 Évaluer les risques : Une fois l’univers d’audit défini, l’étape

suivante de la définition du programme d’audit consiste en une
évaluation systématique et uniforme des risques associés à tous les
sujets.
 L’univers du SI : Comme indiqué plus haut, les auditeurs

commenceront par dresser l’inventaire des composantes de
l’environnement informatique afin de déterminer quels domaines du
SI verront leurs risques et contrôles examinés.

EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION
50
 L’IIA (Institute of Internal Auditors) définit le risque comme la «

possibilité que se produise un événement qui aura un impact sur la
réalisation des objectifs. Le risque se mesure en termes de
conséquences et de probabilité ».
 Il est donc absolument crucial que les organisations fassent

périodiquement l'inventaire des risques auxquels elles sont
exposées et qu’elles entreprennent les actions nécessaires pour
maintenir ces risques à un niveau acceptable.
25
2021-12-11

51
 Risque: Evènement susceptible d’entraîner des dommages et/ou des pertes

pour l’entreprise concernée;
 S’exprime en fonction de la menace et de la vulnérabilité;
 Se caractérise par une probabilité et un impact.
 Menace: Tout acte, situation, événement, pouvant être à l'origine de dégâts

ou de dommages sur un bien ou à une personne physique ou morale.
 Vulnérabilité: peut concerner une faille dans:
 Une procédure, un système, le design, l'implémentation d'un contrôle qui
peut être exploitée pour abuser la sécurité ou empêcher d'atteindre les
objectifs de la société;
 Les bâtiments et les locaux, les logiciels et applications, les systèmes,…

52
Hiérarchiser les risques :

On peut mesurer le risque et l’impact suivant trois approches :
 Estimation directe des probabilités et des pertes attendues, ou
application de probabilités à la valeur des actifs afin de déterminer
le niveau potentiel de pertes
 Facteurs de risques ou utilisation de facteurs observables ou
mesurables afin de valoriser un risque spécifique ou une classe de
risques
 Matrices pondérées ou de classification, ou utilisation de matrices «
menaces vs composantes » afin d’évaluer les conséquences et les
contrôles
Une fois ces risques recensés, l’auditeur devra évaluer les contrôles
mis en place par l’entreprise pour gérer ces risques.
26
2021-12-11

53
EXEMPLES : RISQUES D’AFFAIRES … À GÉRER ET/OU IMPACT SUR

L’AUDIT
 Fraudes informatiques
 Pannes

54
Risque: fraudes informatiques

 Détournements de fonds
 Vol d’informations confidentielles
 Piratage, virus ( externe prend le contrôle d’un système…)
 Vol de matériel informatique
Il est essentiel d’instaurer de bons contrôles!

S’il y un risque élevé au niveau des fraudes informatiques, le tout
aura un incidence pour l’auditeur externe sur le plan de la
stratégie qu’il utilisera ainsi que le type et la quantité de
travail qu’il fera.
27
2021-12-11

55
Risque : panne majeure du système

 Arrêt des opérations
 Perte de revenus peut être importante
 Insatisfaction de la clientèle
 Plan d’urgence doit être existant ( à jour, opérationnel et connu de tous)
Il est essentiel d’instaurer de bons contrôles!

Le gestionnaire veut minimiser la fréquence et la durée des pannes.
S’il y un risque élevé au niveau des pannes informatiques, le tout aura
un incidence pour l’auditeur externe sur le plan de la stratégie qu’il
utilisera ainsi que le type et la quantité de travail qu’il fera.
Dépendamment de QUAND la panne est survenue ( saison forte
ou non? et LA PÉRIODE pendant laquelle la panne a durée…)

56
Risque informatique et législation

Il y a seulement quelques années que le législateur s'est inquiété de
l'importance stratégique des systèmes d'information. Il a institué une
obligation de gérer les risques que courent le SI pour 2 motifs :
Pour sa valeur intrinsèque:
 Sarbanes-Oxley Act,
 Bâle II
Pour son rôle d'outil dans l'évaluation financière de l'entreprise et
l'obligation faite désormais au SI de remonter de manière fiable
et rapide toutes les informations permettant l'audit financier de
l'entreprise :
 Bâle II
 IAS / IFRS
 LSF
 Sarbanes-Oxley Act
28
2021-12-11

LES TESTS DES CONTROLES
57
Une fois ces risques recensés, l’auditeur devra évaluer les contrôles
mis en place par l’entreprise pour gérer ces risques.
Les tests des contrôles informatiques peuvent être effectués en

utilisant aussi bien des techniques spécifiques aux environnements
informatisés (contrôles assistés par ordinateurs, revue des codes,
jeux de tests) que des techniques classiques (examen des pièces et
documents)

58
Identification des contrôles

 Contrôles : sont des politiques, des procédures, des pratiques et des
structures organisationnelles désignées pour mettre à disposition une
assurance raisonnable que les objectifs seront atteints et que les
événements non souhaités pourront être prévenus ou détectés et corrigés.
29
2021-12-11

59
L’importance des contrôles

En contexte informatique, l’importance des contrôles est accrue, à la
saisie, à la préparation et à la transmission des données.
Les contrôles assurent entre autres que :

 tout ce qui doit être enregistré l’est
 c’est enregistré correctement
 que toutes les opérations sont autorisées et révisées
 que les données demeurent intégrales lors du traitement
 que les erreurs sont détectées et corrigées…

60
Exemples des contrôles : Entrée des données

 Mise en place de contrôles programmés:
 Validation d’accès (code d’utilisateurs et mots de passe)
 Validation de limite (politique de crédit, de rémunération)
 Validation de logique (qté négative, # document en double, date
inexistante, etc. )
 Validation d’historique, de vraisemblance (commande de 100 unités vs
1000 unités)
 Validation de séquence
 Validation d’intégralité
 Chiffre d’auto contrôle
 Demande de confirmation
30
2021-12-11

61
Entrée des données

 Impacts des validations :
 Refus de la transaction
 Refus catégorique ou autorisation nécessaire.
 Autorisation nécessaire
 Ex : Si la commande dépasse la limite de crédit du client.
 Rapport d’exception
 Attention si personne ne regarde les rapports d’exception
 Rapport d’exception et mise en attente de la transaction

62
Différents contrôles
 Coupe‐feu : pour empêcher les accès non autorisés au réseau

 Système de détection d’intrusion : au cas où quelqu’un réussirait
tout de même à pénétrer notre réseau.
 Antivirus : pour empêcher les indésirables de faire des dommages
à nos ordinateurs, réseaux, fichiers… DOIT ÊTRE À JOUR
 Encryptage : pour coder l’information lors d’un transfert et ainsi
éviter que des personnes non autorisées puissent lire le contenu.
 Validations : relatives aux entrées de données… Afin de s’assurer
de réduire au maximum les erreurs et omissions lors de l’entrée des
données.
 Etc.
31
2021-12-11

63
Exemples de contrôles programmés

 Contrôles de validation (accès, limite, logique, historique...)
 Contrôles de séquence : assure que les données suivent un ordre
numérique, alphabétique, chronologique ou autre.
 Contrôles d’intégralité : une transaction ne peut être acceptée si elle est
incomplète.
 Contrôles de logique : assure que les enregistrements ne contiennent pas
d’éléments d’information incompatibles
 Ex : validation de l’âge ou du sexe de la personne vs sa demande…
 Chiffre d’autocontrôle : assure l’authenticité de certains numéros.
 Demande de confirmation d’information avant acceptation : l’ordinateur
demande automatiquement de reconfirmer les informations avant de
pouvoir poursuivre…

64
TYPES DE PROBLÈMES (FAIBLESSES) FRÉQUENTS
 Personnel
 Documentation
 Sauvegarde
32
2021-12-11

65
Problèmes reliés aux opérations

Problèmes reliés aux opérations
Supporte techniquement les usagers, installe les nouveaux
Opérateur logiciels, fait le suivi des sauvegardes. L’opérateur ne peut
pas modifier les programmes, il ne fait que les utiliser. Doit
être présent tant qu’il y a des usagers.
Programmeur Développe et teste les systèmes en fonction des instructions

de l’analyste.
Analyste Analyse les besoins d’affaire, la capacité du système, le
développement nécessaire, etc. L’analyste conçoit les logiciels
en fonction des besoins des usagers.

66
Problèmes reliés au personnel

 Personnel SI débordé, non disponible
 Personnel SI incompétent
 Personnel SI insuffisant
 Personnel ne respecte pas les consignes reliées aux SI
 Employés ne connaissent pas le système ( manque de formation)
 Employés font de nombreuses erreurs
 Réticence au changement
IMPORTANT : Tous ces problèmes doivent être gérés à l’interne et

ces situations auront aussi un impact sur l’audit (risques,
procédures)
33
2021-12-11

67
Problèmes reliés à la documentation

 Documentation absente
 Documentation pas à jour ( attention si changement de système,
expansion de l’entreprise…)
 Documentation incomprise car non adaptée aux besoins des
utilisateurs concernés
 Documentation disponible pour le personnel non concerné par celle-
ci
Documentation sur:
 Programmes, matériel ( équipe technique)
 Opération du système
 Utilisation du système par l’usager de base
ATTENTION : QUI DÉVELOPPE LA DOCUMENTATION?
Il faut limiter l’accès à la documentation aux personnes concernées

68
Problèmes reliées aux données (saisie et traitement)

 Cela peut engendrer des erreurs dans l’information pour la prise de
décision
 Quantité de travail pour corriger les erreurs peut être élevée et le
tout peut être coûteux…
 Du point de vue de l’audit, le tout augmentera la quantité de tests à
faire
 Exemples:
 Manquer de stock
 Payer un employé en trop
 Vendre un produit au mauvais prix
 Vendre à un client qui a dépassé sa limite
34
2021-12-11

69
Problèmes reliés aux sauvegardes

 Absence de sauvegarde
 Sauvegardes pas assez fréquentes
 Sauvegardes conservées dans un endroit non sécuritaire
 Sauvegardes conservées à l’intérieur de l’entreprise
IMPORTANT: QUI FAIT LES SAUVEGARDES? QUAND? ET

COMMENT?+ CONSERVATION DE CELLES-CI

LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS
70
La rédaction du rapport d'audit est un long travail qui permet de

mettre en avant des constatations faites par l'auditeur et les
recommandations qu'il propose.
La présentation et la discussion du rapport d'audit au demandeur

d'audit, au management de l'entreprise ou au management de la
fonction informatique.
35
2021-12-11

71
Clés de succès de la mission d’audit

La réussite de la mission sur le point fonctionnel dépend de trois
points fondamentaux:
 La volonté et le soutien de la direction: celle-ci doit être
ouverte à toutes les suggestions et recommandations émises.
 Le profil et la qualité personnelle et professionnelle de
l’auditeur: ce dernier doit avoir les compétences requises pour
effectuer cette tâche d’audit.
 L’adhésion de tout le personnel de l’entreprise: tous le
personnel doit participer à l’élaboration du système de contrôle.
En effet, l’auditeur n’a pas toutes les informations spécifiques à
l’ensemble de l’activité de l’entreprise.

