Introduction Générale: Gestion Financière Et Comptable Rapport de Stage de Fin D'études

Gestion Financière et Comptable rapport de stage de fin d’études
Introduction générale
L’informatique, est l’un des enjeux majeurs pour les entreprises, outre ses avantages dans la
gestion bureautique et technique des organisations elle a pris de l’ampleur dans notre vie quoti-
dienne et continue de nous impressionner par tous ses aspects relatifs à la Gestion des connais-
sances, agents intelligents, télécommunication et sécurité, performances des systèmes
d’information, commerce électronique, systèmes d’information touristiques, audit informatique,
bases de données spatiales, progiciels intégrés, formation à distance ...
Les technologies de l’information et de la communication changent l’art du possible dans les

organisations. Le développement et la maîtrise des systèmes d’information constituent un enjeu
majeur pour les entreprises, supposant de leur part une forte capacité d’innovation et nécessi-
tent des spécialistes de haut niveau bien formés { l’informatique, { l’organisation et { l’ingénierie
des systèmes d’information.
Les systèmes d'information des entreprises, dont l'informatique, sont devenus au cours des an-
nées quatre-vingt, le système nerveux de l'entreprise Si celui-ci est atteint, c'est toute l'entre-
prise qui est touchée. La plupart des grandes entreprises ont pris conscience des dangers. Elles
ont procédé à la mise en place d'outils ou de moyens de prévention pour protéger leurs sys-
tèmes d'information.
Un audit informatique consiste en une intervention réalisée par une personne indépendante et
extérieure au service audité, qui permet d’analyser tout ou une partie d’une organisation infor-
matique, d’établir un constat des points forts et des points faibles et dégager les recommanda-
tions d’amélioration dont L'objectif est de mettre en place des dispositifs de contrôle efficaces et
performants permettant de maîtriser efficacement l'activité informatique.
Face à cet objectif en harmonie avec la stratégie de la Régie, RAMSA a décidé d’auditer ses sys-
tèmes d’information. La problématique de mon mémoire s’articule autour des questions sui-
vantes : Quelle démarche l’auditeur informatique doit-il adopter dans le cadre de l’audit
de sécurité des systèmes d’information, compte tenu de leur complexité, afin de mettre
en place des dispositifs de contrôle efficaces et performants et comment atteindre un
niveau de sécurité optimal du système d’information dans une entreprise publique (cas
de LA RAMSA).
Audit des systèmes d’information 2012/2013 Najat LAGHOUZAL

1
Pour répondre à cette question, ce mémoire sera structuré en deux parties :
La première partie sera consacrée à la présentation du cadre général des systèmes

d’informations { savoir leur définition, rôles, et les risques liés { ces systèmes dans l’entreprise.
Ainsi nous traiterons les principaux impacts des systèmes d’informations sur l’audit financier,
et par la suite nous allons proposer une démarche présentant les différentes phases de la mis-
sion d’audit de sécurité des systèmes d’information.
Dans la seconde partie nous allons aborder un cas pratique d’audit des systèmes d’informations
{ savoir l’audit de sécurité des systèmes d’information.
Les objectifs à atteindre par ce mémoire sont les suivants :
Présenter une méthodologie claire permettant d’aider les professionnels { effectuer des mis-
sions d’audit des systèmes d’informations ;
Présenter les bonnes pratiques en matière d’organisation de la fonction informatique et de ma-

nagement du système d’information ,qui peuvent être utilisées comme un guide par les profes-
sionnels dans leurs missions de conseils en gestion des risques ou de mise en place des procé-
dures de contrôle interne ;
Permettre aux auditeurs financiers de comprendre les risques liés aux systèmes informatiques
et de familiariser avec la démarche de l’auditeur informatique devant leur permettre d’utiliser
les résultats de ces travaux dans leur approche d’audit financier.
Sur le plan personnel, ce travail m’a permis d’approfondir mes connaissances dans un domaine
stratégique qui implique nécessairement une mise { niveau du métier de l’expert comptable. En
effet, celui-ci est amené de nos jours à développer une expertise dans ce domaine afin d’élargir
les champs de ses missions { l’audit et au conseil en système d’information et d’être en mesure
de certifier les états de synthèse.

2
Partie I:
L’environnement général des systèmes d’information

3
Introduction de la première partie :
Aujourd’hui, Les systèmes d’information revêtent un caractère stratégique dans le monde des
entreprises. Ils leur permettent d’une part, d’adapter en permanence structure aux exigences du
marché et, d’autre part, d’être en mesure, d’augmenter continuellement leur productivité.
Le recours aux systèmes d’information provoque alors une amplification considérable de la

dépendance des entreprises envers ces systèmes et affecte leurs systèmes comptables et de
contrôle interne. Cependant ils engendrent pour l’entreprise une panoplie de risques qu’elle est
appelée à maîtriser.
Les auditeurs financiers ne peuvent plus ignorer le phénomène de l'informatisation des entre-
prises devenue de plus en plus complexe. S'ils ont estimé, au départ, qu'il fallait traiter les sys-
tèmes d’informations { part, ils sont convaincus, aujourd'hui, que l'audit des systèmes
d’information devrait être intégrer dans leur démarche professionnelle et dans chacune de leurs
préoccupations. Ainsi, l'approche d'audit devrait répondre à ce nouveau contexte et aux risques
nouveaux nés.
Au cours de cette première partie, nous aborderons alors dans un premier temps les notions
d’information, de système d’information. Nous verrons le caractère essentiel du système
d’information au bon fonctionnement de l’entreprise. Ainsi nous intéresserons aux concepts
d’audit des systèmes d’information, et nous examinerons l’impact des systèmes d’informations
sur le système comptable et le contrôle interne de l’entreprise ainsi les risques liés à leur mise
en place par l’entreprise. Dans un second temps nous intéresserons aux objectifs d’audit des
systèmes d’information et nous proposerons par la suite une nouvelle méthodologie simple et
précise pour mener une démarche d’audit de sécurité des systèmes d’information.

