Audit Informatique

COURS AUDIT INFORMATIQUE
PLAN DU COURS
BUT DU COURS............................................................................................................................... 0
I. INTRODUCTION .......................................................................................................................... 1
I.1. BREF HISTORIQUE DE L’AUDIT ....................................................................................... 2
I.2. AUDIT INTERNE ET AUDIT INFORMATIQUE ................................................................ 3
I.3. BESOIN ET NECESSITE D’AUDIT INFORMATIQUE ...................................................... 4
I.4. POSTES DE COUT INFORMATIQUE ................................................................................. 4
CHAP II. CONTEXTE TECHNIQUE POUR LA MISSION D’AUDIT ......................................... 6
II.1. L’EVOLUTION DES DIFFERENTS SYSTEMES .............................................................. 8
II.2. TYPOLOGIE D’AUDIT INFORMATIQUE ........................................................................ 8
II.3. L’AUDIT INFORMATIQUE FONCTIONNEL ................................................................... 9
II.4. L’AUDIT INFORMATIQUE OPERATIONNEL ................................................................. 9
CHAP III. PHASES D’UNE MISSION D’AUDIT ......................................................................... 10
III.1. ENQUETE PRELIMINAIRE ......................................................................................... 11
III.2. PHASE DE VERIFICATION ......................................................................................... 12
III.3. PHASE DE RESTITUTION DU RAPPORT ................................................................. 13
CHAP IV. MISSIONS D’AUDIT ................................................................................................... 15
IV.1. AUDIT DE LA POLITIQUE D’ACQUISITION EN VUE DE L’INFORMATISATION
...................................................................................................................................................... 15
IV.2. AUDIT SUR L’UTILISATION DES LOGICIELS ........................................................... 18
IV.3. AUDIT DE QUALITE DE SERVICE ET DE L’INFORMATIQUE HORIZONTALE ... 19
IV.4. AUDIT D’UN GRAND CENTRE SERVEUR .................................................................. 20
IV.5. AUDIT DES RESSOURCES HUMAINES ....................................................................... 21
CHAP V. PROBLEME DE SECURITE ET AUDIT ASSOCIE .................................................... 23
A. PLAN DE SECURITE CONCERNANT LA PROTECTION DE MATERIEL ET DE LA
SALLE DE STOCKAGE ............................................................................................................ 23
B. SECURITE CONCERNANT LES FICHIERS ....................................................................... 24
C. SECURITE DES MATERIELS .............................................................................................. 24
D. SECURITE DE LA DOCUMENTATION ............................................................................. 24
E. AUDIT ET SECURITE DANS LE DOMAINE DU RESEAU .............................................. 25
BUT DU COURS
Initier les futurs informaticiens aux techniques et procédures d’audit
1
Cours d’Audit Informatique universite lumiere de BUJUMBURA
informatique.
I. INTRODUCTION
L’Audit vient du mot latin AUDIRE qui signifie écouter, faire un
diagnostic. Il s’agit donc d’une activité qui diagnostique les forces et les
faiblesses d’un système en référence à des objectifs déclarés ou sousentendus,
qui analyse les raisons de ces lacunes et qui propose un plan d’action afin que
le service audité réponde aux besoins et exigences de l’entreprise en terme de
qualité de service, de sécurité, d’efficacité, de cohérence,...
L’entreprise peut être considérée comme une boîte noire avec à
l’entrée des flux d’information et à la sortie des produits finis. D’où, la nécessité
de coordination et de synchronisation de tous ses éléments.
L’entreprise comme système a besoin d’outils de systèmes
d’information et informatiques. Ces outils doivent être fiables. Pour fiabiliser ces
moyens, il faut diagnostiquer, vérifier, contrôler et prévenir, trouver les moyens
de défaillances, formuler des recommandations. Tous ces problèmes font
partis du rôle des auditeurs.
FLUX
D’INFORMATION
ENTREPRISE PRODUITS FINIS
OU "BOITE NOIRE"
ENTREE AUTRES
SORTIE
INFORMATIONS
L’entreprise doit être bien gérée
- Vérifier
- Diagnostic
- Contrôle
- Recherche les goulots d’étranglements
- Proposer des solutions
Par NIYO Pierre Page 1

2
I.1. BREF HISTORIQUE DE L’AUDIT
Aucune entreprise ne peut fonctionner sans système d’information de

gestion nommé SIG. Aucune ne peut survivre si elle ne possède pas un bon
manager ou chef compétent.
Ainsi, MANAGER consiste à trouver l’adéquation entre les ressources
humaines, financières, matérielles et les finalités des projets plus les objectifs de
son entreprise. Dans ce cas, le SIG est formé par l’ensemble des ressources
matérielles, humaines pour traiter les informations et atteindre son objectif.
On peut aussi dire qu’un système d’information est un moyen de
communication pour une entreprise.
Partant de ce principe, l’historique de l’audit date de 2000 ans AV. JC
(code de la comptabilité à Mésopotamie).
A partir du 19ème siècle, il y a eu la naissance des associations
comptables pour auditer les entreprises.
Vers les années 1965, la création de l’IFACI : Institut Français des
Auditeurs et Consultants Internes.
Acteurs concernés par l’audit
1) Organisateur : personne intervenant à la demande de la direction
et a pour mission de proposer une structure avec la définition
précise de rôle et responsabilité de chaque élément de la
structure.
2) Le Responsable de la sécurité : il a pour mission d’assurer le

contrôle et d’inspection des sites afin de détecter les risques
éventuels au sein de l’entreprise. Il a aussi pour mission d’assurer la
sécurité physique des individus et du patrimoine de l’entreprise.
3) Contrôleur de gestion: assistant de la direction qui établit le
budget, les prévisions et contrôle les réalisations.
4) L’auditeur interne : personne qui intervient suivant un planning ou
sur ordre de mission. Il a le rôle de prendre une "Photo" à un instant
donné. Il apprécie l’état du contrôle interne.

3
5) Réviseur comptable : c’est la personne qui apprécie la validité des

documents issus de la comptabilité qui seront rendus publics (le
bilan et le compte de résultat).
6) Consultant : personne qui subit les lois du marché. Possède une
spécialité et une compétence reconnue.
Les directions d’attaches et domaines d’intervention de chaque acteur
sont résumés dans le tableau ci-après :
DIRECTION D’ATTACHE ET DOMAINE D’INTERVENTION DES ACTEURS D’AUDIT

ACTEUR DIRECTION D’ATTACHE DOMAINE DE
COMPETENCE
ORGANISATEUR DG, DFC E

RESPONSABLE DE DT D
SECURITE
CONTROLEUR DE DG, DFC F
GESTION
AUDITEUR INTERNE DG, DFC B
REVISEUR COMPTABLE INDEPENDANT A
CONSULTANT INDEPENDANT C
A : Contrôleur Comptable
B : Contrôleur Technique, Commercial, Comptable, Sécurité
C : Diagnostic, Avis et Conseil
D : Sécurité physique du système ou des agents
E : Avis et Conseil, Planification d’un projet
F : Contrôleur des résultats de divers services
I.2. AUDIT INTERNE ET AUDIT INFORMATIQUE