72
Déontologie de l’audit des systèmes d’information
 Par Déontologie de l’audit informatique est l’ensemble des

règles et des devoirs qui régissent une profession, la
conduite de ceux qui l’exercent, les rapports entre ceux-ci
et leurs clients privé ou public.
36
2021-12-11

73
L’auditeur doit obéir une déontologie certaine. C’est ainsi qu’il doit :
 S’interdire de cumuler audit et conseil, sur une même question;
 Garantir, même implicitement par une simple acceptation d’une

tâche, qu’il a, par lui-même ou grâce à une équipe sur laquelle il peut
compter, les compétences nécessaires;

74
 S’intéresser au système d’information dans son ensemble,
 Fournir des conclusions motivées, utiles, sur l’objet et l’aspect, ainsi

que la période de temps qui a dû être considérée, qui ont été les
éléments de sa mission.
 L’audit informatique qui suggère une quantification des faits est

inacceptables sauf éventuellement dans un contexte précis, et dans
le délai imparti et accepté.
37
2021-12-11
Différent thèmes à analyser sur un audit des SI

75

1 Organisation informatique et des systèmes d’information
2 Réseaux et moyens de communication;
3 Sécurité physique de données;
4 Accès aux données et aux systèmes (logique);
5 Infrastructures et applications;
6 Sauvegarde;
7 Documentation et archivage;
8 Maintenance et suivi du parc informatique;
9 Gestion des incidents;
10 Développement et gestion des changements;
11 Plan de continuité

Thème 1 : Organisation informatique et des systèmes d’information
76
Organisation informatique et des systèmes d’information

Connaître et apprécier:
 La structure organisationnelle chargée des systèmes
d’informations et ses composantes (entités effectifs,
Objectifs: équipements et ressources),
 Les missions, objectifs; finalités de la structure en charge
de l’informatique et des systèmes d’information,
 La conformité aux exigences légales,
 L’organigramme de la structure en charge de l’informatique
et des systèmes d’information,
Documentation  Les fiches de fonction des différents responsables
requise rattachés à la structure en charge de l’informatique et des
systèmes d’information,
 Les objectifs, politiques et orientations en matière de
systèmes d’information,
Les personnes  Les responsables informatiques et du système d’information,
à rencontrer  Les hautes instances de l’organisation,
38
2021-12-11

Thème 2 : Réseaux et moyens de communication
77
Réseaux et moyens de communication

 L’architecture réseaux,
Objectifs  Les moyens de communication,
 Les interconnexions,
 L’infrastructure physique de télé communication,
 Les équipements de sécurité,
 Le schéma réseaux,
Documentation  Les contrats des providers et de maintenance,
requise  Configuration des équipements réseaux,
 Configuration serveurs réseaux (firewall, proxy, …)
 Les responsables réseaux,
Les personnes à  Les responsables sécurité,
rencontrer  Les responsables téléphonie (terminaux, pabx,...)
 Les responsables régionaux,

Thème 3 : Sécurité physique des données
78
Sécurité physique des données

 Moyens de sécurité en oeuvre,
Objectifs  Moyen de détection,
 Moyens de notification,
 Sécurité des salles machines
 Sécurité des équipements critiques
 Liste des «dispositives» de sécurité,
 Le schéma réseaux,
Documentation  Liste des accès aux salles,
 Contrats de surveillance/gardinage,
requise
 Politique de sécurité,
 Charte informatique,
Les personnes à  Les responsables informatique
rencontrer  Les responsables sécurité,
 Les responsable Contrôle interne ou audit interne,
39
2021-12-11

Thème 4 : Accès aux données et aux systèmes
79
Accès aux données et aux systèmes

Objectifs:  Adaptation des comptes aux profiles,
 Revue ou audit des comptes,
 Niveau de sécurité des applications,
 Liste des groupes et des profiles,
Documentation  Liste des accès,
requise  Politique de sécurité,
 Charte informatique,
 Rapport audit de la sécurité actualisé,
Les personnes  Les responsables informatique
à rencontrer  Les responsables sécurité,
 Les responsable Contrôle interne ou audit interne,

Thème 5 : Infrastructures et applications
80
Infrastructures et applications
 Service rendu par les serveurs d’infrastructure,
Objectifs:  Niveau de sécurité des services,
 Adaptation au métier de l’entreprise,
 Adaptation aux orientations informatiques,
 Liste des serveurs,
Documentation  Liste des services,
requise  Politique de sécurité,
 Configurations,
 Super positions des services,
Les personnes
à rencontrer  Les responsables informatique (management,
déploiement, installation, helpdesk,…)
40
2021-12-11

Thème 6: sauvegarde
81
sauvegarde
 Méthodes mise en œuvre,
Objectifs:  La gestion des sauvegardes,
 Planning des sauvegardes,

Documentation  Liste des sauvegarde,
requise  Fiches des sauvegardes, des restauration et des
tests,
 Procédure de gestion des incidents,
Les personnes
à rencontrer  Les responsables de la fonction informatique

Thème 7 : documentation et archivage
82
documentation et archivage
 Gestion de la documentation,
Objectifs:  Gestion de l’archivage,
 Moyens de partage des connaissances,
 Sécurité des accès,
 Confidentialité des données (niveaux de sécurité),
 Procédure de gestion des documents,
Documentation  Procédure d’archivage,
requise  Echantillon représentatives des documents,
 Echantillon représentatives des archives,
Les personnes
41
2021-12-11

Thème 8 : maintenance et suivi du parc informatique
83
maintenance et suivi du parc informatique

 Évaluer la qualité de la maintenance et du suivi informatiques,
Objectifs:  S’assurer de la bonne utilisation du système d’information en
général, des équipements et applications informatiques en
particulier,
 Mesurer le degré de satisfaction des utilisateurs.
 Les procédures internes de maintenance,
Documentation  Les rapports de maintenance,
requise  Les acquisitions,
 Les réclamations des utilisateurs,
 Les contrats de maintenance,
 Les résultats des enquêtes de satisfaction des utilisateurs.
 Les responsables informatiques et systèmes d’information de
Les personnes à l’organisation auditée,
rencontrer  Les hautes instances de direction,
 Un échantillon représentatif des utilisateurs et gestionnaires
concernés par l’informatique et les systèmes d’information.

Thème 9 : gestion des incidents
84
Gestion des incidents

Objectifs:  La gestion des incidents,
Documentation requise  Liste des incidents

 Procédure de gestion des incidents
Les personnes à rencontrer  Les responsables helpdesk,
42
2021-12-11

Thème 10 : développement et gestion des changements
85
Développement et gestion des changements

 La gestion des projets informatiques,
Objectifs:  Tests, validation et mise en production,
 Evolutions et paramétrage,
 Gestion des changements,
 Liste des projets informatiques,
Documentation  Liste des évolutions,
requise  Procédure de gestion des projets,
 Procédure de gestion des changements,
Les personnes

Thème 11 : Plan de continuité
86
Plan de continuité
 Évaluer les mesure en œuvre pour assurer la continuité des
Objectifs: services,
 Analyser les Services Level Agreement (SLA),
 Evaluer les plans de reprise en cas d’incident majeur,
Documentation
requise  Procédure plan de continuité,
Les personnes
à rencontrer  Les responsables de la fonction informatique,
43
2021-12-11
87
Les référentiels d'audit informatique

88
Dans les systèmes d'information, le terme référentiel est employé

pour désigner :
 Un ensemble structuré de recommandations ou de bonnes

pratiques utilisées pour le management du système d'information,
 Un cadre commun aux directions des systèmes d'information.
Objectif:
 Améliorer le degré de maitrise des SI;
44
2021-12-11

89

Un Standard est un référentiel faisant l’objet d’une large diffusion et reconnu
par le marché.
Une norme est un référentiel édité par un organisme de normalisation

comme AFNOR, CEN, ISO.
Une méthodologie est une démarche structurante pour réaliser une tâche donnée
Une nomenclature permet de décomposer une problématique en élément plus fin

permettant de se comparer à d’autres entreprises alors qu’un
référentiel permet d’améliorer le degré de maitrise.

Information Systems Audit and Control Association (ISACA)
90
 Reconnaissant la nécessité de réaliser une source centralisée

d'information et d'orientation dans le domaine des contrôles des
systèmes informatiques, un groupe américain d’expert fond l’association
professionnelle internationale du nom ISACA. Elle fédère les
professionnels:
 de la gouvernance;
 du management des risques;
 de l’assurance;
 de la sécurité de l’information.
 Elle est une source de confiance pour tout ce qui a trait aux connaissances
relatives à l’information et aux technologies, aux communautés, normes et
certifications.
Objectif:
 Améliorer la gouvernance des systèmes d’information et notamment les
méthodes d’audit informatique
45
2021-12-11

91
Référentiels de management du SI
Les référentiels de management du système d'information sont internationaux.
Ils sont généralement orientés vers une problématique particulière :
 Pour l'assistance aux utilisateurs et la production informatique: ITIL.