4
Chapitre 1 : Vue générale sur les systèmes d’information

Dans ce chapitre, nous allons présenter une vue générale sur les systèmes d’information { sa-
voir le rôle de l’information, la notion de système d’information, ses principales composantes et
enfin les types des systèmes d’information.
Section 1 : Le cadre conceptuel des systèmes d’information
1. Pourquoi l'information est-elle aussi importante ?
L’information, élément de communication
Une information est un élément de connaissance susceptible d’être représenté { l’aide de con-
ventions pour être conservé, traité ou communiqué. L’information est multiforme, d’origines
diverses, canalisée par des moyens de communication variés.
L’information est multiforme dans la mesure où elle peut être représentée sous forme de gra-
phiques, de textes, de listes. Les supports de l’information sont tout aussi variés : fichiers infor-
matiques, éditions papier, films audiovisuels.
L’information a trois rôles principaux :
*L’information renseigne quotidiennement l’entreprise sur son environnement.
Elle émane de partenaires économiques (clients, fournisseurs), financiers (banques, action-

naires)…
*L’information est un facteur d’organisation. En effet, elle favorise la communication interne et

la prise de décision. L’information donne la valeur du patrimoine de l’entreprise (stocks,
créances, dettes…).
*L’information est un vecteur de communication de l’entreprise vers l’extérieur, elle véhicule

l’image de l’entreprise, la stratégie commerciale. L’entreprise fournit aux tiers les informations
commerciales nécessaires au développement de son activité (caractéristiques de ses produits,
grilles de prix…), elle publie les informations financières dont les financeurs et organismes fis-
caux et sociaux ont besoin.

5
L’information, une ressource précieuse
*L'information est un élément de connaissance. Elle n’a pas de consistance, elle est insa- sissable
et pourtant, l’entreprise ne peut s’en passer : l’information est indispensable { sa survie.
*L’information est une ressource précieuse. D’une part parce qu’elle a un coût (de collecte, de
conservation…) et d’autre part parce que son absence engendre l’incapacité pour l’entreprise {
comprendre son environnement, à prendre des décisions.
La valeur de l’information est volatile, l’information est une denrée périssable. Sa valeur dépend
beaucoup de celui qui en prend connaissance, selon qu’il soit le dirigeant, un salarié… ou bien un
concurrent.
La pérennité de l’entreprise peut être compromise lorsque son système d’information est en-
dommagé (erreur humaine, panne, incendie, intrusion, malversation, malveillance, sabotage…)
ou lorsque des informations sensibles sont divulguées ou volées (par erreur ou à la suite
d’espionnage industriel)… L’entreprise comprend la valeur de l’information quand celle-ci lui
fait défaut. La reconstitution de l’information après un sinistre est en effet très coûteuse voire
parfois impossible.
Cependant, l’entreprise ne réalise généralement pas aussitôt la compromission de son système

d’information. Ceci est d’autant plus vrai que, dans la majorité des cas, les entreprises victimes
d’une défaillance grave de leur système d’information ne se relèvent pas. En effet, leur image en
est affectée et elle peut perdre la confiance de leurs clients actuels et potentiels.
Les partenaires de l’entreprise attachent une importance particulière { la qualité de

l’information produite par son système d’information. Les clients (caractéristiques des produits,
prix, délais), les actionnaires (comptes annuels, budgets prévisionnels)… les tiers ont besoin
d’une information fiable et cohérente pour traiter avec les entreprises.
Etant donné le caractère stratégique et vital de l’information pour l’entreprise et ses partenaires,
la gestion de l’information doit être rationnalisée, encadrée, optimisée et sécurisée. Pour remplir
cette tâche, l’entreprise met en œuvre le système d’information.
2. Notion de système d’information
Un système d’information est un ensemble de moyens techniques et humains mis en œuvre par
une organisation avec pour objectif de collecter, mémoriser, traiter, maintenir à jour et restituer,
sans perte ni altération, des informations. Chacun des termes de cette définition a son impor-
tance. Chaque étape est incontournable.

6
De par l’information véhiculée, le système d’information assure la coordination des différents

services, leur permettant d’accomplir les missions qui leur sont dévolues, dans le but de ré-
pondre { l’objectif que s’est fixé l’entreprise.
Les ressources techniques et humaines mobilisées par l’entreprise dans le déploiement et le

maintien de son système d’information dépendent directement de ses moyens financiers, des
volumes d’information { traiter et de ses besoins en information. L’entreprise devra opérer des
choix, notamment en matière de précision de l’information. De fait elle devra faire la part des
choses entre le temps nécessaire { l’obtention de l’information et la précision souhaitée ; il en est
ainsi en matière de détermination du coût de revient des produits fabriqués. Il en est de même
en matière de sécurité, de péremption de l’information. Plus les volumes d’information ne sont
lourds, plus leur gestion et leur mise à jour sont coûteuses
3. Les principaux composants du système d’information d’une Entreprise
Le système d’information de l’entreprise forme un tout indissociable qui traite l’information et la

diffuse au sein de l’entreprise permettant un fonctionnement organisé et des réactions structu-
rées face à son environnement.
Bien que formant un tout, le système d’information est formé de différents composants qui eux-
mêmes répondent à des objectifs propres. Ces objectifs sont définis par les différents services de
l’entreprise. Chaque service a des besoins précis et spécifiques ; spécifiques mais complémen-
taires. Spécifiques car chaque composante permet { chaque intervenant d’exécuter sa mission.
Complémentaires car assemblés entre eux, ces différents composants forment une chaîne de
traitement qui assure la continuité des échanges de flux d’informations au sein de l’entreprise.
Les principaux composants, liés { la gestion de l’information de gestion, que l’on retrouve le plus
communément sont principalement :
- la gestion des stocks et des achats,
- la gestion commerciale,
- la comptabilité,
- la paye et la gestion des ressources humaines.
Ces différents composants peuvent se subdiviser en fonction des besoins de l’entreprise. Par
exemple la comptabilité peut être compartimentée en comptabilité générale, analytique, fournis-
seurs, clients, trésorerie… Cette fragmentation en sous système s’opère tant au niveau des ser-
vices de l’entreprise que du système d’information.