4
L’audit interne est une activité indépendante d’appréciation de

contrôle, de l’exécution et de l’efficacité des autres contrôles en vue d’assister
la direction.
L’audit informatique est une activité de contrôle du manquement
informatique pour apprécier l’utilisation, l’exécution, l’efficacité
et l’adéquation des éléments constitutifs du système informatique ou du
système d’information avec comme objectif l’orientation de l’entreprise.
I.3. BESOIN ET NECESSITE D’AUDIT INFORMATIQUE
Les raisons qui invitent les dirigeants à effectuer les audits informatiques
sont :
- La connaissance de l’impact de changement dû aux introductions de
système informatique dans l’environnement du travail ;
- Le besoin de connaître les chiffres d’affaire et le retour des investissements
(ROI) avec les divers coûts et les risques encourus.
I.4. POSTES DE COUT INFORMATIQUE
Les coûts informatiques sont catégorisés sur 2 aspects :
- L’entreprise ne possède pas encore les outils informatiques mais envisage

l’automatisation ;
- L’entreprise possède un système informatique,
Dans ce cas les charges informatiques sont en dehors de charge du

matériel et celles des logiciels. On distingue les charges de premier
établissement et les charges répétitives ou périodiques.
a. Charges de premier établissement Ce
sont les charges tels que :
- Le coût de l’étude de l’opportunité
- Les dépenses pour la sensibilisation du personnel
- Le coût de conversion (initiation de formation)

- Les frais de réorganisation partielle ou totale

5
- Le coût ou perte dû(e) à l’interruption des opérations
- Les dépenses de formation du personnel (informaticiens ou utilisateurs)
- Le coût d’analyse conceptuelle
- Le coût de programmation
- Le coût des essais
- Le coût d’établissement de la documentation
b. Charges périodiques ou répétitives

Ce sont des charges qu’on retrouve lors de l’exercice du
fonctionnement du système informatique. Ces charges constituent la base du
budget informatique.
- Les charges de personnel
- Les charges de matériel (achat, location ou maintenance)
- Les charges locatives de logiciels
- Les charges de fourniture
- Les frais généraux inhérents au système informatique (locaux,

climatisation, entretien, assurance).

6
CHAP II. CONTEXTE TECHNIQUE POUR LA MISSION D’AUDIT

Les contextes techniques pour les missions d’audit sont liés à l’évolution
de la technologie de l’information.
- En ce qui concerne les machines, on est passé aux ordinateurs de la 1ère
génération aux ordinateurs de la 4ème ou 5ème génération ;
- En ce qui concerne les logiciels (logiciels de base et logiciels

d’application)

8
LOGICIELS
LOGICIELS DE
LOGICIELS
BASE
D’APPLICATION
SYSTÈME
D’EXPLOITATION
PROGICIELS (LOGICIELS LOGICIELS D’APPLICATION LOGICIELS SPECIFIQUES
POLYVALENTS) PROPREMENT DITS
- MS DOS
- WINDOWS -CAO
- UNIX - GESTION DE STOCK -DAO
- LINUX - COMPTABILITE -EAO
- NOS - GESTION DES MALADES -FAO
- OS/2 - Etc. -MAO
-PAO
-GPAO
-Etc.
GESTION DES
TEXTEUR TABLEUR GRAPHEUR RESEAUX
DONNEES
- LOTUS
- EXCEL - SPSS - INTERNET EXPLORER
- MULTIPLAN - ACCESS - EPI-INFO - NETSCAPE
- WORD - Etc. - DBASE - SPHINX - NAVIGATEUR
- WORDPERFECT - ORACLE - Etc. - Etc.
- POWER POINT - SQL SERVER
- Etc. - FRAMEWORK
- Etc;
8
II.1. L’EVOLUTION DES DIFFERENTS SYSTEMES
- En ce qui concerne le type d’architecture des systèmes informatiques

Exemple : Architecture client-serveur
- En ce qui concerne les langages de programmation et les outils du

développement ; un des contextes de l’audit informatique c’est les
méthodes des systèmes d’information basés sur les 3 cycles :
- Cycle de vie
- Cycle de décision
- Cycle d’abstraction
Tous ces problèmes font que la nécessité d’audit devient de plus en
plus présente.
II.2. TYPOLOGIE D’AUDIT INFORMATIQUE

Selon le degré de finalité d’importance, des difficultés, on distingue 3
types d’audit informatique : 1° L’audit de diagnostic
2° L’audit de régularité
3° L’audit d’efficacité
A). L’audit de diagnostic
L’audit de diagnostic permet à l’auditeur à porter un jugement sur des
objectifs ou nouveaux projets de l’entreprise. Voir même de la politique
générale de l’entreprise (sur le schéma directeur).
B) L’audit de régularité (audit de conformité)
Cet audit a pour but la vérification de telle ou telle procédure, les
problèmes de cohérence des données c’est-à-dire les données intégrées dans
les ordinateurs sont réelles ou cohérentes.
C) L’audit d’efficacité
C’est l’audit qui consiste à analyser les méthodes d’analyse, de
conception et de développement.
Selon la distinction par degré de difficultés croissant on distingue :
- L’audit en milieu informatique
Par NIYO Pierre 8

9
Page
- L’audit de sécurité d’une façon globale
- L’audit informatique système

Remarque : Certains auteurs distinguent 2 types d’audit :
- L’audit informatique fonctionnel
- L’audit informatique opérationnel
II.3. L’AUDIT INFORMATIQUE FONCTIONNEL

L’audit informatique fonctionnel comporte 4 audits suivants :
1. L’audit des moyens
2. L’audit de la production des services informatiques
3. L’audit de la politique informatique
4. L’audit financier
II.4. L’AUDIT INFORMATIQUE OPERATIONNEL

- L’audit des moyens de traitement et des ressources techniques
- L’audit des applications
- L’audit de la circulation des documents
- L’audit de la sécurité générale liée à l’Informatique

10
CHAP III. PHASES D’UNE MISSION D’AUDIT

LETTRE DE MISSION
ENQUETE PRELIMINAIRE
PLAN DE VERIFICATION
PREUVE N
SUFFISANTE
RAPPORT D’AUDIT
Une mission d’audit informatique peut se décomposer en 3 phases une

fois le sujet et les liens au service à éditer sont déterminés. On peut alors
commencer les travaux d’audit qui débutent par :
- La phase d’enquête préliminaire
- La phase de vérification
- La phase de restitution (rapport de mission)