 Pour la gouvernance des systèmes d'information: COBIT (acteur
important de la conformité à Sarbanes Oxley) ;
 Pour la sécurité des systèmes d'information: ISO 27001;

 Pour le développement: CMMI;

Information Technology Infrastructure Library (ITIL)
92
Définition :
 Référentiel décrivant un ensemble de processus de gestion de

services technologiques utilisé par le métier.
 Démarche pragmatique de gestion des services liés aux technologies
de l’information, reposant sur un ensemble des «meilleures
pratiques» issues des expériences d’entreprises appartenant aussi
bien au secteur privé qu’au secteur public.
 S’appuie sur les processus suffisamment souples pour s'adapter à
toutes les organisations, petites ou grandes
46
2021-12-11

93
ITIL: Objectifs
 Aligner les services liés aux technologies de l’information avec les
besoins présents et futurs des métiers de l’entreprise et de ses
clients
 Améliorer la qualité des services liés aux technologies de
l’information
 Réduire à long terme les coûts liés aux prestations de services
 Utiliser les ressources humaines et les produits de manière
efficace, rentable et économique de sorte que les services liés aux
technologies de l'information soient innovants, de haute qualité et
adaptés aux processus de l'entreprise

94
ITIL: Domaines couverts
 ITIL définit un service lié aux Technologies de l'Information comme

un ensemble de fonctions assurées par un système d'information
pour répondre aux besoins d'un utilisateur dans la réalisation de ses
activités propre à son métier; un service s'appuie en général sur
plusieurs éléments :
 Matériels;
 Logiciels;
 Documents;
 Constituant l'infrastructure informatique.
47
2021-12-11

95
Les 4 concepts fondateurs de la philosophie de l’ITIL

1 Customer
focus and On entend par « client » l’utilisateur. Le client et son métier
Business doivent être au centre des préoccupations de la direction
justified» : informatique.
La gestion des services doit être prise en considération en
2 Cycle de vie: amont des projets informatiques, dès les premières phases
d’étude et de définition des besoins.
3 Processus: La qualité de service se fonde sur une structuration des
activités en processus interdépendants.
La mesure de l’excellence : la capacité à répondre aux
4 Qualité: attentes des clients en matière de produits et services en
relation avec la pratique de leur métier.

96
ITIL : Exemple de processus

Processus Commentaire
Gestion des niveaux Définit la démarche de gestion des contrats de service,
de services avec pour objectif de gérer les attentes en matière de
prestations au regard des ressources allouées.
Gestion des Détaille la manière d'inventorier actifs et
configurations configurations, en vue d'évaluer les risques, les besoins
de mise à jour et les coûts d'équipements.
Gestion des Recommande de passer en revue l'ensemble des
Le référentiel changements conséquences que peuvent engendrer des changements
ITIL sur les infrastructures informatiques.
Gestion des Renvoie à la manière d'identifier les causes des
incidents incidents, puis de les gérer en fonction de leur degré
d'impact sur l'activité de l'entreprise.
Gestion des Décrit une démarche comparable à la précédente en vue
problèmes de gérer les incidents récurrents.
Gestion des mises en Fait le lien entre les activités du département
production production et les métiers, en vue d'appliquer des règles
de déploiement en adéquation avec les exigences de ces
derniers.
48
2021-12-11

Control Objectives for Information and related Technology (COBIT)
97
Définition :
 Une méthodologie d’évaluation des services informatiques au sein de
l’entreprise.
 Référentiel de gouvernance des systèmes d'information qui décompose tout
système informatique.
 Fournit aux gestionnaires, auditeurs et utilisateurs de TIC (Technologies de
l'information et de la communication), des indicateurs, des processus et des
bonnes pratiques pour les aider à maximiser les avantages issus du recours
à des techniques informatiques et à l'élaboration de la gouvernance et du
contrôle d'une entreprise.
 Se focalise sur ce que l’entreprise a besoin de faire et non sur la façon dont
elle doit le faire.
 Il suit une approche orientée processus:34 processus;

 Répartis en 4 domaines fonctionnels;
 Couvrant 318 objectifs.

98
COBIT: Les domaines

Le CobiT consiste à décomposer tout système informatique en:
1 PLANIFIER ET Comment utiliser les technologies afin que l'entreprise atteigne
ORGANISER (PO) ses objectifs ?
(10 processus).
2 ACQUÉRIR ET Comment définir, acquérir et mettre en œuvre des technologies
IMPLÉMENTER en adéquation avec les objectifs de l’entreprise ?
(AI)
(7 processus).
3 DÉLIVRER ET Comment garantir l'efficacité des systèmes technologiques en
SUPPORTER (DS) action ?
(13 processus).
4 SURVEILLER ET Comment s'assurer que la solution mise en oeuvre corresponde
ÉVALUER (SE) bien aux besoins de l'entreprise dans une perspective
(4 processus). stratégique ?
49
2021-12-11

99
PLANIFIER ET ORGANISER (PO)

Ce domaine recouvre la stratégie et la tactique et vise à identifier la
meilleure manière pour les SI de contribuer à atteindre les objectifs
métiers de l'entreprise. La mise en oeuvre de la vision stratégique doit
être planifiée, communiquée et gérée selon différentes perspectives.
Ce domaine s'intéresse généralement aux problématiques de
management suivantes :
Les stratégies de l'entreprise et de l'informatique sont-elles
alignées ?
L'entreprise fait-elle un usage optimum de ses ressources ?
Est-ce que tout le monde dans l'entreprise comprend les objectifs
de l'informatique ?
Les risques informatiques sont-ils compris et gérés ?
La qualité des systèmes informatiques est-elle adaptée aux besoins
métiers ?

100
COBIT: PLANIFIER ET ORGANISER (PO)
Il comporte 10 processus :
1 Définir un plan stratégique pour 6 Communiquer les buts et les
le SI; orientations de la direction
2 Définir l’architecture en 7 Gérer les ressources humaines
information; du SI
3 Déterminer l’évolution technique; 8 Gérer la qualité
4 Définir les processus et 9 Evaluer et gerer les risques du
l’organisation du SI; SI
5 Gérer les investissements en SI; 10 Gérer les projets
50
2021-12-11

101
ACQUÉRIR ET IMPLÉMENTER (AI)

Le succès de la stratégie informatique nécessite d'identifier, de
développer ou d'acquérir des solutions informatiques, de les mettre en
œuvre et de les intégrer aux processus métiers.
Ce domaine s'intéresse généralement aux problématiques de
management suivantes :
Est-on sûr que les nouveaux projets vont fournir des solutions qui
correspondent aux besoins métiers ?
Est-on sûr que les nouveaux projets aboutiront en temps voulu et dans
les limites budgétaires ?
Les nouveaux systèmes fonctionneront-ils correctement lorsqu'ils
seront mis en oeuvre ?
Les changements pourront-ils avoir lieu sans perturber les opérations
en cours ?

102
COBIT :ACQUÉRIR ET IMPLÉMENTER (AI)
1 Définir les solutions automatisées;
2 Acquérir et entretenir les logiciels applicatifs;
3 Acquérir et entretenir la plate-forme technique;
4 Permettre l'exploitation et l'utilisation;
5 Gérer les achats;
6 Gérer les évolutions;
7 Installer et recetter les solutions et les changements;
51
2021-12-11

103
DÉLIVRER ET SUPPORTER (DS)

Ce domaine s'intéresse à la livraison effective des services demandés, ce
qui comprend l'exploitation informatique, la gestion de la sécurité et de la
continuité, le service d'assistance aux utilisateurs et la gestion des
données et des équipements.
Il s'agit généralement des problématiques de management suivantes :

Les services informatiques sont-ils fournis en tenant compte des
priorités métiers ?
Les coûts informatiques sont-ils optimisés ?
Les employés sont-ils capables d'utiliser les systèmes informatiques de
façon productive et sûre ?
La confidentialité, l'intégrité et la disponibilité sont-elles mises en
oeuvre pour la sécurité de l'information ?

104
COBIT : DÉLIVRER ET SUPPORTER (DS)
1 Définition des niveaux de service; 7 Formation des utilisateurs;
2 Gestion des services aux tiers; 8 Assistance des utilisateurs;
3 Gestion des performances et des 9 Gestion de la configuration;
capacités;
4 Garantie de la poursuite des 10 Gestion des incidents;
traitements;
5 Garantie de la sécurité des systèmes; 11 Gestion des données et des
applications;
6 Identification et attribution des 12 Sécurité physique du
coûts; système;
13 Gestion de l'exploitation.
52
2021-12-11

105
SURVEILLER ET ÉVALUER (SE)

Tous les processus informatiques doivent être régulièrement évalués pour
vérifier leur qualité et leur conformité par rapport aux spécifications de
contrôle. Ce domaine s'intéresse à la gestion de la performance, à la
surveillance du contrôle interne, au respect des normes réglementaires et
à la gouvernance.
Il s'agit généralement des problématiques de management suivantes :
La performance de l'informatique est-elle mesurée de façon à ce que
les problèmes soient mis en évidence avant qu'il ne soit trop tard ?
Le management s'assure-t-il que les contrôles internes sont efficaces
et efficients ?
La performance de l'informatique peut-elle être reliée aux objectifs
métiers ?
Des contrôles de confidentialité, d'intégrité et de disponibilité
appropriés sont-ils mis en place pour la sécurité de l'information ?

106
COBIT: SURVEILLER ET ÉVALUER (SE)
1 Surveillance des processus;
2 Appréciation du contrôle interne;
3 Certification par un organisme indépendant ;
4 Audit par un organisme indépendant.
53
2021-12-11

107
COBIT : Avantages
COBIT : avantages
1 Des processus plus simples et plus compréhensibles;
2 Une vision compréhensible par les métiers de ce que fait l’informatique;
3 De la valeur ajoutée des systèmes d’information;
4 Un meilleur alignement de l’informatique sur l’activité de l’entreprise (orientation
métier);
5 Une attribution claire des responsabilités (approche par processus);
6 Une aide à la décision, aux choix, aux investissements;
7 Une possibilité d’élaborer son propre standard COBIT afin d’être encore plus en
phase avec les objectifs de l’entreprise en terme de systèmes d’information;
8 Une auto évaluation;
9 Une comparaison avec d’autres entreprises ayant un même domaine métier;
10 Couverture d’utilisation internationale;
11 Capable de s’intégrer à d’autres référentiels tels qu’ISO 27000, ITIL.