7
4. Les types de systèmes d’information
Il existe deux types de systèmes d’information. Le système d’information technique et le système

d’information de gestion. Le premier traite les informations techniques nécessaires d’une part
pour l’accomplissement de l’activité de l’entreprise (procédés de fabrication, fiches techniques,
recettes produits…), et d’autre part pour la conservation et l’utilisation des savoirs et des con-
naissances (système expert, base documentaire, veille, gestion électronique de documents). Le
deuxième gère l’information financière, comptable et plus généralement l’information qui valo-
rise les transactions, le patrimoine de l’entreprise. En effet, il existe trois types de système
d’information de gestion : les systèmes de production de rapports, les systèmes d’aide { la déci-
sion et les systèmes d’informations pour dirigeants.
Les systèmes de production de rapports
Ce sont des systèmes d’information de gestion les plus couramment utilisés. Ils fournissent aux
gestionnaires utilisateurs l’information qui les aide { prendre des décisions courantes. ces sys-
tèmes leur proposent de nombreux rapports et affichages en formats préétablis. Ils extraient de
l’information concernant les opérations courantes internes. Ils obtiennent également, de sources
externes des données relatives au monde des affaires.
Les systèmes d’aide à la décision
Ce sont des systèmes d’information interactifs et informatisés qui font appel à des modèles déci-
sionnels et aux bases de données pertinentes en vue d’aider les gestionnaires { prendre des dé-
cisions. Ils sont donc différents des systèmes de traitement transactionnel dont la fonction con-
siste à traiter les données que produisent les transactions commerciales et le fonctionnement de
l’entreprise. Ils différent aussi des systèmes de production de rapports, lesquels fournissent aux
gestionnaires, des rapports d’information selon un format prédéterminé pour les aider à
prendre des décisions structurées.
Au contraire les systèmes d’aide { la décision donnent de l’information aux gestionnaires de ma-
nière interactive et sur une base ponctuelle. Un système d’aide { la décision permet la modélisa-
tion analytique, l’extraction de données et la représentation graphique de l’information. Les diri-
geants s’en servent lorsqu’ils ont besoin d’information pour prendre des décisions non structu-
rées dans un cadre interactif et informatisé
L’information que fournit un système d’aide à la décision diffère donc des réponses en format
préétabli d’un système de production de rapports. Un décideur a recours { un système d’aide {
la décision pour explorer différentes possibilités et obtenir des réponses provisoires à ses hypo-
thèses.
Les systèmes d’information pour dirigeants
Sont conçus pour fournir l’information stratégique aux membres de la haute direction. Les chefs
d’entreprises puisent l’information dont ils ont besoin dans des sources variées : lettres, notes
de services, périodiques, rapports manuscrits ou informatisés, réunions, conversations télépho-
niques et autres. Ainsi les chefs d’entreprise reçoivent de grandes quantités d’information qui ne

8
proviennent pas d’ordinateurs. En effet, l’information générée par ordinateur ne satisfait vrai-
ment pas tous les besoins en information des chefs d’entreprise.
Les systèmes d’informatisés pour dirigeants facilitent l’accès rapide et immédiat des membres
de la haute direction à une information choisie en fonction des facteurs critiques pour le succès
de l’entreprise. Il faut donc que ces systèmes soient faciles { utiliser et { comprendre. C’est
pourquoi ils utilisent abondamment les graphiques et permettent un accès rapide à des bases de
données internes et externes. Ils peuvent également décrire la situation actuelle et communi-
quer les tendances futures des facteurs clés que le dirigeant a préalablement choisis. Ces sys-
tèmes sont maintenant très répandus et sont de plus en plus utilisés par les cadres moyens.
Section 2 : Les systèmes d’information et l’entreprise
1. Nécessité des systèmes d’information dans l’entreprise
1-1.Positionnement du système d’information dans l’entreprise
Une entreprise c’est une stratégie, un produit, un marché, des clients, des ressources humaines,
financières, des règles de fonctionnement (hiérarchie, procédures, contrôle interne).
Le système d’information s’intègre dans cet ensemble. Il en est l’épine dorsale sans lequel
l’entreprise se retrouverait dépourvue de capacité sensorielle et décisionnelle.
1-2.Les SI au service de l’exploitation et la gestion de l’entreprise
Les systèmes d’information soutiennent l’exploitation et la gestion des entreprises de différentes

façons. On peut donc les classer selon qu’ils soutiennent l’exploitation ou la gestion :
 SI qui soutiennent l’exploitation de l’entreprise :
Les SI sur l’exploitation permettent d’avoir une variété de produits informatifs. Ils ont pour mis-
sion de traiter de façon efficiente les transactions commerciales, de faciliter les communications,
de contrôler les processus industriels, d’accroître la productivité du travail administratif et de
mettre { jour les bases de données de l’entreprise.
 SI qui soutiennent la gestion de l’entreprise :
Les SI de gestion soutiennent, en effet, l’exploitation et permettent de répondre aux besoins de la

gestion courante de l’entreprise, de même qu’aux besoins des agents de maîtrise. Ainsi, former
et aider tous les gestionnaires (dirigeants, cadres moyens et agents de maîtrise) dans leur prise
de décision constituent des tâches d’envergure. En théorie de nombreuses catégories de SI sont
nécessaires pour aider les gestionnaires utilisateurs à assumer leurs responsabilités, notamment
* Les systèmes de production de rapports de gestion
* Les systèmes d’aide { la décision