 Lettre de mission
La lettre de mission est adressée par la direction générale au service
de l’audit. Cette lettre déclenche le travail de l’équipe de l’audit. C’est le point
de départ d’une mission d’audit.
A la réception de la lettre de mission de service informatique on
dresse la liste de portefeuille de mission à effectuer.
Ainsi, la lettre de mission peut être appelée «ordre de mission» Dans
la pratique, on distingue les types de mission ci-après :
- Mission de type cyclique (2 fois ou une fois par an)
- Mission spécifique demandée par la direction
- Mission due à des événements nouveaux non prévisibles dans

l’entreprise

11
III.1. ENQUETE PRELIMINAIRE

L’enquête préliminaire demeure avec la définition des objectifs et de
la lettre de mission. La durée de l’enquête est de 4 à 5 jours environ mais elle
peut être prolongée si c’est nécessaire.
Composition de l’équipe
L’équipe est composée comme suit :
- Un chef de mission (Superviseur)
- Un auditeur spécialiste en informatique
- Un deuxième auditeur (généraliste) binôme
- Le chef de service d’audit (éventuellement mais non obligatoire)

L’enquête préliminaire se compose de 4 phases :
1° L’analyse du sujet et la définition des objectifs
2° La préparation de la documentation (élaboration des questionnaires)
3° La prise de contact avec les autorités
4° L’enquête préliminaire proprement-dit sur le terrain (2 ou 3 jours) Le
but de cette dernière phase est de :
- Collecter des informations afin de pouvoir dresser un plan du travail
- Etudier la faisabilité par rapport à l’ordre de mission des objectifs

préalablement fixés
- Remettre en cause éventuellement les objectifs après discussion avec
le service demandé
Exemple : pour une mission d’audit de traitement des anomalies et
limitation des factures erronées chez un opérateur de
télécommunication, l’enquête préliminaire devra permettre de :
- Prendre connaissance des fonctions des divers services en jeu
- Etudier l’organigramme de l’organisation et les relations des services
- S’informer sur le fonctionnement du Centre de Traitement Informatique
- S’informer sur le volume des factures émises et le nombre des factures

erronées
- Inventorier le délai, la fréquence de traitement
- Répertorier les divers types d’anomalies au niveau de la saisie

12
- Identifier le problème ressenti par le service informatique ou d’autres

services
Remarque : La phase préliminaire constitue la phase du diagnostic
III.2. PHASE DE VERIFICATION

La phase de vérification a pour but de confirmer les points forts et aux
points faibles constatés ou supposés dans la phase d’enquête préliminaire et
déchiffrer éventuellement les pertes et risques encourus. Cette phase se
décompose comme suit :
1° L’établissement d’un programme de vérification
2° L’étape de vérification sur le terrain et la recherche des preuves de
défaillance
3° Le dépouillement et la compilation des résultats obtenus
4° L’exploitation de résultat
Remarque : On peut distinguer 2 types de vérification :
a) Vérification rapide : qu’on appelle aussi vérification de survol
(entretien, examen de la documentation, etc.)
L’objectif poursuivi est de permettre aux auditeurs de détecter
rapidement les points forts et les points faibles.
b) Vérification approfondie
L’objectif est d’apporter les preuves pour confronter les éléments
recensés et déchiffrer le dégât réel.
Le schéma général de l’étape de vérification se présente comme suit
:

13
ETABLISSEMENT D’UN
PLAN D’APPROCHE
PROGRAMME DE
VERIFICATION
VERIFICATION RAPIDE
VERIFICATION DETAILLEE
NON
BBK PR CONFIRMATION
DEPOUILLEMENT DES OUI

RESULTATS
EXPLOITATION ET MISE EN
FORME
PHASE DE RAPPORT
Remarque :
BBK : Black Blur Key (B ilan mettant en évidence les points forts et les points
faibles)
PR : Point de Reprise
III.3. PHASE DE RESTITUTION DU RAPPORT

C’est la dernière phase d’une mission d’audit appelée Phase de
restitution du rapport d’audit.
Elle consiste à la préparation, la rédaction et l’édition d’un rapport.
Les principales étapes sont :
- La rédaction d’un projet de rapport
- La présentation du projet au responsable du service audit
- La rédaction du projet définitif
- La notification et l’envoie du rapport au service intéressé

14
- L’établissement de fiche de suivi et l’envoie de la lettre de clôture de la

mission.
 QUELQUES CONSEILS POUR LA REDACTION DU RAPPORT FINAL 1° Le

volume et l’épaisseur du rapport sont fonction du terme et de service audité (il
n’y a pas de règle fixe)
2° on exige dans ce rapport la clarté et la concision
3° L’organigramme d’un service au sein du rapport est à déconseiller mais il
peut se trouver en annexe
4° La description des fonctions n’est pas obligatoire
5° Les annexes ne sont obligatoires
6° L’IFACI (Institut Français des Auditeurs et Consultants Internes) recommande
de dresser le tableau des points forts et des points faibles. Remarque : Les
techniques et les outils de vérifications sont fonction du problème à résoudre.

15
CHAP IV. MISSIONS D’AUDIT

Dans la pratique, il existe différents types d’audit, cependant
l’expérience à montré que les missions d’audit sont classifiées en 2 catégories
:
1° Les missions d’audit demandées par la direction générale
2° Les missions d’audit demandées par la direction technique de
l’informatique.
a. LES MISSIONS D’AUDIT DEMANDEES PAR LA DIRECTION GENERALE La
grande mission est l’audit de la politique informatique.
L’audit de la politique informatique comprend les missions ci-après :
- L’audit de la politique informatique d’acquisition en vue de

l’informatisation
- Audit des projets présents et futurs (audit de processus de
développement)
- Audit relatif aux finances de la fonction informatique
- Audit du budget et du suivi
- Audit sur la comptabilité analytique
- Audit sur les prestations internes

- Audit des coûts
IV.1. AUDIT DE LA POLITIQUE D’ACQUISITION EN VUE DE

L’INFORMATISATION
Pour effectuer cet audit le document de base est le cahier de charges.
Un cahier de charges est un document contractuel entre le client demandeur
d’un service informatique ou d’acquisition des matériels informatiques et ses
fournisseurs.
On appelle aussi cahier de charges, le document établi entre l’équipe
informatique interne d’une entreprise et une société informatique.
Le cahier de charges comprend les rubriques ci-après :
a. Définition générale et contexte du problème :
- Les objectifs

16
- Les contraintes
b. Les documents de base :

- Les divers documents et schémas de circulation
- Les états d’entrée et de sortie pour les applications
c. Fonctionnalités du futur système

- Les traitements ou modules de programme
- Des solutions envisagées
d. Les directives :
- Les recommandations
- Les prévisions d’extension du système
e. Conclusion et engagement
- Rapport des engagements mutuels
- Délai des travaux
- Calendrier des réalisations, etc.
Pour une mission d’audit, le cahier de charges est utilisé pour faciliter
par exemple :
- Récolter les informations sur le choix des matériels achetés (leurs
caractéristiques notamment le type de processeur, la capacité mémoire
centrale, les types des périphériques, les types de réseau installé, etc.)
- Récolter les informations sur les logiciels réalisés ou achetés
- Récolter les informations sur les bases de données mise au point :

Exemple : Base de données répartie, partagée ou orienté-objet
- Récolter les informations sur le coût du matériel
- Récolter les informations sur les applications envisageables ou réalisées
- Récolter les informations sur le type de contrat contractualisé afin

d’analyser les devoirs et obligations de chaque partie.
 METHODES D’ESTIMATION DE CHARGE
1. METHODE DE REPARTITION PROFESSIONNELLE