CMMI : Capability Maturity Model Integration
108
Il répartit les processus évalués sur une échelle de niveaux de raffinement

allant de 1 à 5 :
Le niveau 1 Initial est le niveau plancher. Les résultats sont imprévisibles;
l’atteinte des résultats repose plus sur les hommes, sur leur
engagement et bonne volonté, que sur l’application disciplinée de
bonnes pratiques définies
Le niveau 2 est orienté Projet. Ce niveau assure que les pratiques basiques de
gestion de projet sont toujours mises en oeuvre, même dans les
contextes difficiles
Le niveau 3 A ce niveau, l’organisation dispose d’un ensemble de processus
standard, qui sont adaptés par chaque projet. Chaque projet capitalise
son expérience et permet de bonifier le capital collectif
Le niveau 4 est Géré Quantitativement. A ce niveau, les processus clés sont sous
contrôle statistique. Élimination des causes spéciales de variation
Le niveau 5 L’organisation est dans une boucle permanente d’amélioration continue.
54
2021-12-11

ISO 17799 et 27001
109
Chap1 Politique de sécurité (nécessité pour l’entreprise de disposer d’une

politique de sécurité).
Est-ce qu’il existe un document qui traite de la sécurité des systèmes
d’information ?
Chap2 Organisation de la sécurité
Chap3 Classification et contrôle des actifs
Chap4 Sécurité liée au personnel
Chap5 Sécurité physique et de l’environnement
Chap6 Administration (exploitation et réseaux)
Chap7 Contrôles d’accès
Chap8 Développement et maintenance
Chap9 gestion des incidents
Chap10 Plan de continuité
Chap11 Conformité légale et audit de contrôle
TYPOLOGIE DE L'AUDIT DES SYSTEMES D’INFORMATION

110
 AUDIT DE LA FONCTION INFORMATIQUE

 AUDIT DES PROJETS INFORMATIQUES
 AUDIT DES APPLICATIONS OPERATIONNELLES
 AUDIT DE LA SECURITE INFORMATIQUE
55
2021-12-11

AUDIT DE LA FONCTION INFORMATIQUE
111
Définition :
Le but de l'audit de la fonction informatique est de répondre aux

préoccupations de la direction générale ou de la direction
informatique concernant l'organisation de la fonction informatique,
son pilotage, son positionnement dans la structure, ses relations avec
les utilisateurs, ses méthodes de travail.

112
Les bonnes pratiques d’ audit de la fonction informatique
 La clarté des structures et des responsabilités de l'équipe

informatique ;
 La définition des relations entre la direction générale, les

directions fonctionnelles et opérationnelles et la fonction
informatique ;
 L'existence de dispositifs de mesures de l'activité et notamment

d'un tableau de bord de la fonction informatique ;
 Le niveau des compétences et des qualifications du personnel de la

fonction.
56
2021-12-11

113
Les points de contrôles de l’audit de la fonction informatique
 Le rôle des directions fonctionnelles et opérationnelles dans le pilotage

informatique et notamment l'existence d'un comité de pilotage de
l'informatique ;
 La mise en œuvre de politiques, de normes et de procédures spécifiques à

la fonction ;
 La définition des responsabilités respectives de la fonction informatique et

des unités utilisatrices concernant les traitements, la maintenance, la
sécurité, les investissements, et les développements ;
 Le respect des dispositifs de contrôle interne comme une évaluation

périodique des risques, la mesure de l'impact de l'informatique sur les
performances de l'entreprise…

AUDIT DES PROJETS INFORMATIQUES
114
Définition :
L'audit des projets informatiques est un audit dont le but est de
s'assurer :
 Que le projet informatique se déroule normalement et
 que l'enchaînement des opérations se fait de manière logique et
efficace de façon qu'on ait de fortes chances d'arriver à la fin de la
phase de développement à une application qui sera performante et
opérationnelle.
57
2021-12-11

115
Les bonnes pratiques de l’audit des projets informatiques
 L'existence d'une méthodologie de conduite des projets ;

 La conduite des projets par étapes quel que soit le modèle de gestion
de projets
 Le respect des étapes et des phases du projet ;
 Le pilotage du développement et notamment les rôles respectifs du
chef de projet et du comité de pilotage ;
 La conformité du projet aux objectifs généraux de l'entreprise ;

116
Les points de contrôles :
 La clarté et l'efficacité du processus de développement ;
 L'existence de procédures, de méthodes et de standards donnant

des instructions claires aux développeurs et aux utilisateurs ;
 La vérification de l'application effective de la méthodologie ;
 La validation du périmètre fonctionnel doit être faite suffisamment

tôt dans le processus de développement ;
 La gestion des risques du projet. Une évaluation des risques doit

être faite aux étapes clés du projet.
58
2021-12-11

AUDIT DES APPLICATIONS OPERATIONNELLES
117
Définition :
 Le but de l'audit d'une application opérationnelle est de donner au
management une assurance raisonnable sur son fonctionnement. Ces
contrôles sont, par exemple, réalisés par le Commissaire aux
Comptes dans le cadre de sa mission légale d'évaluation des
comptes d'une entreprise : est-ce que le logiciel utilisé est sûr,
efficace et adapté ?

118
Pour effectuer l'audit d'une application opérationnelle on va recourir aux

objectifs de contrôle les plus courants :
 Le contrôle de la conformité de l'application opérationnelle par rapport :
 à la documentation utilisateur,
 au cahier des charges d'origine,
 aux besoins actuels des utilisateurs ;
 La vérification des dispositifs de contrôle en place. Il doit exister des
contrôles suffisants sur :
 les données entrées,
 les données stockées,
 les sorties, les traitements,…
L'auditeur doit s'assurer qu'ils sont en place et donnent les résultats
attendus ;
59
2021-12-11

119
Pour effectuer l'audit d'une application opérationnelle on va recourir aux

objectifs de contrôle les plus courants :
 L'évaluation de la fiabilité des traitements se fait grâce à l'analyse des

erreurs ou des anomalies qui surviennent dans le cadre des opérations
courantes.
 La mesure des performances de l'application pour s'assurer que les temps

de réponse sont satisfaisants même en période de forte charge.

AUDIT DE LA SECURITE INFORMATIQUE
120
Définition :
 L'audit de la sécurité informatique a pour but de donner au
management une assurance raisonnable du niveau de risque de
l'entreprise lié à des défauts de sécurité informatique.
 L'observation montre que l'informatique représente souvent un

niveau élevé de risque pour l'entreprise.
60
2021-12-11

121
On constate actuellement une augmentation de ces risques liée au

développement d'Internet. Ils sont liés à la conjonction de quatre notions
fondamentales :
 1. En permanence il existe des menaces significatives : concernant la
sécurité informatique de l'entreprise et notamment ses biens immatériels ;
 2. Le facteur de risque : est une cause de vulnérabilité due à une faiblesse

de l'organisation, des méthodes, des techniques ou du système de contrôle ;
 3. La manifestation du risque : Tôt ou tard le risque se manifeste. Il peut

être physique (incendie, inondation) mais la plupart du temps il est invisible
et se traduit notamment par la destruction des données, l'indisponibilité du
service, et le détournement de trafic ;
 4. La maîtrise du risque : Il s'agit de mettre en place des mesures

permettant de diminuer le niveau des risques notamment en renforçant les
contrôle d'accès, et l'authentification des utilisateurs ;

122
Pour effectuer un audit de sécurité informatique il est nécessaire de se baser

sur quelques objectifs de contrôle. Les plus courants sont :
 Repérer les actifs informationnels de l'entreprise : Ce sont des matériels

informatiques, des logiciels et des bases de données. Il est pour cela
nécessaire d'avoir des procédures de gestion efficaces et adaptées ;
 Identifier les risques : Il doit exister des dispositifs de gestion adaptés

permettant de surveiller les domaines à risque. Cette surveillance doit être
assurée par un RSSI (Responsable de la Sécurité des Systèmes
d’Information) ;
61
2021-12-11

123
 Evaluer les menaces : Le RSSI a la responsabilité de repérer les principaux

risques liés aux différents domaines du système d'information. Un document
doit recenser les principales menaces ;
 Mesurer les impacts : Le RSSI doit établir une cartographie des risques
associés au système d'information. Il est alors envisageable de construire
des scénarios d'agression et d'évaluer les points de vulnérabilité ;
 Définir les parades : Pour diminuer le niveau des risques il est nécessaire de
prévoir les dispositifs comme des contrôles d'accès, le chiffrement des
données, le plan de secours,…
124
Audit Informatique dans un cadre CAC
62
2021-12-11

125
Audit SI dans le cadre de missions de commissariat aux comptes
 L’audit réalisé dans un environnement informatique peut poser au

commissaire aux comptes des difficultés de mise en oeuvre en terme
d’approche, de nature des contrôles à réaliser et d’exploitation des résultats
obtenus à l’issus de ces contrôles
 La prise en compte de l’environnement informatique lors de l’audit des

comptes ne doit pas être confondue avec l’audit informatique d’un système
d’information confié généralement à des spécialistes en la matière (les
référentiels d’audit de commissariat aux comptes ont déjà sensibilisé à cela
dans leur textes)
 L’évolution des technologies de l’information ainsi que la complexité

croissante des systèmes d’information automatisés ont conduit à plusieurs
guides destinés essentiellement à ces fins (dits d’audit des SI dans un
environnement CAC)

126
 La loi Sarbanes-Oxley et ses déclinaisons : IFRS (International Financial

Reporting Standards) et LSF (Loi sur la sécurité financière), ont mis l’accent
sur le contrôle interne et les responsabilités des dirigeants dans ce sens.
 Le dirigeant de toute SA doit présenter un rapport sur les procédures de

contrôle interne mises en place ; de son côté, le commissaire aux comptes émet
un rapport sur les procédures de contrôle interne relatives à l’élaboration et au
traitement de l’information comptable et financière.
63
2021-12-11