9
* Les systèmes d’information pour dirigeants
 SI et l’amélioration des processus de l’entreprise :
Les investissements en technologie de l’information rendent l’exploitation beaucoup plus effi-

ciente. L’amélioration des processus pour permettre { l’entreprise de réduire ses coûts de façon
remarquable et de hausser simultanément la qualité de ses biens et services.
En effet, les différentes fonctions de la technologie de l’information permettent d’améliorer les

processus de l’entreprise par :
 La transformation des processus non structurés et transactions programmées ;
 Le transfert des données rapidement et avec facilité sur de grandes distances, éliminant
ainsi les barrières géographiques ;
 Diminution ou remplacement de la main d’œuvre ;
 Application des méthodes analytiques complexes à un processus ;
 Apport de grandes quantités de données détaillées sur un processus ;
 Possibilité de modifier l’ordre des tâches dans l’exécution d’un travail ainsi que la possi-
bilité de traitement multitâche ;
 La saisie et la diffusion des connaissances et de la compétence afin d’améliorer un pro-

cessus ;
 Le suivi minutieux de l’état des entrées et des sorties d’un processus ;
 La liaison de deux parties au sein d’un processus en supprimant un intermédiaire.
2. Spécificité des systèmes comptables et des contrôles internes dans un mi-

lieu informatisé.
2-1.Définitions
Avant d’entamer les spécificités des systèmes comptables et des contrôles internes, nous avons
jugé utiles de rappeler la définition de ces derniers concepts et d’identifier quels sont les do-
maines susceptibles d’être affectés.
Système comptable
Selon la norme internationale d’audit ISA 4008, « le système comptable est l’ensemble des pro-
cédures et des documents d’une entité permettant le traitement des transactions aux fins de leur
enregistrement dans les comptes. Ce système identifie, rassemble, analyse, calcule, classe, enre-
gistre, récapitule et fait la synthèse des transactions et autres événements». Ainsi, il s’agit d’un

10
système chargé de traduire les opérations liées { l’activité de l’entreprise en données finan-
cières.
Avec les systèmes d’information et l’intégration des fonctions traitant les opérations et les in-
formations depuis leur source jusqu’{ leur enregistrement dans les états financiers, il n’est pas
toujours facile de faire la distinction entre le système comptable et les systèmes qui traitent
d’autres informations. Ainsi, un système de traitement des achats et comptes fournisseurs traite
aussi bien des informations comptables que des informations portant sur d’autres aspects des
activités (exemple : les quantités optimales à commander).
Système de contrôle interne
Nombreuses sont les définitions qui ont essayé d’appréhender la notion du contrôle interne.
Dans toutes ces définitions, le contrôle interne apparaît comme un état de fait existant dans
l’entreprise mais qui doit, par l’intervention humaine, devenir délibéré, c’est { dire constituer un
système.
Le contrôle interne selon la compagnie nationale des commissaires aux comptes se veut comme
étant :
« Le contrôle interne est constitué par l’ensemble des mesures de contrôle, comptables ou
autres, que la direction définit, applique et surveille sous sa responsabilité, afin d’assurer la pro-
tection du patrimoine de l’entreprise, la fiabilité des enregistrements comptables et des comptes
qui en découlent ainsi que le pilotage de l’organisation ».
Quant au C.O.S.O (Committee Of Sponsoring Organizations of the Treadway
Commission), il définit le contrôle interne comme suit:
« Le contrôle interne est le processus mis œuvre par le conseil d’administration, les dirigeants et
le personnel d’une organisation, destiné { fournir l’assurance raisonnable quant aux objectifs
suivants :
* Réalisation et optimisation des opérations : Elle concerne les objectifs de base de

l’entreprise, y compris ceux relatif s aux performances, à la rentabilité et à la protection des res-
sources.
* Fiabilité des informations financières : Elle couvre la préparation d’états financiers fiables,
incluant les états financiers intérimaires et les informations publiées extraites des états finan-
ciers, telles que les publications des résultats intermédiaires.
* Conformité aux lois, réglementation et directives de l’organisation : Elle se rapporte à la

conformité aux lois et aux règlements auxquels l’entreprise est soumise.
D’une manière générale, nous pourrons dire que le contrôle interne n’est que le guide permet-
tant au voyageur de se repérer et d’atteindre sa destination. En effet, il prévoit les déroutes et
optimise le résultat.

11
 Les composants du système de contrôle interne comprennent :
* l’environnement de contrôle : Ceci englobe l’intégrité, l’éthique et la compétence des diffé-

rents intervenants de l’entreprise
* l’évaluation des risques : Ceci englobe l’identification et l’analyse des risques aussi bien in-
ternes qu’externes rattachés { la réalisation des objectifs de l’entreprise
- les activités de contrôle : C’est la mise en place des actions nécessaires pour faire face aux
risques pouvant affecter la réalisation des objectifs de l’entreprise
* l’information et la communication : C’est développer et communiquer l’information { temps