Pour cette méthode on fait une estimation globale de la charge du
projet et on répartie cette charge dans le temps. La répartition professionnelle
se base sur les étapes ci-après :

17
CONCEPTION 100% REALISATION

ETAPE RATIO
ETUDE PREALABLE 10% du total du projet
ETUDE DETAILLEE 20 à 30% du total du projet
ETUDE TECHNIQUE 5 à 15% de la charge de réalisation
REALISATION Deux fois la charge d’étude détaillée
MISE EN ŒUVRE 30 à 40% de la charge de réalisation
2. METHODE COCOMO (CONSTRUCTIVE COST MODEL)

B. W BOEHM
Cette méthode repose sur 2 hypothèses:
1) Un informaticien chevronné peut facilement donner une évolution
de la taille de logiciel à développer
2) Un informaticien fait toujours les mêmes efforts pour écrire un
nombre donné de lignes de programme quel que soit le langage
de programmation utilisé (3ème ou 4ème génération).
A ces 2 hypothèses, BOEHM est arrivé à calculer de coefficient de

corrélation entre la taille du logiciel et la charge consommée. L’unité d’œuvre.
L’unité d’œuvre utilisée (UNITE DE MESURE) pour ce modèle est l’instruction
source (lignes de programme) notée KISL ou KDSI Kilo Octet Instruction Source
Ligne (KISL). La méthode permet d’obtenir la charge de réalisation en M/H ainsi
que le délai normal recommandé si on ne veut pas prendre des risques
supplémentaires. La taille moyenne de l’équipe est donnée par la formule :
Charge
1). Taille Moyenne dela Population
Délai
2). Charge en Mois/ H a(KISL)b
3). Délai normal en Mois C(Charge en Mois/ H)d
KISL : Nombre de milliers d’instructions sources lignes (le nombre de milliers de

lignes de programme source testées).

18
KDSI : Kilo Delivered Source Instructions (Milliers de lignes de codes)
a : Coefficient de la croissance du rendement

b : Coefficient de la décroissance du rendement en fonction de la taille du
logiciel.
b. MISSIONS D’AUDIT DEMANDE PAR LA DIRECTION INFORMATIQUE

Les missions d’audit demandé par les services informatiques sont
multiples :
- Audit sur l’utilisation des logiciels
- Audit de qualité de service et de l’informatique horizontale
- Audit de l’utilisation et de l’exploitation de logiciels horizontaux
- Audit d’un grand centre serveur
- Audit des ressources humaines
IV.2. AUDIT SUR L’UTILISATION DES LOGICIELS

Remarque : Actuellement beaucoup d’entreprises notamment PME font
appel aux logiciels dits horizontaux qui sont utilisables par le PC.
Le problème qui se pose est le piratage de logiciels ou le
chargement des paramètres de logiciels. Ces problèmes sont punis par la loi.
En effet, il existe un contrat d’utilisation des logiciels associé au
contrat de vente.
Au vue de ces problèmes, le rôle de l’auditeur dans la mission
d’audit des logiciels est de :
- Vérifier l’existence d’une documentation complète des produits utilisés ;

- Vérifier l’existence d’un planning de formation des utilisateurs ainsi que
le respect de ce planning ;
- Vérifier l’existence de contrat d’utilisation des logiciels ;
- Vérifier que le nombre de produits installés correspond à celui décrit dans

les documents.

19
- Détecter les copies et les logiciels illicitement installés o Les logiciels sont
des produits spécifiques à l’entreprise
o Les progiciels sont des produits standards
IV.3. AUDIT DE QUALITE DE SERVICE ET DE L’INFORMATIQUE

HORIZONTALE
Remarque : La qualité de service informatique ne peut se concevoir
sans une surveillance assidue de système et l’existence des relevés d’incidents.
Le problème de surveillance du système en ce qui concerne la qualité
de service concerné :
- La qualité de service rendu par le système pour les utilisateurs en temps
réel.
- La qualité de service des interventions des constructeurs des machines
ainsi que les indisponibilités détaillées des pannes éventuelles des
ordinateurs.
A titre indicatif, on peut illustrer les qualités de services pour l’utilisateur
en temps réel, les qualités de services des ordinateurs de service
d’intervention par les données ci-après :
PRINCIPAUX INDICATE URS VALEUR DE MOIS MOYENNE DES 6

DERNIERS MOIS
TAUX D’INDISPONIBILITE 1,08 1,09
TMBF UTILISATEUR (EN 96,4 99,3
HEURES)
NOMBRE MOYEN D’ARRET 1,91 1,92
DUREE MOYENNE D’UN 1,05 1,10
ARRET (EN HEURES)
TMBF : Time Between Failure c’est-à-dire le temps moyen que la

machine peut connaître une panne.

20
Qualité de service global des ordinateurs

PRINCIPAUX INDICATEURS VALEUR DE MOIS MOYENNE DES 6 DERNIERS MOIS
TAUX D’INDISPONIBILITE 0,12 0,13
TMBF 3,62 2,62
NOMBRE MOYEN D’ARRET 0,27 0,38
DUREE MOYENNE D’ARRET 1,92 1,64
TAUX D’INTERVENTION
Commentaire :
Les tableaux ci-dessus indiquent les différentes qualités de services
dans des centres informatiques en tenant compte des critères ci-après :
- Taux d’indisponibilité
- Le nombre moyen d’arrêt
- La durée moyenne d’un arrêt en heure

On suppose que l’utilisateur utilise la machine à 100% en temps réel et
que les ordinateurs travaillent aussi à 100%. Parmi ces indicateurs, le TMBF est
souvent le plus élevé pour les utilisateurs.
Ceci s’explique par le fait qu’il y a un faible coût d’intervention au
niveau de maintenance, entretient et réparation de machine soit 3,62%. D’où
l’utilisateur utilise à 96% les machines.
Partant de ces informations, l’audit de la qualité de service concerne
pour l’auditeur la vérification :
- De l’adéquation entre l’investissement et le besoin de l’entreprise
- De la formation des utilisateurs vis-à-vis de logiciel utilisé
- De l’existence du contrat de maintenance avec le fournisseur du

produit.
La durée maximum d’utilisation d’un ordinateur c’est 2ans
IV.4. AUDIT D’UN GRAND CENTRE SERVEUR

Pour l’Audit d’un grand centre serveur, la lettre de mission est envoyée
simultanément à la division informatique et au responsable d’audit. Ces 2
personnes se réunissent pour définir les différentes missions d’audit à effectuer
en dressant un planning de mission.