127
Approche méthodologique
 Les spécificités de l’environnement informatique, dans un cadre
commissariat aux comptes, sont prises en compte dans les
principales étapes de la démarche d’audit proposée, à savoir :
 Orientation et planification de la mission d’audit SI
 Évaluation des risques SI
 Obtention des éléments probants
Phase 1 : Orientation et Phase 2 : Évaluation des Phase 3 : Obtention

planification de la mission risques des éléments probants
d’audit du système -Incidence sur le risque
d’information inhérent -Méthodes de mise en
-Prise de connaissance du -Incidence sur le risque lié œuvre des procédures
SI dans l’entreprise au contrôle d’audit
-Description du SI de -Synthèse de l’évaluation des -Lien avec les obligations
l’entreprise risques légales du commissaire aux
-Prise en compte du SI dans
comptes
le plan de mission

128
Approche méthodologique
Phase 1 : Orientation et planification de la Phase 2 : Evaluation des risques Phase 3 : Obtention des éléments probants
mission d’audit du système d’information
Prise de connaissance de l’informatique Incidence sur le risque inhérent Méthodes de mise en œuvre des
de l’entreprise Incidence de la fonction informatique procédures d’audit Détermination du
Appréciation de l’importance de (conception/achat, exploitation, sécurité, caractère suffisant et approprié des
l’informatique dans l’entreprise et de son et maintenance informatique),
impact dans l’élaboration des comptes éléments probants obtenus et lien
transverse aux activités de l’entreprise,
avec l’opinion des comptes
sur le risque inhérent
Description de système de l’information Incidence sur le risque lié au contrôle

de l’entreprise Identification des Incidence des applications informatiques
principales composantes du système
(jouant un rôle important dans le
d’information et de son niveau de
processus d’élaboration des comptes) Liens avec les obligations légales du CAC
complexité
sur le risque lié au contrôle Emission de l’opinion sur les
comptes, information des dirigeants
Prise en compte de l’informatique dans le ou de l’organe de direction
plan de mission Synthèse de l’évaluation des risques
Techniques d’audit assistées par ordinateurs
64
2021-12-11

129
Les entreprises ont donc l’obligation de rendre compte des procédures de contrôle
interne et, à ce titre, le système d’information est concerné à trois niveaux :
 la prise en compte de l’informatique comme domaine de gouvernance de l’entreprise ;
 les contrôles propres à la fonction informatique, y compris les procédures de
sécurité ;
 l’insertion de contrôles « embarqués » dans les processus automatisés.
Le contrôle interne doit s’effectuer de manière continue grâce à plusieurs outils :

 les Techniques d’Audit Assistés par Ordinateurs, et pour cela il faut ;
 la compétence de l’auditeur pour l’utilisation des TAAO ;
 la confiance à accorder aux TAAO elles-mêmes ;
 la confiance à accorder aux données traitées.

130
Revue des systèmes d’information :

 L’objectif de la revue des systèmes d’information est d’évaluer le
dispositif de contrôle interne des applications et de la fonction
informatique.
 Les domaines étudiés en priorité constituent les axes de vigilance
majeurs :
 stratégie et contrôle interne du service informatique ;
 processus de gestion des évolutions des systèmes d’information.
 sécurité des accès aux données : réseau et applications ;
 sécurité physique de la salle informatique ;
 procédures de sauvegardes des serveurs et plan de secours en
cas de sinistre ;
65
2021-12-11

131
 Revue des systèmes d’information (suite) :
 L’intervention se déroule en moyenne sur trois à quatre journées

en fonction de la complexité des systèmes d’information, la taille
du service informatique et la granularité des travaux.
 Des tests complémentaires et approfondis peuvent notamment

être nécessaires pour la conduite et la pertinence de la mission.
 Un outil de scoring des risques informatiques est utilisé pour

mieux identifier les axes d’amélioration et faciliter la
communication des conclusions dans un rapport détaillant
l’ensemble des travaux menés.

132
L’analyse des données :
 L’analyse de données est une technique d’audit permettant de

détecter des anomalies, dans les données d’un processus,
provoquées par un utilisateur ou par un programme informatique.
 La mise en oeuvre d’une approche d’analyse par les données est un

moyen d’analyse adapté à une grande diversité de systèmes
d’information :
 volumétrie des données ;
 multiplicité des applications et des interfaces ;
 complexité des processus informatisés et des règles de gestion ;
66
2021-12-11

133
Cette approche permet de mieux appréhender les risques des processus en effectuant des
tests sur l’exhaustivité de la population étudiée.
La démarche utilise des contrôles standards qu’il est nécessaire d’adapter au contexte du
client en fonction des contraintes de son système d’information, des objectifs de contrôle
fixés et des attentes :
 recherche d’erreurs et de fraudes par l’analyse du journal des écritures comptables :
identification des schémas d’écritures de fraudes, oubli de déduction de TVA ou TVA
déduite à tort, personnes non habilitées à la saisie de certains types d’écritures
comptables, etc. ;
 vérification de la fiabilité du processus des stocks : analyse qualitative (stocks négatifs
et doublons par exemple), calcul de la rotation des stocks et mise en relation avec la
provision pour dépréciation, vérification de l’équation de stock au niveau de chaque
article ;
 contrôle de l’exhaustivité des appels de facturation : organismes de logements sociaux,
associations, etc.

134
 En préalable, la prise de connaissance de l’environnement applicatif

et des interfaces permet de mieux identifier les données à utiliser.
 La mise en place d’une analyse de données, dont la durée est

variable en fonction de l’étendue des travaux, généralement entre
2 et 4 jours, conduit à la formulation de conclusions dans un
rapport détaillant les étapes d’analyse.
67
2021-12-11

Question de méthodologie : Stratégie informatique
135
Les éléments à considérer pour apprécier la stratégie informatique sont les suivants :
 Implication des entités opérationnelles dans la détermination de la stratégie informatique
 Niveau de connaissance de la direction concernant le SI
 Satisfaction des besoins courants par le SI
Cette appréciation peut s’effectuer par :
 L’obtention de documents préalables à l’intervention
 L’entretien avec un représentant de la direction de l’obtention de documents
complémentaires :
 Une confirmation des informations obtenues lors des entretiens avec la direction
 Les entretiens avec les utilisateurs clés représentatifs des différentes entités
opérationnelles
 Une communication des projets en cours ou prévus (part du budgets informatique
dans le budget total de la structure )

Question de méthodologie : Stratégie informatique
136
incidence sur la fiabilité du Système d'Information

Faible Modérée Elevée
Stratégie informatique La stratégie informatique Les besoins utilisateurs La stratégie informatique
élaborée par les entités existe (formalisée ou non). sont considérés dans la n'est pas formalisée.
opérationnelles Les besoins utilisateurs stratégie informatique Absence de coordination
sont pris en priorité pour entre la stratégie
élaborer la stratégie informatique et la
informatique stratégie de l'entreprise
Sensibilisation de la La direction est la valeur de l'informatique la direction est consciente
direction sensibilisée à la valeur et l'exposition aux risques de la valeur et des risques
ajoutée de l'informatique sont connues par la de l'informatique alors que
direction. les entités opérationnelles
En revanche, cette ne le sont pas
connaissance par les
niveaux hiérarchiques
inférieurs est partielle
Satisfaction des besoins les besoins utilisateurs les systèmes répondent la plupart des applications
utilisateurs sont satisfaits par les globalement aux besoins. ne répondent pas aux
technologies utilisées Quelques systèmes sont besoins des utilisateurs.
actuellement. difficiles à maintenir Des travaux
La satisfaction des supplémentaires sont
utilisateurs est mesurée nécessaires pour combler
périodiquement les manques du système
d'information
68
2021-12-11

137
Question de méthodologie : La fonction informatique
 La fonction informatique de l’entreprise est à prendre en compte

dans la définition du contenu du plan de mission, notamment en
terme de séparation des fonctions, gestion des mouvements de
personnel, gestion des projets, fiabilité des processus informatiques
(pilotage, développement, maintenance, exploitation, sécurité du SI)
Dans ce volet, deux axes sont à considérer :

 L’organisation de la fonction informatique
 Les compétences informatiques

Question de méthodologie : Stratégie
informatique
138
Organisation de la fonction informatique

Organisation Fonction gérées par des services Fonction sécurité existant Services partageant
informatique indépendants. Fonction sécurité partiellement. Définition plusieurs fonctions
exercé par un responsable dédié. peu claire des rôles et (notamment les études et
Organisation adaptée aux besoins. responsabilités. l'exploitation).Fonction
Représentation de la fonction Représentation non sécurité non gérée. Pas de
informatique auprès de la direction. systématique de la représentation de la
Informations concernant la gestion fonction informatique fonction informatique
de l'informatique fournies à la auprès de la direction auprès de la direction
direction Rôles et responsabilité non
définis de manière claire
Séparation des La direction est sensibilisée à la la valeur de l'informatique les mêmes personnes ont
tâches valeur ajoutée de l'informatique et l'exposition aux risques en charge les études et
sont connues par la l'exploitation Aucune
direction. En revanche, implication des utilisateurs
cette connaissance par les
niveaux hiérarchiques
inférieurs est partielle
Externalisation les besoins utilisateurs sont les systèmes répondent Fonctions sensibles
satisfaits par les technologies globalement aux besoins. externalisées. Ressources
utilisées actuellement. La Quelques systèmes sont internes réduits
satisfaction des utilisateurs est difficiles à maintenir
mesurée périodiquement
69
2021-12-11

Question de méthodologie : Stratégie
informatique
139
Compétences informatiques
Niveau de Personnel qualifié et motivé à tous Personnel inégalement Personnel inexpérimenté
compétence les niveaux de la hiérarchie. qualifié et personnel et peu formé.
Programme de formation défini en nouvellement embauché. Démotivation
accord avec la stratégie de Budget de formation défini
l'entreprise pour l'acquisition de
nouvelles compétences et la
conservation du personnel
Charge de travail Ressources humaines suffisantes Ressources suffisantes Déficit en ressources. Pas
pour couvrir les besoins actuels. pour les besoins actuels. de mesures des besoins.
Revue des ressources réalisée Estimation informelle des Dépendance vis-à-vis des
périodiquement pour s'assurer de futures charges de travail. personnes clés. Absence
l'adéquation avec les besoins Heures supplémentaires de budget pour augmenter
régulièrement nécessaires les ressources
Niveau de Rotation limité. Toutes les activités les

systèmes répondent Rotation fréquente du
rotation sont couvertes par des personnes globalement aux besoins. personnel. Difficultés pour
expérimentées Quelques systèmes sont retenir le personnel.
difficiles à maintenir Difficultés à remplacer les
personnes clés