et dans une forme permettant aux différents intervenants de comprendre et d’assurer leurs res-
ponsabilités.
* la direction (monitoring) : C’est une activité continue afin d’assurer que les procédures fonc-
tionnent comme convenu.
Ces composants opèrent { travers l’ensemble des aspects de l’organisation. En outre, étant don-
né qu’ils forment un système intégré, les forces dans un domaine peuvent compenser des fai-
blesses soulevées dans d’autres domaines et permettent d’avoir un niveau approprié de contrôle
contre les risques de l’organisation.
Par ailleurs, dans le cadre d’un audit financier, il est évident que les objectifs et les composants
du contrôle interne précités ne sont pas tous pertinents.
Ainsi, dans ce qui suit, on va se focaliser uniquement sur les aspects importants pour l’audit fi-
nancier et susceptibles d’être significativement affectés par les systèmes d’information.
2-2.Les caractéristiques du système comptable dans un milieu Informatisé
L’intégration des systèmes informatiques est une des caractéristiques majeures de l’évolution
actuelle des systèmes d’information de l’entreprise. Le système comptable est au cœur de cette
mutation : il devient une pièce maîtresse du système d’information de l’entreprise en assurant
un rôle fédérateur et en garantissant la cohérence des informations de gestion à usage aussi bien
interne qu’externe.
Ainsi la présence de l’informatique influence :
 La structure organisationnelle
 La nature des traitements

12
La structure organisationnelle
L’informatisation croissante des entreprises a des impacts plus ou moins significatifs sur la
structure organisationnelle de la société. Les principaux se résument dans:
 L’organisation générale de l’entreprise
La mise en place d’un système d’information au sein d’une entreprise, engendre des change-
ments importants rattachés aux flux des informations et { l’accès aux données. On assiste, dé-
sormais, à des centres de décision moins centralisés, à des utilisateurs finaux plus concernés par
les nouvelles évolutions, à une implication et à une appropriation des systèmes par le top mana-
gement et { une augmentation du nombre de personnes accédant { l’information. Par ailleurs,
l’informatisation peut engendrer une redéfinition des responsabilités des employés.
Toutefois, il y a lieu de préciser que vu la complexité de plus en plus importante des nouvelles
technologies de l’information et de la communication, la maîtrise convenable de l’outil informa-
tique dans son sens large, c’est { dire l’interdépendance entre la source des données, leur mode
de traitement, leur sortie et leur utilisation, est limitée à un nombre de personnel très réduit. Ces
personnes connaissent normalement un nombre suffisant de faiblesses de contrôle interne pour
modifier les programmes, les données, leur traitement et leur conservation.
 La séparation des tâches incompatibles
La séparation des tâches incompatibles est parfois plus difficile dans un milieu informatisé en
raison, essentiellement, des facteurs suivants :
 Réduction du nombre de personnes intervenantes, auparavant, dans le traitement ma-

nuel des opérations contre une augmentation du staff informatique centralisant, généra-
lement, de nombreux aspects des systèmes.
 Les informations comptables et de gestion et les programmes d’application de

l’entreprise sont stockés sur des mémoires électroniques et accessibles { beaucoup de
personnes au moyen de terminaux. En l’absence de contrôle d’accès appropriés, les per-
sonnes ayant accès à des traitements informatiques ou à des fichiers peuvent être en me-
sure de réaliser des fonctions qui devraient leur être interdites ou de prendre connais-
sance de données sans y être autorisées et sans laisser de traces visibles.
 Quand le service informatique est important, il est en général plus facile de séparer les
tâches incompatibles. Toutefois, dans les entreprises de taille moyenne, la formalisation
des tâches { l’intérieur des différentes fonctions est beaucoup moins développée que
dans un service d’une taille plus importante.
Ainsi, il convient de préciser que la séparation classique des tâches dans un environnement non
informatisé, n’est pas totalement efficace dans un système informatisé, mais peut être renforcée
par différents types de logiciels destinés à limiter l’accès aux applications et aux fichiers. Il est

13
donc nécessaire d’apprécier les contrôles portant sur l’accès aux informations afin de savoir si la
ségrégation des tâches incompatibles a été correctement renforcée.
Pour les petites entreprises, il est difficile de mettre en place une séparation convenable des
tâches.
Toutefois, l’implication plus importante de la direction peut compenser cette déficience.
Signalons qu’au regard du système informatique, il existe trois types d’utilisateurs :
Les utilisateurs non autorisés : Il s’agit des intrus externes comme par exemple : les pirates
des systèmes (hackers) et les anciens employés. Des contrôles préventifs, particulièrement des
contrôles d’authentification des utilisateurs, répondent { ce type de risque. Des contrôles détec-
tifs complémentaires permettent de révéler les éventuels accès réussis.
Les utilisateurs enregistrés : L’accès de ces utilisateurs devrait être limité aux applications et
aux données rattachées à leurs fonctions. Des contrôles préventifs pour ce type d’utilisateurs se
présentent sous forme de contrôle d’authentification des utilisateurs et d’allocations de droits
limités aux applications nécessaires { l’exécution de leurs tâches.
Les utilisateurs privilégiés : Il s’agit de l’administrateur système, les développeurs, les respon-
sables de l’exploitation. Ces utilisateurs nécessitent des privilèges de système ou de sécurité
pour la réalisation de leurs travaux.
Bien que les organisations aient besoin de confier les clefs de leur royaume à quelqu'un, c'est
tout de même important de rappeler que le privilège et le contrôle ne doivent pas être mutuel-
lement exclusifs.
Les privilèges doivent être assignés avec la mise en place de contrôles afin de s’assurer que ces
privilèges ne sont pas abusés. Les contrôles détectifs, tels que l’examen des événements de la
sécurité et des changements de statut, sont nécessaires pour répondre aux abus potentiels de
privilèges spéciaux.
Par ailleurs, { l’intérieur du département informatique, si les fonctions incompatibles ne sont

pas correctement séparées, des erreurs ou irrégularités peuvent se produire et ne pas être dé-
couvertes dans le cours normal de l’activité. Des changements non autorisés dans des pro-
grammes d’application ou dans des fichiers peuvent être difficiles à détecter dans un environ-
nement informatique. C’est pourquoi, des mesures préventives touchant en particulier le respect
de la séparation des fonctions principales de programmation et d’exploitation deviennent indis-
pensables pour assurer la fiabilité de l’information financière. A titre indicatif, les dispositions
suivantes devraient être respectées :
 Interdiction aux analystes fonctionnels et programmeurs de mettre en marche le système et

de l’exploiter
 Interdiction aux programmeurs d’accéder aux environnements de production