21
Le nombre total des jours évalués est de 35 jours ouvrables répartis

comme suit :
- Phase de pré-audit et de planification 16% de 35 jours
- Phase d’enquête préliminaire 24%
- Phase de vérification rapide 18%
- Phase de vérification pour réalisation de l’audit proprement dit 26% -

Phase de restitution du rapport 16% comprenant la phase de
rapport(1) 8% et la phase de rapport(2) 8%.
Les missions d’audit vont consister à:
- Connaître les procédures journalières ou hebdomadaires utilisées
- Exécuter des procédures et connaître la marche à suivre en cas de

panne.
- Ajuster les ressources physiques et logiques aux services dégradés
- Connaître les commandes exécutées par le système

Dans ce cas, le rôle de l’auditeur pour l’audit d’un grand centre serveur
est de :
- S’assurer de l’existence des documents ainsi que leur bonne tenue
- S’assurer que les plannings sont respectés
- S’assurer qu’il existe des mécanismes de secours en cas de panne

- S’assurer de l’existence de bonne méthode de travail - S’assurer
qu’il existe un contrat de maintenance.
L’auditeur se chargera de relever les points forts et les points faibles du

système. L’aspect de la sécurité doit être aussi abordé notamment l’accès aux
informations et dans la salle du serveur.
IV.5. AUDIT DES RESSOURCES HUMAINES

L’auditeur des ressources humaines est l’un des plus délicats dans la
pratique par ce que il met en lumière l’inadéquation de la personne vis-à-vis
de son poste, sa démotivation, son incompétence, etc.

22
Ainsi, le manque de compétence peut contribuer à une mauvaise

connaissance ou utilisation du système et à une mauvaise exploitation
d’utilisation de l’informatique.
En effet, dans la plupart des centres informatiques, les problèmes liés
aux ressources humaines sont :
- Retard de traitement
- Etat de listing non conforme en sortie
- Etat de listing non conforme aux documents comptables
- Discordance entre les informaticiens et les utilisateurs - Etc.

Dans ce cas le rôle de l’auditeur est de :
- Vérifier l’existence de l’organigramme clair et précis ainsi que la

définition des fonctions pour chaque informaticien ou utilisateur.
- Vérifier l’existence des clauses relatives au non concurrence, la fidélité
et la déontologie aux secrets professionnels
- Vérifier l’existence de plan de formation adéquat
- Vérifier l’adéquation des formations demandées vis-à-vis des besoins
concernant le système informatique
- Vérifier ou sonder la motivation du personnel
- S’assurer de la compétence des agents
- S’assurer de l’existence d’une politique d’horaire cohérente
- S’assurer que seules les personnes concernées et autorisées sont dans la

salle machine

23
CHAP V. PROBLEME DE SECURITE ET AUDIT ASSOCIE

Remarque : L’information est une des ressources primordiales et constitue une
partie vitale du patrimoine de l’entreprise. Ainsi, le problème de sécurité
devient de plus en plus crucial : sécurité pour la protection de patrimoine et
des biens de l’entreprise pour la protection contre le vol, le sabotage et
l’espionnage industriel.
Du point de vue informatique, la sécurité se base sur les audits ci-après :
- Plan de sécurité de l’entreprise
- Plan de sécurité concernant la protection des matériels et de la salle de

stockage des informations
- Sécurité des matériels
- Sécurité de la documentation
- Sécurité de support d’information (les contenants)
- Sécurité dans le domaine des fichiers (les contenus de données et

programmes)
A. PLAN DE SECURITE CONCERNANT LA PROTECTION DE MATERIEL

ET DE LA SALLE DE STOCKAGE
Ce type d’audit ne concerne que les services possédant les
"MAINFRAMES". Ainsi, la sécurité consiste aux aspects ci-après :
- Accès de la salle : le lieu de stockage des ordinateurs ne doit pas être
un lieu de passage non contrôlé (contrôle par badge, par code). Il faut
éviter à tout pris de va-et-vient des personnes étrangères au service.
- Protection de la salle concernant le serveur de l’entreprise (prévoir les
mécanismes d’isolations calorifiques et d’aire conditionnel)
- Prévoir le contrat d’assistance et de maintenance
- Veiller à l’alimentation électrique
- Protection contre l’incendie
- Problème de pollution et de poussière

24
B. SECURITE CONCERNANT LES FICHIERS

Il faut éviter la perte ou la destruction accidentelle des fichiers. Réaliser
toujours le Backup ou la duplication des fichiers.
- Garder les différents fichiers stockés dans les mémoires, dans les armoires
hermétiquement fermé
- Veiller à la protection des données et de programmes vis-à-vis à des
personnes étrangères au service.
- Protéger les postes de saisie des informations
C. SECURITE DES MATERIELS

Pour les matériels, veuillez à la sécurisation du lieu où sont stockés et
exploités les matériels ainsi que la documentation technique servant à exploiter
les machines (Prévention et création de mot de passe qui ne doivent être
connus par le personnel exploitant et par un groupe restreint. - Contrôler les
normes de ventilation - Etc.
D. SECURITE DE LA DOCUMENTATION
- Eviter l’éparpillement de la documentation notamment la
documentation concernant le système d’exploitation
- Garder les documents dans des classeurs ou armoires métalliques
- Limiter la diffusion de certains documents (Problème de confidentialité)

En ce qui concerne la sécurité de support d’informatique :
- Eviter les contacts directs sur la surface magnétique - Eviter l’exposition
au soleil ou auprès de source de la chaleur - Contrôler la
température de la salle de stockage.
L’auditeur prendra soin, vérifiera et soulèvera les non conformités des éléments
ci-dessus énumérés. Il en est de même pour les programmes et données.
Remarque : Les moyens de détection pour l’auditeur concernant le problème

de sécurité sont :
- Contrôler le temps, la taille, la date de création de fichier par exemple

25
- Demander au constructeur de chaque système le moyen de sécurité

maximale
- Sensibiliser les utilisateurs à respecter les mécanismes de procédure de
sécurité prévue par l’entreprise ou de service informatique -
Utiliser aussi les normes qui existent en matière de sécurité.
E. AUDIT ET SECURITE DANS LE DOMAINE DU RESEAU

Pour la sécurité dans le domaine du réseau, on recommande toujours
l’utilisation de norme de sécurité. En effet, de par sa nature, un réseau
informatique permet l’interconnexion de 2 ou plusieurs stations de travail d’où
la facilité d’accès ou d’entrée sur un serveur sur un calculateur est réelle. De
ce fait, les normes de sécurité peuvent porter sur les aspects ci-après :
- Identification de la ligne pour accéder à tel ou tel réseau
- Restriction d’accès
- Sécurité sur le transfert d’appel
- Prévision de mot de passe
- Prévoir de centre de contrôle de réseau - Etc.