140
Question de méthodologie : L’importance de l’informatique dans l’entreprise
L’importance de l’informatique dans l’entreprise permet de déterminer

le niveau de dépendance de l’entreprise vis-à-vis de son système
d’information. Les éléments à considérer sont :
 Le degré d’incidence de l’informatique sur la production des

informations comptables et financières
 Le degré d’automatisation
 Caractéristiques du SI :
 Utilisation et sensibilité de l’informatique :
 Temps d’indisponibilité maximal tolérable
70
2021-12-11

141
Cette appréciation peut s’effectuer par la description du système

d’information :
 Les principales applications

 Les principaux traitements
 L’importance des données et des traitements au regard de la
continuité d’exploitation
 L’estimation du temps d’indisponibilité du système et méthode
employée pour l’estimer
 Les dysfonctionnements notés durant l’année précédente

142

Degré Peu de traitements automatisés Beaucoup de traitements la majorité des tâches de
d'automatisation Informatique utilisée pour conserver les automatisés. Utilisation de la l'entreprise est automatisée,
informations historiques. Les bureautique fortement dépendante de
traitements différés sont lancés l'informatique
manuellement
Caractéristiques Systèmes simples pour conserver des Mélange des systèmes temps réel Systèmes temps réel générant
du système enregistrements et fonctionnant par et de traitements différés. des opérations automatiquement.
d'information des traitements différés Générations de quelques Utilisation de nouvelles
opérations automatiquement technologies
Sensibilité de Utilisation limitée de l'informatique Peu Informations importantes Information très sensibles et
l'informatique d'informations sensibles stockées dans (données personnelles, détails des hautement confidentielles gérées
les systèmes produits et des services) par le système d'information.
conservées dans le système Nombreux contrôles nécessaires
d'information
Indisponibilité informatique non nécessaire à l'activité Entreprise dépendante de Entreprise hautement dépendante
de l'entreprise. Possibilité de revenir à l'informatique de l'informatique. Des pertes
une organisation uniquement basée sur Traitements clés nécessaires pour importantes pouvant mettre en
le papier maintenir les ressources de péril la survie de l'entreprise,
l'entreprise après une période pourraient survenir en cas
d'interruption d'indisponibilité supérieure à
quelques heures
71
2021-12-11

143
Question de méthodologie : Description du système d’information de l’entreprise
 Les normes précise que dans un environnement informatique utilisant des

systèmes importants et complexes, le commissaire aux comptes acquiert
également la connaissance de cet environnement et détermine si celui-ci peut
influencer l’évaluation du risque inhérent et l’évaluation du risque lié aux
contrôles
 La description du SI de l’entreprise consiste à :
 formaliser la cartographie des applications
 apprécier le degré de complexité du SI de l’entreprise
 identifier les processus à analyser, utiles aux objectifs de l’audit
 La réalisation de la cartographie des applications permet de comprendre et de
documenter les composants du SI. Elle permet aussi, de mettre en évidence les
risques potentiels liés à cette architecture.

144
Question de méthodologie : Description du système d’information de l’entreprise
Cette appréciation peut se faire via :

 l’identification des principales applications informatiques
 l’identification des principales interfaces
 La représentation graphique des différentes applications et des liens

existants entre elles constitue la cartographie générale des
applications. Elle permet de visualiser de façon synthétique un
système d’information complexe et sert, en outre, de support de
communication pluridisciplinaire (culture comptable, culture
informatique) dans l’identification des risques potentiels.
72
2021-12-11

Question de méthodologie: L’importance de l’informatique dans l’entreprise
145

Intégration Système entièrement Quelques interfaces sont Système fragmenté
intégré utilisant des automatisées. nécessitant la saisie
informations partagées Des informations sont manuelle de nombreuses
entre les applications traitées sur poste client informations entre les
(existence de à des fins d'états de systèmes. Données en
référentiels). Les synthèse et de tableaux doublons en raison de
fonctions d'états de de bord l'inexistence de
synthèse et tableaux de référentiels. Pas de
bord sont intégrés dans le règles de gestion
système concernant la mise à jour
des données
Documentation Existence d'une Documentation partielle Documentation faible ou
documentation à jour mais couvrant les non mise à jour.
permettant d'avoir une principales applications Difficulté à appréhender
bonne compréhension du le système et à mesurer
système d'information l'impact d'une
modification

146
Question de méthodologie : Identification des processus à analyser
 L’évaluation des risques n’est pas seulement influencée par les seules
applications informatiques. En effet , l’incidence de l’environnement
informatique sur le risque inhérent et le risque lié au contrôle ne peut être
appréciée sans prendre en compte la notion de flux d’information ou
processus.
 Le commissaire aux comptes ne s’intéresse pas a l’ensemble des processus
existant au sein de l’entreprise, mais uniquement à ceux contribuant
directement ou indirectement à la production des comptes.
 Seules les applications (et leurs interrelations) qui interviennent dans ces
processus méritent de faire l’objet d’une étude dans le cadre de la démarche
d’audit
73
2021-12-11

147
 Pour chacun des processus concourant directement ou indirectement à la

production des comptes, il est nécessaire de déterminer les applications
qui participent aux traitements des données. Cette détermination
s’effectue à partir de la cartographie réalisée précédemment
 Selon l’importance du rôle joué par les applications et les interfaces dans
chaque processus, le commissaire aux comptes sélectionne les processus à
analyser dans le cadre de son évaluation du risque
 Ainsi, l’analyse d’une application peut nécessiter l’analyse de plusieurs

processus, lorsqu’une même application intervient dans plusieurs processus

148

 Le résultat peut être formalisé sous forme du tableau suivant :
Application 1 Application 2 Application 3 Application 4 Application 5 Application 6 Application 7
Processus 1 * * * * *
Processus 2 * * *
Processus 3 * * *
 Si l’application 5 présente des risques potentiels importants compte tenu de

son obsolescence, du nombre de fonctionnalités et de l’importance des
données gérées, on peut conclure que les processus 1 et 2 devront faire objet
d’une analyse approfondie afin de pouvoir réduire le risque d’audit à un niveau
faible acceptable.
74
2021-12-11

149
Évaluation du risque
 La phase évaluation des risques à pour objectif la prise en compte
de l’environnement informatique sur le risque inhérent et le risque
lié au contrôle.
 Elle intervient pour préparer et alléger les contrôles substantifs

menés à la clôture des comptes et représente la phase la plus
conséquente de l’ensemble de la mission
 Les travaux consistent à évaluer les risques en tenant compte de

l’identification des risques potentiels et du système de contrôle
interne mis en place par l’entreprise, et à en déduire la nature et
l’étendue des contrôles substantifs à mener en phase «obtention
des éléments probants» (à l’aide ou non de techniques d’audit
assistés par ordinateur), afin de minimiser le risque d’audit à un
niveau faible acceptable

150
Évaluation du risque
On distingue plusieurs domaines dans une approche d’audit SI dans un
cadre commissariat aux comptes :
 Stratégie et organisation des systèmes d’information
 Exploitation informatique
 Relations avec les prestataires de services externes
 Mise en place et maintenance des applications et des bases de
données
 Plan de continuité d’activité
 Sécurité des systèmes d’information et gestion du réseaux
 Gestion du matériel informatique
75
2021-12-11

Évaluation du risque :Acquisition de solutions SI (1/2)
151

Identification La performance des outils est Le responsable informatique le matériel n’est changé que
des besoins en suivierégulièrement par le effectue une veille technologique et lorsque les pannes surviennent
nouveaux outils responsable informatique procède aux changements de (ou des pannes majeures).Risque
(indisponibilités, pannes, temps matériels suivant un plan préétabli, de pannes bloquantes non
de réponse, …).Des enquêtes mais il ne suit pas les performances anticipées avec un temps de
pour la collecte des besoins des outils existants. Risque de latence avant réparation.
utilisateurs sont effectuées panne avec nécessité d'un
changement de matériel en urgence
en plus du plan de remplacement
prévu
Organisation de Une équipe dédiée au le responsable informatique est Aucun responsable du
la fonction développement / paramétrage également responsable du développement / paramétrage
développement / a été désigné développement / paramétrage. n'a été désigné. Risque de
paramétrage Risque de fraudes et de manque de besoin en développement/
supervision des travaux effectués paramétrage non pris en compte
et risque d'incohérence dans les
projets entre le SI et le métier

Évaluation du risque : Acquisition de solutions SI ( suite)
152

Procédures de Des procédures écrites Les procédures de Aucun procédure de
développement détaillent qui a accès aux développement/ paramétrage développement /
/ paramétrage environnement de sont connues par l'équipe paramétrage n'a été mise
développement / responsable, mais elles ne sont au point. Risque de
paramétrage, les normes pas formalisées. Risque que le méthode de développement
à respecter, les développement/paramétrage / paramétrage
procédures de tests et soient insuffisamment incohérentes selon les
de mise en production documenté et mal coordonnés intervenants
Procédure de Des procédures sont Des tests sont menés sans Le déploiement est
test appliquées pour effectuer pour autant être formalisés : effectué sans procédure
les tests dans un aucun archivage des résultats de test. Risque d'anomalies
environnement spécifique, de tests après leurs mise en non détectées
pour la conservation du oeuvre. Des zones de risques
mode opératoire utilisé peuvent être oubliées lors de
et les résultats (fichier la phase de tests, d'où un
de recette visé par le risque d'anomalies non
responsable) détectées
76
2021-12-11