14
 Interdiction aux opérateurs d’effectuer des modifications de programmes ou de données.
Dans les départements informatiques plus petits, l{ où la séparation des tâches n’est pas pos-
sible, la capacité à éviter toute opération non autorisée { l’intérieur du département informa-
tique est diminuée.
Dans ce cas, les contrôles de compensation deviennent particulièrement importants. Ces con-
trôles compensatoires peuvent être des contrôles puissants lors de la saisie des données, un
traitement correct et complet exercé par les départements utilisateurs et une forte supervision
de l’exploitation en cours.
La nature des traitements
Les traitements peuvent être effectués en temps réel (real time processing) ou en temps différé.
Ce dernier mode de traitement est souvent appelé traitement « batch » ou traitement par lot. Le
plus souvent les traitements sont mixtes et font alternativement appel au temps réel et au temps
différé, ce qu’on appelle aussi la mise { jour mémorisée (Memo update).
 Traitement en temps réel
Le traitement en temps réel est un mode de traitement qui permet l’admission des données à un
instant quelconque et l’obtention immédiate des résultats. Le traitement en temps réel permet
un retour d’information instantané. Les qualités essentielles de ce type de traitement sont la
restitution immédiate du résultat demandé, l’absence d’en-cours dans le système et la possibilité
de corriger immédiatement les erreurs. En contrepartie, les arrêtés de périodes sont difficiles
du fait de l’alimentation permanente et continue du système. En conséquence, il devient difficile
de reconstituer une situation antérieure.
Néanmoins, ce traitement présente les inconvénients suivants :
* possibilité de mise à jour des fichiers ou des bases de données sans autorisation en l’absence
de procédures appropriées de sécurité ;
* possibilité de dégradation de l’intégrité du système d’information et plus particulièrement des

bases de données, si les procédures d’accès, de validation et contrôle a posteriori ne sont pas
appropriées ;
* pas de chemin de révision en l’absence de procédures de « journalisation » spécifiques. En

temps réel, la mise à jour entraîne, sauf option ou programmation appropriée, la disparition de
la donnée périmée par la mise à jour ;
* complexité des procédures de sauvegarde, de restauration et de reprise
 Traitement par lot
Le traitement par lot est défini comme le traitement suivant lequel les programmes à exécuter
ou les données à traiter sont groupés par lot. La caractéristique essentielle des traitements par
lots est que la mise { jour des fichiers n’est pas immédiate. Pour mettre { jour un ou des fichiers,

15
il faut procéder successivement à la réalisation des phases de saisie, de validation, de recyclage

des anomalies et finalement de mise à jour.
Dans ce genre de système, le retour d’information est différé, et l’utilisateur ne connaît les ré-
sultats du traitement qu’une fois ce dernier réalisé. L’avantage du traitement en temps différé
est la facilité de gestion des arrêtés de période, toutes les opérations étant rattachées à un lot
d’origine. La restitution d’une situation antérieure est donc relativement aisée.
 Traitement mixte: Mise à jour mémorisée
C’est une association du traitement en temps réel et du traitement par lot. En effet, les transac-
tions mettent immédiatement à jour un fichier mémo qui contient les informations extraites de
la dernière version du fichier maître. Ultérieurement, le fichier maître sera mis à jour par un
traitement par lot.
En fait, les anciens systèmes, souvent réalisés en temps différé, sont très répandus pour des rai-
sons historiques. Ils ont souvent été modernisés par le développement en temps réel de la saisie
des données et de certaines interrogations. Les calculs et les mises à jour de fichiers sont demeu-
rés en temps différé, ce qui est pratiquement transparent pour les utilisateurs, habitués à dispo-
ser des résultats attendus en aval des traitements.
Certaines applications informatiques récentes, et notamment certains progiciels, conservent des

traitements en temps différé, notamment ceux effectués après les clôtures de période. Ces trai-
tements en temps différé ont été conservés en raison de leur côté utile et pratique.
Cela confirme l’intérêt des systèmes mixtes. Ils permettent une saisie contrôlée en temps réel,
des interrogations rapides, également une grande fiabilité des traitements, le temps différé étant
plus facile à gérer que le temps réel.
De nos jours, la majorité des systèmes opérationnels sont des systèmes à temps réel. Les tran-
sactions sont traitées une fois produites, les informations sont mises à jour immédiatement et
les données figurant sur les fichiers sont changées avec les données de la nouvelle transaction.
Toutefois, il convient de noter que certains systèmes continuent à utiliser le système de traite-
ment par lot. Dans ce système, les saisies s’opèrent quotidiennement, tandis que la mise { jour
des fichiers se fait la nuit ou { une date spécifiée (lors de l’absence de transactions).
2-3.Les caractéristiques du contrôle interne dans un milieu informatisé.
Comme les organisations s’orientent de plus en plus vers un modèle de contrôle interne basé sur
les risques, conforme { l’approche du COSO (Committee of Sponsoring Organizations), la mise en
œuvre du contrôle interne dans les environnements informatisés continue à évoluer. Comme les
systèmes informatiques deviennent de plus en plus complexes et intégrés, souvent par Internet,
les difficultés de fournir des contrôles appropriés deviennent de plus en plus ressenties. Les ac-
tivités de contrôles englobent généralement une combinaison des procédures de contrôles pro-
grammés qui permettent la génération de rapports et des procédures manuelles de suivi et