Remarque : Actuellement, le problème de la sécurité des réseaux est lié aux
surveillances du réseau soi-même la prévention des pannes et le
fonctionnement du réseau. Ainsi, les matériels à surveiller sont :
- Les matériels de transmission
- Les matériels de commutation (Problème d’adressage, table de

routage, des passerelles, de pont, etc.)
- Vérifier l’état des équipements
- Vérifier les charges (nombre d’utilisateurs et des programmes)
- Vérifier la comptabilité des protocoles
- Vérifier le bon fonctionnement de signalisation d’erreur
- S’assurer de la cohérence de faille des paquets transmis et reçus
- Etc.
La plupart de ces tâches sont confiées à des sociétés de service (Voir cours de
télématique et réseaux). Avec le développement de l'utilisation d'internet, de plus en plus

26
d'entreprises ouvrent leur système d'information à leurs partenaires ou à leurs fournisseurs, il

est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle
d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de
l'ouverture de l'accès de l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter au

système d'information à partir de n'importe quel endroit, les personnels sont amenés à «
transporter » une partie du système d'information hors de l'infrastructure sécurisé de l'entreprise.
Le risque en terme de sécurité est généralement caractérisé par l'équation suivante :
La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu,
tandis que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brêche)
représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-
mesure est l'ensemble des actions mises en oeuvre en prévention de la menace.
Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais
également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi
qu'un ensemble de règles clairement définies.
Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et
donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but est ainsi de donner un
aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner
une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter
les risques d'intrusions.
Objectifs de la sécurité informatique
Le système d'information est généralement défini par l'ensemble des données et des ressources
matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le
système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de
protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources
matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
La sécurité informatique vise généralement cinq principaux objectifs :

• L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être;
• La confidentialité, consistant à assurer que seules les personnes autorisées aient accès
aux ressources échangées ;
• La disponibilité, permettant de maintenir le bon fonctionnement du système
d'information ;

27
• La non répudiation, permettant de garantir qu'une transaction ne peut être niée ;

L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux
ressources. L’authentification peut se faire de multiples manières, et notamment par la
vérification de :
 « Ce que je sais », un mot de passe par exemple,
 « Ce que je sais faire », une signature manuscrite sur écran tactile/digital (de type PDA),
 « Ce que je suis », une caractéristique physique comme une empreinte digitale,  « Ce
que je possède », une carte à puce par exemple.
Exemple d’un système cryptographique Chiffre de Hill
Lester Hill, mathématicien cryptographe (1891-1961) publie en 1929 dans la revue American
MathematicalMonthly un article intitulé Cryptography in an algebraic alphabet, où il détaille
un nouveau type d'algorithme de chiffrement. Son idée n'est plus de coder lettres par lettres,
mais de coder simultanément des groupes de m lettres! Bien sûr, plus m est grand, plus les
analyses statistiques ne deviennent difficiles! Le chiffre de Hill est une méthode de chiffrement
qui utilise des matrices carrées. On désigne par 2-chiffre de Hill, le chiffre obtenu en codant les
lettres par blocs de deux, par 3- chiffre de Hill celui obtenu en codant les lettres par blocs de
trois, et ainsi de suite. Chiffrement
Dans une première phase, chaque lettre du texte à chiffrer est remplacée par une valeur
numérique, celle de son rang dans l’alphabet, c'est-à-dire, nous remplaçons chaque lettre par
son ordre dans l'alphabet : A devient 1, B devient 2,..., Z devient
26. On groupe les nombres ainsi obtenus par m (prenons par exemple m=2).
Les lettres Pk et Pk+1 du texte clair seront chiffrés Ck et Ck+1 avec la formule ci-dessous:
Ce qui signifie, pour fixer les idées, que les deux premières lettres du message clair (P1 et P2)
seront chiffrées (C1 et C2) selon les deux équations suivantes:
C1=aP1+bP2(mod 26) C2=cP1+dP2(mod

26)
a,b,c,d sont des entiers,
C1 et C2 seront aussi des entiers.
Le choix de la clé correspond ici au choix d'un nombre m, et au choix des combinaisons
linéaires à effectuer (ce sont toujours les mêmes de blocs en blocs).
Remarque
a b c d e f g
1 2 3 4 5 6 7
h I j k l m n
8 9 10 11 12 13 14
o P q r s t U
15 16 17 18 19 20 21
v W x y z
28
22 23 24 25 0
La valeur 0 est attribuée à la lettre Z afin de travailler
modulo 26. Cependant, d'autres auteurs posent "A"=0, "B"=1, ..., "Z"=25. Les deux conventions
se défendent.
L'essentiel est que les protagonistes se mettent d'accord avant d'échanger des messages. On
pourrait même imaginer de prendre un alphabet désordonné, par exemple "A"=15, "B"=6, etc.,
ce qui constituerait un surchiffrement.
Exemple de chiffrement
Alice prend comme clef de chiffrement la matrice 9574 pour chiffrer le message
« je
vous aime ».
D'après le tableau, P1 = « j » = 10 et P2 = « e » = 5. Les deux premières lettres du message

seront donc cryptées ainsi :
C1 = 9 10 + 4 5 (mod 26) =110 (mod 26) = 6
C2 = 5 10 + 7 5 (mod 26) = 85 (mod 26) = 7
En procédant de même avec les paires de lettres suivantes, elle obtiendra finalement :
Lettres j e V o u S a i m e
Rangs (Pk) 10 5 22 15 21 19 1 9 13 5
Rangs 6 7 24 7 5 4 19 16 7 22
chiffres(Ck)
Lettres chiffres F G X G E D S P G V
Le message chiffré sera donc « FGXGE DSPGV »

Remarque : si le nombre de lettres du message clair avait été impair, Alice aurait simplement
ajoutéune lettre arbitraire à la fin du message original.
Déchiffrement :
Pour déchiffrer, le principe est le même que pour le chiffrement: on prend les lettres deux par
deux, puis on les multiplie par une matrice.
Securite des logiciels
Introduction
Il est de notoriété publique aujourd’hui que les systèmes informatiques ne sont pas infaillibles.
Régulièrement, des personnes que nous dénommerons « assaillants, attaquants » internes ou
externes, pénètrent ces systèmes afin de les détruire ou pour le challenge de l’opération, mais
surtout, la plus grande majorité du temps, s’introduisent en eux, pour dérober de l’information
sensible, ou à défaut, utile à leurs fins, dans un but lucratif ou politique.

29
Virus
Un virus peut être défini comme un logiciel malveillant écrit dans le but de se dupliquer sur
d’autres ordinateurs, afin de provoquer pertes de données, « plantage » du système
d'exploitation sur les ordinateurs contaminés. Certains virus, programmés par des hackers
particulièrement talentueux et malveillants, peuvent provoquer des dégâts matériels : crash du
disque dur, voire « flashage » de la carte mère, ce qui met l'ordinateur totalement hors-service.
Les Virus se reproduisent en infectant des applications hôtes, c’est-à-dire en copiant une portion
de code exécutable au sein d’un programme existant.
Or, afin de ne pas avoir un fonctionnement chaotique, ils sont programmés pour ne pas infecter
plusieurs fois un même fichier.
Les virus vont de la simple balle de ping-pong qui traverse l’écran, aux virus informatiques les
plus dangereux destructeurs de données. Ce dernier étant la forme de virus la plus virulente.
Ainsi, étant donné qu’il existe une vaste gamme de virus ayant des actions aussi diverses que
variées,
Les virus informatiques ne sont pas classés selon leurs dégâts mais selon leur mode de
propagation et d’infection.
Les antivirus sont capables de les détecter si il les connaissent, permettant ainsi de nettoyer
celui-ci dans la mesure du possible si jamais un ou des virus sont trouvés.
De quoi sont capables les virus ?
Auparavant, les virus faisaient des farces ou interrompaient le fonctionnement de l’ordinateur.