Évaluation du risque : Installation de solutions SI (1/2)
153

Tests lors du De nombreux tests sont sont pas formalisés : aucune Aucun test n'est effectué
démarrage de la effectués lors de trace sur les tests effectués lors de cette phase du
nouvelle
l'installation et après n'est conservée. Des zone de projet, seuls les tests de la
application ou
version installation en menant des risques peuvent être oubliées phase de développement
enquêtes auprès des lors de la phase de tests, d'où sont utilisés dans le dossier
utilisateurs, ou en un risque d'anomalies non final, Risque d'anomalies
déployant l'outil pour un détectées non détectées
échantillon d'utilisateurs
testeurs
Validation des Le responsable La personne qui signe la fiche Les tests ne sont pas
développements informatique valide et de recette qui donne le feu centralisés et aucune fiche
signe une fiche de recette vert fait partie de l'équipe de recette ne vient donner
attestant le opérationnelle de le feu vert au déploiement.
développement développement, Risque que les Zone de risque peuvent
erreurs ne soient pas être non détectée, ce qui
détectées par un manque de génère un risque
supervision extérieure d'anomalies non détectées

Évaluation du risque : Installation de solutions SI (suite)
154

Niveau de Une documentation complète Seule est disponible une description Aucune documentation complète
documentation décrivant l'outil, le cahier des succincte de l'outil. Risque de n'est disponible sur l'outil
des outils charges et les spécifications, mauvaise connaissance de l'outil et développé. Risque de perte de
les tests mis en oeuvre, est à de ses fonctionnalités complètes connaissances sur les phases de
jour et disponible conception de l'outil et sur les
anomalies constatées
Gestion de Un programme de formation à Les utilisateurs sont prévenus par Aucune information ni
changement l'ensemble des utilisateurs est note interne des changements formation provenant de la
mis en place. Des notes occasionnés par le nouvel outil sans direction n'est dispensée aux
utilisateurs Risque de mauvaise
internes de sensibilisation aux organiser un programme de
utilisation des nouveaux outils
impacts du nouvel outil sont formation. Risque que les mis à la disposition des
envoyées à l'ensemble du utilisateurs ne se sentent pas utilisateurs
personnel. Une cellule de concernés ou qu'il ne disposent pas
support aux utilisateurs à été de la totalités des données
créée pour répondre à leurs nécessaires
interrogations
77
2021-12-11

Évaluation du risque : Maintenance du système
155

Maîtrise du Le responsable informatique utilise Le responsable informatique fait Le responsable n'a de connaissance
système des outils de suivi permettant de des tests ponctuels sur les suffisante du parc informatique, ni de la
d'information surveiller les performances du principaux incidents survenus, cartographie complète des applications
système, de connaître le parc mais ne dispose d'aucun outil de utilisées. Il ne suit pas les
informatiqueet de vérifier les suivi automatisé. Risque que les indisponibilités du système.Risque de
applications installées sur le poste tests ne soient pas exhaustifs, perte de contrôle du SI et d'incidents
de travail que surviennent des pannes non non anticipés
anticipées et/ou non traitées
Maintenance Le prestataire surveille Le prestataire accomplit les Le prestataire n'est pas adapté à la
externalisée régulièrement les indisponibilités prestations prévues, mais le taille de l'entreprise. Il ne se déplace
du système. En cas de panne il délais d'intervention est trop pas pour toutes les interventions
intervient rapidement : son niveau important. Risque de demandées et ses temps de réponses
de service est conforme au niveau perturbation dans le sont trop importants. Aucun niveau de
contractuel. Il remet à l'entreprise fonctionnement courant de service n'est prévu dans le contrat et
des comptes-rendus de ses l'entreprise les conditions de rupture de contrat ne
interventions sont pas détaillées. Risque
d'indisponibilité longue de service non
satisfaisante, sans que la responsabilité
du prestataire ne soit engagée

Évaluation du risque : Gestion de l’exploitation (1/2)
156

Suivi des L'administrateur du réseau Un responsable est désigné pour Aucun suivi des
performances du surveille chaque jour les suivre régulièrement ces performances du
système pannes, l’indisponibilités, et le indicateurs mais ses observations système n'est effectué
temps de réponses des outils, il ne sont pas formalisées, Risque que au sein de la structure.
renseigne régulièrement un les anomalies constatées/décelées Risque que les
récapitulatif des anomalies et par le responsable ne soient pas anomalies non
de leur résolution suivies car ellessont non anticipées surviennent
répertoriés nécessitant des
solutions urgentes
Disponibilité du Un outil informatique permet les indisponibilités du système sont Les indisponibilités du
système de recenser l'ensemble des occasionnelles mais ne sont pas système sont de plus en
temps d'indisponibilité du expliquées.Risque d'anomalie grave plus fréquentes mais ne
système. Les causes de non décelée pouvant générer des sont pas surveillées.
l'indisponibilité sont expliquées pannes et des pertes de données Risque de panne
bloquante et de perte
de données
78
2021-12-11

Évaluation du risque : Gestion de l’exploitation (suite)
157

Fonction Un administrateur et/ou une Un administrateur est désigné mais Aucune personne n'est
d'exploitation équipe chargée de l'exploitation occupe d'autre fonctions dans désignée pour occuper la
existe au sein de l'entreprise et a l'entreprise et n'est toujours pas fonction d'administrateur
plein temps, des opérations de disponible pour occuper la fonction : le réseau n'est pas
gestion et de surveillance réseau d'exploitation.Risque que la fonction surveillé régulièrement.
sont effectuées quotidiennement exploitation soit mal assurée, risque de Toutes les machines ont
perte de données, risque de perte de des droits
pilotage de système (a relativiser selon d'administrateurs et en
la taille de l'entreprise) conséquence, des
applications peuvent être
installées sans
intervention d'un
responsable. Risque de
système non contrôlé
Historique et L'administrateur dispose des L'administrateur ne dispose pas de Un administrateur ne
surveillance des statistiques de connexions et statistiques de connexion. Risque que surveille pas les
activités d'anomalies : il les analyse les connexions anormales ne soient pas connexion effectuées
régulièrement et explique les détectées pourrait ne pas détecter
incidents détectés une évaluation d'une
tentative d'intrusion
Risque de tentative
d'intrusion non détectée

Évaluation du risque : Gestion des fonctions externalisées
158

Procédure du choix des l'entreprise procède à l'appel l'entreprise travaille avec les mêmes sous l'entreprise n'a pas de procédure de choix
sous-traitants d'offre : la direction et le traitants depuis longtemps et ne procède des sous-traitants Risque que le choix du
responsable informatique pas à des appels d'offres. Risque que le sous-traitant ne soit pas optimal (tarif,
choisissent le sous-traitant en choix du sous-traitants ne soit plus adapté domaines de compétence…)
fonction de sa taille, de ses aux besoins de l'entreprise ou que le sous-
spécialités, ses références… traitants détiennent toutes la connaissance
de l'entreprise
Sous traitants Les sous traitants répondent aux le sous traitant n'est jamais intervenu dans Le sous traitant n'est pas disponible pour
correspondant aux besoins besoins de l'entrepriseetont des un environnement applicatif ou matériel l'entreprise et n'arrive pas toujours a
de l'entreprise qualifications convenables du type similaire à celui de l'entreprise. Risque que résoudre les problèmes qui lui sont posés.
de la prestation demandée et le sous traitant ne parvienne pas à traiter Risque que les anomalies ne soient pas
conforme aux objectifs toutes les tâches qui lui sont assignées ou résolues et entraînent des
que la qualité des prestations soit dysfonctionnements importants
insuffisante
Supervision des activités Les sous traitants doivent Le contrat décrit le type de prestation Le contrat ne représente pas les
du sous traitant systématiquement remettre des demandée, mais aucun niveau de service obligations des deux parties, ni les
comptes rendus d'intervention et n'est demandé. Risque que la responsabilité modalités de fin de prestation. Le contrat
d'avancement. A chaque du sous traitant ne soit pas invoquée en cas est signée par une personne non habilitée
intervention la conformité du d'insuffisance du niveau de prestation à engager l'entreprise. Risque que le
résultat attendu par rapport aux contrat soit considéré comme nul en cas
travaux demandés est vérifiée de la mise en cause de la responsabilité
d'une des deux partie dans l'hypothèse
d'une mésentente
79
2021-12-11

Évaluation du risque : Gestion de la sécurité (1/4)
159

Procédure de Une procédure de sauvegarde est Une procédure est appliquée mais n'as Aucune procédure de sauvegarde
sauvegarde formalisée et mise à jour. Elle détaille pas été formalisé.Risque que la n'est formalisée ni
les supports utilisés, le rythme des procédure ne soit pas correctement appliquée.Risque de perte de
sauvegardes, les acteurs impliqués dans appliqué e et que les sauvegardes données en cas d'incident
le processus n'aboutissent pas proprement et donc
perte de données
Modalité de Une sauvegarde des données est Une sauvegarde quotidienne est menée, Les sauvegardes ne sont pas
sauvegarde effectuée quotidiennement. Les des tests de restauration des données effectuées régulièrement et les
supports sont conservés et externalisés sont effectués, mais aucune traçabilité supports ne sont pas
n'est gardée. Risque que les données testés.Risque de perte de
sauvegardées ne soient pas exhaustives données
et que les anomalies survenues lors des
traitements ne soient pas décelées et
résolues
Plan de secours Un contrat a été passé avec une société Une réflexion à été menée pour Aucune réflexion n'a été menée
spécialisée dans les plans de secours identification des données les plus au niveau du plan de secours.
informatiques pour une prestation de sensibles et les parties du SI sans Risque d'indisponibilité longue du
site de secours ou détention de matériel lesquelles l'entreprise ne pourra plus système en cas d'incident. D'où
en double en cas de problème. Un plan de exercer son activité. Toutefois aucun la difficulté à assurer la
reprise d'activité est formalisé avec les plan formalisé de reprise n'est rédigé. poursuite des activités de
rôles des différents acteurs et Risque que la mise en place du plan de l'entreprise et un risque de
matériels à remettre en marche en secours informatique ne soit pas pertes financiers et de données
priorité. Le plan est régulièrement testé respecté et que les différents acteurs
et est opérationnel ne soient pas prévenus de leur rôle en
cas d'incident