16
d’investigation des éléments figurants sur ces rapports. Ces deux opérations sont nécessaires
pour aboutir aux objectifs de contrôle.
En effet, s’il n’existe aucune personne qui fait le suivi des rapports prévus par le système, on
peut dire qu’il n’y a pas de contrôle.
Le mix de ces contrôles dépend de la nature et de la complexité de la technologie utilisée. La

croissance de la vitesse et de la capacité en mémoire a permis de mettre en place plus de procé-
dures de contrôle intégrées dans le hardware et/ou dans le software que par le passé. Outre les
contrôles directs, les contrôles généraux informatiques sont nécessaires pour assurer l’intégrité
des ressources d’information et pour garantir que les procédures de contrôles programmés
(ainsi que les procédures comptables programmées) sont correctement mises en place et sont
opérationnelles et qu’uniquement les changements autorisés sont opérés sur les programmes et
sur les données. Par exemple, à défaut de contrôles généraux informatiques appropriés, il n’y a
aucune assurance que les rapports d’exception soient exacts et exhaustifs.
a. Les contrôles généraux informatiques :
Les contrôles généraux informatiques se rattachent à la fonction informatique et ont pour objec-
tif d’établir un cadre de contrôle global sur les activités informatiques et de fournir un niveau
d’assurance raisonnable que les objectifs de contrôle interne sont atteints.
Les qualités attendues d’un bon contrôle interne de la fonction informatique sont : la fiabilité des
informations produites, la protection du patrimoine et la sécurité et la continuité des travaux.
Par ailleurs, les contrôles généraux informatiques portent sur plus d’une application et leur mise
en œuvre est essentielle pour assurer l’efficacité des contrôles directs.
Ils touchent, essentiellement, les domaines suivants :
o L’organisation et la gestion
o La maintenance des programmes
o L’exploitation
o Le développement et la modification des programmes
o La sécurité (sauvegarde, plan de secours, etc.)
Ces contrôles peuvent être divisés en quatre catégories :
*La sécurité des systèmes : Il s’agit des procédures et des mécanismes en place destinés à
s’assurer que l’accès { l’environnement informatique et aux programmes et données (physiques
et logiques) est convenablement contrôlé.

17
*La sécurité de l’exploitation : Ce sont des contrôles permettant de s’assurer que les données
sont traitées dans les bons fichiers, que les éléments rejetés sont convenablement identifiés et
corrigés et que les programmes sont correctement mis en place et exécutés.
*La maintenance des applications informatiques : Ce sont les contrôles permettant de s’assurer
que les changements dans les programmes informatiques sont autorisés, correctement conçus et
effectivement mis en place.
*Le développement et la modification des applications : Ce sont les contrôles sur les nouvelles
applications ou sur les modifications significatives des applications existantes permettant de
s’assurer que les procédures programmées sont convenablement conçues et correctement mises
en place.
b. Les contrôles directs :
Les contrôles directs sont des contrôles conçus pour prévenir ou détecter les erreurs et les irré-
gularités pouvant avoir un impact sur les états financiers.
On distingue trois catégories de contrôles directs :
 Les contrôles d’application :
Les contrôles d’application sont des contrôles permettant de s’assurer que toutes les opérations
sont autorisées, enregistrées, et traitées de façon exhaustive, correcte et dans les délais. Ces con-
trôles peuvent être défalqués en :
*Contrôles portant sur les données d’entrée : Ces contrôles visent à fournir une assurance
raisonnable que toutes les transactions sont dûment autorisées avant d’être traitées et qu’elles
ne sont pas perdues, ajoutées, dupliquées ou indûment modifiées.
Ils visent aussi à assurer que les transactions incorrectes sont rejetées, corrigées et, si néces-
saire, soumises en temps voulu à un nouveau traitement.
* Contrôles sur les traitements et les fichiers de données informatisés : Ces contrôles visent
à fournir une assurance raisonnable que les transactions, y compris celles générées par le sys-
tème, sont correctement traitées par l’ordinateur et qu’elles ne sont pas perdues, ajoutées, du-
pliquées ou indûment modifiées. Ils visent, aussi, à assurer que les erreurs de traitement sont
détectées et corrigées en temps opportun.
* Contrôles sur la production des résultats : Ces contrôles visent à fournir une assurance rai-
sonnable que les résultats des traitements sont exacts, que l’accès aux informations produites
est limité aux personnes autorisées et que ces informations sont communiquées aux personnes
autorisées en temps voulu.
Avec les nouvelles technologies, beaucoup de contrôles, auparavant manuels assurés par le per-
sonnel informatique, par les utilisateurs du système ou par un groupe de contrôle indépendant,
sont dés lors réalisés par ordinateur. Par exemple les logiciels de l'E-Business incluent, généra

18
lement, des contrôles pour prévenir la répudiation ou la modification des enregistrements qui
initient les transactions. Ces contrôles peuvent être une signature électronique et des certificats
du serveur qui authentifient les parties de la transaction.
 Les contrôles de direction :
Ces contrôles, qui portent sur des informations finales, sont réalisés à posteriori par des per-
sonnes indépendantes du processus de traitement. Leur but est de détecter des erreurs ou irré-
gularités susceptibles de s’être produites en amont. Le système informatique peut offrir { la di-
rection plusieurs informations utiles au pilotage de l’entité et une palette d’outils analytiques
permettant d’examiner et de superviser ses activités. Les contrôles de direction peuvent consis-
ter en la revue et le suivi des rapports d’exception sur les opérations et les soldes anormaux et
des résumés des opérations traitées, en la vérification de la séquence des opérations traitées,
etc.
 Les contrôles visant à protéger les actifs :
Ces contrôles consistent en des mesures de contrôle et de sécurité assurant un accès limité aux
personnes expressément autorisées et dans la limite de leurs responsabilités.
Ils doivent aussi apporter la garantie que les actifs de la société sont { l’abri de toute création de
documents qui en autoriseraient l’utilisation ou la cession.
Sous le terme « actifs », on entend aussi bien les actifs inscrits dans les comptes que les informa-
tions confidentielles ou non contenues dans les fichiers informatiques.
Il est évident que les contrôles visant à protéger les actifs sont encore plus nécessaires si ces
actifs sont confidentiels, aisément transportables, convoités et/ou de valeur importante.
3. Risques liés aux systèmes
Après avoir présenté les systèmes d’informations et leur importance au sein des entreprises, on
a jugé utile de rappeler les différents risques auxquels les entreprises sont confrontées face à la
mise en place des systèmes d’information entreprises
 Les risques généraux liés aux systèmes d’information
a. Risque humain
Les risques humains sont les plus importants, même s'ils sont le plus souvent ignorés ou mini-
misés. Ils concernent les utilisateurs mais informaticiens eux-mêmes