Maintenant, ils compromettent la sécurité de façon beaucoup plus insidieuse. Voici certaines
des actions dont sont capables les virus :
■Ralentir la messagerie. Les virus se propageant par courriel comme Sobig peuvent générer
un trafic de messagerie si important que cela peut entraîner le ralentissement ou l’arrêt brutal
des serveurs. Même si cela ne se produit pas, l’entreprise peut tout de même réagir enéteignant
les serveurs.
■ Subtiliser des données confidentielles. Lever Bugbear-D enregistre les saisies clavier de
l’utilisateur, ycompris les mots de passe, et donne à l’auteur du virus l’accès àces données.
■ Utiliser votre ordinateur pour attaquer les sites Web : MyDoom utilisait des ordinateurs
infectés pour inonder dedonnées le site Web de la société informatique SCO, rendantainsi le
site inutilisable (une attaque par déni de service).
■ Permettre à d’autres utilisateurs de pirater votreordinateur:ertains virus placent des

“Chevaux de Troie deporte dérobée” sur l’ordinateur, ce qui permet à l’auteur de virusde se
connecter à votre ordinateur et de l’utiliser comme bon lui semble.
■ Corrompre des données. Le virus Compatable effectue deschangements dans les données
des tableaux Excel.

30
■ Effacer des données. Le ver Sircam peut tenter un jour donnéde supprimer ou d’écraser le
disque dur.
■ Désactiver des matériels. CIH, plus connu sous le nom deChernobyl, entreprend d’écraser
le BIOS le 26 avril, rendant dece fait la machine inutilisable.
■ Faire des farces. Le ver Netsky-D fait émettre à l’ordinateur dessignaux sonores sporadiques
pendant toute une matinée.
■ Afficher un message. Cone-F affiche unmessage politique s’il s’agit du mois de mai. ■ Nuire
à la crédibilité. Si un virus s’expédie delui-même de votre ordinateur vers ceux de vosclients
ou de vos partenaires commerciaux, cesderniers pourront refuser de collaborer avec vousou
souhaiteront obtenir des compensations.
■ Mettre dans l’embarras. Par exemple, PolyPost place vos documents et votre nom sur des
forums à caractère sexuel.
Vers
Définition
Un ver informatique (en anglais worm) est un programme qui peut s'auto-reproduire et se
déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin
d'un support physique ou logique pour se propager; un ver est donc un virus réseau.
Fonctionnement actuel
Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le client
de messagerie Outlook) grâce à des fichiers attachés contenant des instructions permettant de
récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant
des copies d'eux-même à tous ces destinataires.
Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des fichiers
exécutables envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire clique sur
le fichier attaché.
Comment se protéger ?
Il est simple de se protéger d'une infection par ver. La meilleure méthode consiste à ne pas
ouvrir "à l'aveugle" les fichiers qui vous sont envoyés en fichierattachés. Ainsi, tous les fichiers
exécutables ou interprétables par le système d'exploitation peuvent potentiellement infecter
votre ordinateur. Les fichiers comportant notamment les extensions suivantes sont
potentiellement susceptible d'être infectés :
Logiciel espion (spyware)

Le logiciel espion ou spyware est un logiciel qui permet aux publicitaires de rassembler des
informations sur les habitudes des utilisateurs de PC.

31
Les logiciels espions ne sont pas des virus (vous ne pouvez pas les propager sur d’autres
ordinateurs), mais ils peuvent avoir des effets indésirables. Des logiciels espions peuvent
s’installer sur votre ordinateur lorsque vous visitez certains sites Web.
Un message contextuel peut vous inviter à télécharger un logiciel utilitaire dont vous pouvez
“avoir besoin” ou un logiciel peut à votre insu se télécharger automatiquement.
Le logiciel espion fonctionne alors sur l’ordinateur, suit à la trace vos actions (par exemple, les
visites sur les sites Web) et en fait un compterendu destiné par exemple à un annonceur. Il peut
aussi changer la page d’accueil qui apparaît lorsquevous lancez votre navigateur Internet et
utiliser un modem à composition automatique pour appeler des numéros de téléphone de type
0900 (tarifssurtaxés). Le logiciel espion utilise la capacité mémoire et de traitement, et peut
ralentir l’ordinateur ou l’arrêter brutalement.
Il existe des logiciels qui permettent de détecter les programmes espions connus et de les
supprimer. Exemples : Cookies
Lorsque vous visitez un site Web, il peut placer sur l’ordinateur un petit ensemble de données
appelé un “cookie”.
Le site se rappelle ainsi des détails vous concernant et possède une trace de vos visites.
Les cookies ne constituent pas une menace pour vos données.
En revanche, ils menacent votre confidentialité. Si vous préférez rester anonyme, utilisez les
paramètres de sécurité de votre navigateur pour désactiver les cookies.
Les vulnérabilités informatiques
Définition
La famille des standards ISO 2700011, adoptée par de nombreuses organisations dans le monde,
et reprise par de multiples standards fonctionnels et techniques12, définit une vulnérabilité
comme une faiblesse - au sein d’un actif ou groupe d’actifs - dont l’exploitation potentielle (par
une menace) peut porter préjudice à l'organisation : fuite d’informations confidentielles, image
détériorée, perte de confiance des clients, non-respect de règlementations, baisse des revenus,
réduction de la marge opérationnelle, etc.
III.2. Cycle de vie de la vulnérabilité
Le cycle de vie d’une vulnérabilité débute par sa découverte. Dans le cas où une personne
malveillante la découvre, elle va tenter de l’exploiter en développant un code spécifique appelé
exploit (zero-day13) en attendant que cette vulnérabilité devienne publique (remontée par des
sociétés spécialisées en sécurité informatique, des éditeurs de logiciels, des cellules de veille,
etc), soit qualifiée puis enfin corrigée. A ce titre, l’ANSSI a publié un guide sur les
vulnérabilités 0-day de « Prévention et bonnes pratiques ». Dans le cas d’une vulnérabilité
logicielle, l’éditeur devra fournir soit un correctif (patch) qui sera installé sur les systèmes
vulnérables soit une nouvelle version du logiciel qui corrige la vulnérabilité.