Évaluation du risque : Gestion de la sécurité (suite)
160

gestion des Chaque utilisateur dispose d'un Des identifiants communs existent au sein L'entreprise ne gère pas des profils
habilitations / compte nominatif avec les droits qui de l'entreprise. Seuls deux profils différents et ne dispose pas d'une
profils utilisateurs lui sont affectés selon l'étendu de sa existent : administrateur / utilisateur. politique de mot de passe
fonctionles habilitations sont crées L'identification de l'utilisateur ayant Risque que des droits illimités alors
lors de l'entrée des salariés selon effectué des opérations sous un compte qu'ils ne doivent pas en avoir l'usage
leurs fonctions et désactivés lors de commun est impossible. Certains dans le cadre de leur fonction Des
leur sortie. Elles sont régulièrement utilisateurs auront des droits trop identifiants communs sont utilisés par
revues pour qu'un compte non utilisé étendus par rapport à la fonction plusieurs utilisateurs et aucun profil
ne soit pas actif occupéeLes entrées/sorties du personnel différent n'a été créé . Risque que
ne sont pas communiquées à l'identifiant de la personne ayant
l'administrateurRisque que des comptes effectué des opérations sous un
d'utilisateurs ayant quitté l'entreprise compte commun soit impossible
soient encore actifs et représentent des
points d'accès possibles au réseau pour
des attaques logiques provenant de
l'extérieur
Gestion de mot de Des notes de sensibilisation sont Les mots de passes ne comportent pas de Des mots de passe génériques ou des
passe envoyées régulièrement au personnel blocages par rapport à leur longueur ou mots de passe facile a deviner ou
concernant la gestion des mots de leur nature et ne sont pas changés identifiants existent pour des
passe.Le système impose un nombre régulièrementRisque que les mots de passe comptes utilisateurs ayant des droits
minimum de caractère pour les mots puissent être découverts facilement et étendus Risque que les mots de passe
de passe, ainsi qu'un changement que personnes non autorisées aient accès puissent être découverts facilement
régulier aux utilisateurs au réseau de l'entreprise et que des personnes non autorisées
aient les droits d'administration sur le
réseau de l'entreprise
80
2021-12-11

161

Utilisation d'internet l'accès à l'Internet est contrôlé par un Aucune sensibilisation à l'utilisation d'Internet Tous les postes disposent d'une connexion
firewall et limité à quelques postes dans et de la messagerie n'a été menée auprès du Internet et d'une messagerie mais aucune
l'entreprise. Le Firewall a fait l'objet d'un personnel, mais ces outils ne sont pas sensibilisation à leur bonne utilisation n'a
paramétrage. Une charte décrit les accessibles que de quelques postes été menée auprès du personnel. Risque
modalités d'utilisation de ces outils dans le spécifiques.Risque limité d'importation de élevé d'importation de virus, de visite de
cadre professionnel virus, de visites de sites non autorisés, site non autorisés et d'utilisation d'outil à
d'utilisation des outils a des fins personnelles de fins personnelles
Antivirus L'entreprise dispose d'un antivirus mis à L'antivirus installé par l'entreprise ne fait pas Des postes de travail avec lecteurs de
jour en ligne automatiquement, installé sur objet de mise à jour de manière fréquente disquette (USB) ou cd rom est accès à
tous les postes ne pouvant être désactivé (aucun configuration n'est faite dans ce l'Internet ne disposant pas d'un antivirus.
par l'utilisateur sens)Risque de contamination du réseau de Risque d'importation de virus et de
l'entreprise du fait du dépassement des contamination du réseau de l'entreprise
signatures de l'antivirus
Protection du réseau Le réseau est protégé de l'extérieur par Le réseau est relié à Internet, les flux L'entreprise détient des données sensibles
des Firewall et les accès utilisateurs font entrants et sortants sont répertoriés, mais et aucun flux entrant ou sortant du réseau
l'objet d'un suivi aucun Firewall n'en assure la protectionRisque n'est répertorié : les éventuelles attaques
d'attaques logiques provenant d'Internet dont l'entreprise pourraient être la cible
ne peuvent pas être détectées . Risque
d'attaques logiques provenant d'Internet
ne pouvant pas être identifiés

162

Moyen d'accès aux Les locaux sont surveillés, un badge l'entreprise ne dispose pas de sas ou Toute personne peut accéder aux
locaux est nécessaire pour y entrer, les de portillon de sécurité pour accéder locaux de l'entreprise sans se
visiteurs doivent passer l'accueil et à ses locaux. Les visiteurs ne sont pas présenter à l'accueille et présenter
ils sont accompagnés pendant la systématiquement raccompagnés une pièce d'identité. Les locaux de
durée de présence dans les locaux jusqu'à la sortie et aucune pièce la salle machine ne sont pas dotés
de l'entreprise, les salles machines d'identité ne leur est demandée à d'un mécanisme de gestion d'accès
sont sécurisées et interdites aux leur entrée, mais les salles machines et ne sont pas surveillés. En dehors
personnes extérieures de la société disposent d'un système de contrôle des heures de travail, les locaux ne
d'accès Risque que les personnes présentent pas de dispositif
extérieure à l'entreprise puissent y d'antivol.Risque que les personnes
accéder librement puissent accéder librement à la salle
machine
Protection incendie L'entreprise dispose d'un L'entreprise respecte les l'entreprise ne respecte pas la
mécanisme de détection d'incendie réglementations en vigueur de réglementation en vigueur.Risque de
et de fumée, d'armoires ignifugées protection incendie, mais ne dispose pénalité en cas de vérification avec
et d'extincteurs. Les salles pas de dispositifs un risque de dégâts importants en
machines n'abritent pas les supplémentaires.Risque de dégâts cas d'incendie
consommables et les fournitures importants en cas d'incendie
Protection L'entreprise dispose d'onduleurs L'entreprise dispose d'onduleurs sur L'entreprise ne dispose pas
électrique permettant d'éviter des dégâts les serveurs les plus critiques.Risque d'onduleur électrique ni d'aucune
suite à des coupures d'électricité ou de perte de données en cas de autre protection contre les
des variations de tension coupure de courant variations de courant. Risque de
perte de données et de pertes de
matériel en cas d'incident
d'électricité
81
2021-12-11

163
Synthèse de l’évaluation des risques
 Lors de l’évaluation des risques, l’incidence de l’environnement informatique sur le

risque inhérent et sur le risque lié au contrôle a été prise en compte et le risque de
non détection permet de déterminer les contrôles substantifs à mener dans la phase
d’obtention d’éléments probants
 Il convient de rappeler que le risque le plus important pour vous, commissaire aux
comptes, est le risque de non détection, la relation entre les différentes
composantes du risque d’audit est présentée dans le tableau suivant, lequel indique
comment le risque de non détection peut varier en fonction de l’appréciation du
risque inhérent et du risque lié au contrôle
Evaluation par le commissaire Evaluation par le commissaire aux comptes du risque lié au contrôle
aux comptes du risque
inhérent Elevé Moyen Faible
Elevé Minimum Faible Moyen
Moyen Faible Moyen Elevé
Faible Moyen Elevé Maximum
Merci de
votre
attention
164 Des questions?
82

Cours ASI Definitif

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours ASI Definitif

Transféré par

Droits d'auteur :

Formats disponibles

2021-12-11

Université Sidi Mohamed Ben Abdellah 1

AUDIT DES SYSTÈMES D’INFORMATION

Préparé par TAOUFIK EL BOUZEKRI EL IDRISSI

Les principaux objectifs de ce cours sont d'amener les étudiants à :

 Comprendre le vocabulaire et les concepts de base associés à l’ audit des SI

 Aperçu sur la genèse de la pratique d’audit

Aperçu sur la genèse de la pratique d’audit

Audit : Définition et origines

Le besoin d’établissement d’une information objective entre les partenaires

•Premier cabinet d'audit fut fondé au 19ème siècle à Londres;

Aperçu sur la genèse de la pratique d’audit

Audit : Définition et origines (suite)

Un audit est un processus permanent ou ponctuel, par lequel une

Aperçu sur la genèse de la pratique d’audit

Aperçu sur la genèse de la pratique d’audit

 Le terme contrôle est fréquemment associé à celui d'audit; la différence

 L'audit englobe ainsi l'ensemble des procédures et techniques de contrôle

Aperçu sur la genèse de la pratique d’audit

L’audit : Pour qui? Et Pourquoi?

Aperçu sur la genèse de la pratique d’audit

Aperçu sur la genèse de la pratique d’audit

Selon quelle démarche et avec quels outils ?

 Un besoin clairement exprimé

Aperçu sur la genèse de la pratique d’audit

Les objectifs de l’audit

Economie Les ressources pour mise en œuvre des politiques de la DG :

Sécurité Les ressources pour mise en œuvre des politiques de la DG

L'audit des systèmes d'information

 L’audit du système d’information

L'audit des systèmes d'information

 Il existe de nombreux systèmes : système nerveux, philosophique, politique,

L'audit des systèmes d'information

 Etymologiquement, l’information est donc ce qui donne forme à

L'audit des systèmes d'information

 Un système d’information est un ensemble organisé de ressources

 Reix et Rowe (2002, page 11) : « Un système d’information est un

Le système d'information d’une organisation

 Le système d'information d’une organisation est un ensemble de

 Elles permettent également aux autres utilisateurs de contribuer au

Schéma d’un système d’information

L'audit des systèmes d'information

L'audit des systèmes d'information : Définition

L’audit informatique (aussi appelé « audit des systèmes d’information

 d’analyser tout ou une partie d’une organisation informatique,

L'audit des systèmes d'information

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI)

3. Appréciation du contrôle interne

L'audit des systèmes d'information

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)

1. Activité d’évaluation indépendante

L'audit des systèmes d'information

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)

2. Activité d’assistance du management

L'audit des systèmes d'information

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)

3. Encourager un contrôle efficace

L'audit des systèmes d'information

Les demandeurs d'un audit de l'activité informatique

Les demandeurs d'un audit de l'activité informatique

La direction de l'entreprise Pour vérifier le respect des orientations

Aperçu sur la genèse de la pratique d’audit

Les principales questions posées par les décideurs :