32
La mesure de la demi-vie d’une vulnérabilité (intervalle de temps nécessaire à la réduction de

l’occurrence d’une vulnérabilité de moitié sur l’ensemble du système d’information) peut
fournir un indicateur sur la complexité de résolution d’une vulnérabilité. Pour des organisations
matures ayant automatisé le processus de gestion des vulnérabilités, cette demivie oscille entre
30 et 60 jours pour une vulnérabilité critique selon les secteurs d’activité. Le diagramme ci-
contre illustre le cycle de vie d’une vulnérabilité au regard du degré d’importance de la menace.
L’organisation reste exposée durant tout le cycle de vie, rendant nécessaires l’identification de
la vulnérabilité au plus tôt et sa prise en compte rapide. Le traitement d’une vulnérabilité ne
consiste pas systématiquement à la corriger directement, pour des considérations de temps et
de coût, voire d’impossibilité (les éditeurs ou constructeurs ne corrigent pas systématiquement
toutes lesfailles de sécurité). Dès lors que la vulnérabilité est connue, un contournement doit, si
possible, être mis en place.
Figure : Cycle de vie d’une vulnérabilité
III.3. Gestion des vulnérabilités informatique
La norme ISO 27001, intitulée "Management de la sécurité de l'information" peut être utilisée
comme méthode afin de créer un processus de gestion des vulnérabilités. Voici ci-après son
fonctionnement.
Étapes basiques de veille de la vulnérabilité (Norme ISO 27001) :
1. DÉCOUVRIR : Catalogage de l’existant, des actifs, des ressources du système d’information.

2. PRIORISER : Classifier et attribuer des valeurs quantifiables aux ressources, les hiérarchiser.
3. ÉVALUER : Identifier les vulnérabilités ou les menaces potentielles sur chaque ressource.
4. SIGNALER : Signaler, publier les vulnérabilités découvertes.
5. CORRIGER : Éliminer les vulnérabilités les plus sérieuses des ressources les plus
importantes.
6. VÉRIFIER : S’assurer que la vulnérabilité a bien été traitée.

33
Figure :Étapes basiques de veille de la vulnérabilité

L'application de la norme ISO 27001 en processus de veille et de gestion des vulnérabilités peut
permettre à l'entreprise de ne pas être exposées à un grand nombre de menaces pesant sur son
système d'information.
Questions du TP
1. Soit la répartition professionnelle ci-après : A)
La conception et la réalisation :
ETAPE RATIO
13% du total du
ETUDE PREALABLE projet
ETUDE DETAILLEE 30% du total du projet
ETUDE TECHNIQUE 18% de la charge de
réalisation
REALISATION
2 fois la charge d’étude
détaillée
34 % de la charge de
MISE EN ŒUVRE réalisation
B) La charge de la phase d’observation de l’étude préalable :

INTERVIEW POIDS

34
Directeur 1
Service divers 3
Responsable Personnel 2
Logistique 1
Approvisionnement 1
Chaîne de production 1
TOTAL 9
La charge de la phase d’observation pour cette étude étant de 1/2 de la
charge de l’étude préalable. On estime celle-ci à 26 jours par homme.
Déterminer :
a) La charge du projet
b) La charge préalable
c) La charge de l’Etude détaillée
d) La charge de l’Etude technique
e) La charge de la réalisation
f) La Mise en œuvre
g) La charge totale du projet
2. Ciblez un chapitre du cours d’audit informatique et faites un

commentaire sur tous les aspects essentiels y afférent.
Exemple : La charge de la phase d’observation de l’étude préalable se répartit
comme suit :
INTERVIEW POIDS
Directeur 1
Service divers 3
Responsable Personnel 2
Logistique 0,5
Approvisionnement 0,5
Chaîne de production 0,5
TOTAL 7,5
La charge de la phase d’observation pour cette étude représente 1/3

de la charge de l’étude préalable. On estime celle-ci à 22 jours par homme.
Résolution

35
- Charge du projet 22 10 220Jours/Homme
- Charge étude préalable 220 22Jours/ Homme
- Charge étude détaillée 66Jours/ Homme
- Charge étude technique 19,8 20Jours/ Homme
- Charge de réalisation 132 Jours/Homme
- Mise en œuvre 52,8 53Jours/ Homme
- Charge totale du projet

22J /H 66 J /H 20J /H 132J /H 53J /H
293J /H soit 15M /H

Audit Informatique

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Informatique

Transféré par

Droits d'auteur :

Formats disponibles

COURS AUDIT INFORMATIQUE

L’entreprise doit être bien gérée

- Recherche les goulots d’étranglements

- Proposer des solutions

Par NIYO Pierre Page 1

I.1. BREF HISTORIQUE DE L’AUDIT

Aucune entreprise ne peut fonctionner sans système d’information de

2) Le Responsable de la sécurité : il a pour mission d’assurer le

Par NIYO Pierre Page 2

5) Réviseur comptable : c’est la personne qui apprécie la validité des

DIRECTION D’ATTACHE ET DOMAINE D’INTERVENTION DES ACTEURS D’AUDIT

ORGANISATEUR DG, DFC E

I.2. AUDIT INTERNE ET AUDIT INFORMATIQUE

Par NIYO Pierre Page 3

L’audit interne est une activité indépendante d’appréciation de

I.3. BESOIN ET NECESSITE D’AUDIT INFORMATIQUE

I.4. POSTES DE COUT INFORMATIQUE

Les coûts informatiques sont catégorisés sur 2 aspects :

- L’entreprise ne possède pas encore les outils informatiques mais envisage

Dans ce cas les charges informatiques sont en dehors de charge du

- Les dépenses pour la sensibilisation du personnel

- Le coût de conversion (initiation de formation)

Par NIYO Pierre Page 4

- Le coût ou perte dû(e) à l’interruption des opérations

- Les dépenses de formation du personnel (informaticiens ou utilisateurs)

- Le coût d’analyse conceptuelle

- Le coût des essais

- Le coût d’établissement de la documentation

b. Charges périodiques ou répétitives

- Les charges de matériel (achat, location ou maintenance)

- Les charges locatives de logiciels

- Les charges de fourniture

- Les frais généraux inhérents au système informatique (locaux,

Par NIYO Pierre Page 5

CHAP II. CONTEXTE TECHNIQUE POUR LA MISSION D’AUDIT

- En ce qui concerne les logiciels (logiciels de base et logiciels

Par NIYO Pierre Page 6

II.1. L’EVOLUTION DES DIFFERENTS SYSTEMES

- En ce qui concerne le type d’architecture des systèmes informatiques

- En ce qui concerne les langages de programmation et les outils du

II.2. TYPOLOGIE D’AUDIT INFORMATIQUE

Par NIYO Pierre 8

- L’audit informatique système

- L’audit informatique fonctionnel

- L’audit informatique opérationnel

II.3. L’AUDIT INFORMATIQUE FONCTIONNEL

2. L’audit de la production des services informatiques

3. L’audit de la politique informatique

II.4. L’AUDIT INFORMATIQUE OPERATIONNEL

- L’audit des applications

- L’audit de la circulation des documents

- L’audit de la sécurité générale liée à l’Informatique

Par NIYO Pierre Page 9

CHAP III. PHASES D’UNE MISSION D’AUDIT

Une mission d’audit informatique peut se décomposer en 3 phases une

- La phase de restitution (rapport de mission)

- Mission spécifique demandée par la direction

- Mission due à des événements nouveaux non prévisibles dans

Par NIYO Pierre Page 10

III.1. ENQUETE PRELIMINAIRE

- Un chef de mission (Superviseur)

- Un auditeur spécialiste en informatique

- Un deuxième auditeur (généraliste) binôme

- Le chef de service d’audit (éventuellement mais non obligatoire)