19
 La maladresse :
Comme en toute activité, les humains commettent des erreurs ; il donc plus ou moins fréquem-
ment d'exécuter un traitement non souhaité, d'effacer involontairement des données ou des
Risque technique
 L'inconscience et l'ignorance :
De nombreux utilisateurs d'outils informatiques sont encore inconscients ou ignorants des

risques qu'ils encourent aux systèmes qu'ils utilisent, et introduisent souvent des programmes
malveillants sans le savoir. Des manipulations inconsidérées (autant avec des logiciels que phy-
siques) sont aussi courantes.
 La malveillance :
Certains utilisateurs, pour des raisons très diverses, peuvent volontairement mettre en péril le
système d'information, en y introduisant en connaissance de cause des virus (en connectant par
exemple un ordinateur portable sur un réseau d'entreprise), ou en introduisant volontairement
de mauvaises informations dans une base de données. De même il est relativement aisé pour un
informaticien d'ajouter délibérément des fonctions cachées lui permettant, directement ou avec
l'aide de complices, de détourner à son profit de l'information ou de l'argent.
 L'ingénierie sociale :
L’ingénierie sociale (social engineering en anglais) est une méthode pour obtenir d'une per-
sonne des informations confidentielles, que l'on n'est pas normalement autorisé à obtenir, en
vue de les exploiter à d'autres fins (publicitaires par exemple). Elle consiste à se faire passer
pour quelqu’un que l’on n’est pas (en général un administrateur) et de demander des informa-
tions personnelles (nom de connexion, mot de passe, données confidentielles, etc.) en inventant
un quelconque prétexte (problème dans le réseau, modification de celui-ci, heure tardive, etc.).
Elle peut se faire soit au moyen d’une simple communication téléphonique, soit par mail, soit
en se déplaçant directement sur place.
 L'espionnage :
L'espionnage, notamment industriel, emploie les même moyens, ainsi que bien d'autres, pour
obtenir des informations sur des activités concurrentes, procédés de fabrication, projets en
cours, futurs produits, politique de prix, clients et prospects, etc.
b. Risque naturel
Toutes les entreprises sont exposés à des désastres naturels, mais la nature exacte de ces dé-
sastres (tremblement de terre, incendie, inondation, tempête, cyclone, etc.) dépend de beaucoup
de facteurs. Historiquement, les plans établis pour de telles circonstances ont toujours mis

20
l’accent sur la préparation et la réaction. Les désastres naturels ont souvent un effet dévastateur
très marqué en raison de leur amplitude.
Le stockage de l’information en dehors du site de l’entreprise est la doctrine de base pour que
l’entreprise puisse survivre { un désastre naturel. Toutes les informations nécessaires { la re-
construction du système d’information doivent être conservées en un lieu sûr situé en dehors du
site de l’entreprise .Comme un tel accident détruit les locaux et les matériels, il est nécessaire de
pouvoir assurer la conduite de l’entreprise depuis un autre site dans lequel seront préservées
toutes les informations nécessaires.
c. Risque d’activité
Ces risques sont engendrés par la nature même de l’activité de l’entreprise, son marché, son po-
sitionnement, son organisation. Ces risques sont pourtant réels et peuvent provoquer de graves
perturbations. En effet, la nécessité d’alignement et de réactivité de l’entreprise face { des mar-
chés très actifs augmente le niveau de contraintes sur le système d’information.
La perte de capacité est liée à un accroissement des flux de données engendrant une saturation
au niveau des moyens de traitement et de stockage. Elle affecte le fonctionnement de l’entreprise
par un effet de ralentissement dont la fréquence et l’amplitude augmente avec le temps.
d. Risque technique
Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que
connaissent tous les systèmes matériels et logiciels. Ces incidents sont évidemment plus ou
moins fréquents selon le soin apporté lors de la fabrication et des tests effectués avant que les
ordinateurs et les programmes ne soient mis en service. Cependant les pannes ont parfois des
causes indirectes, voire très indirectes, donc difficiles à prévoir.
 Incidents liés au matériel : si on peut le plus souvent négliger la probabilité d'une erreur
d'exécution par un processeur (il y eut néanmoins une exception célèbre avec l'une des
toutes premières générations du processeur Pentium d'Intel qui pouvait produire, dans
certaines circonstances, des erreurs de calcul), la plupart des composants électroniques,
produits en grandes séries, peuvent comporter des défauts et finissent un jour ou l'autre
par tomber en panne. Certaines de ces pannes sont assez difficiles à déceler car intermit-
tentes ou rares.
 Incidents liés au logiciel : ils sont de très loin les plus fréquents ; la complexité croissante
des systèmes d'exploitation et des programmes nécessite l'effort conjoint de dizaines, de
centaines, voire de milliers de programmeurs.
Individuellement ou collectivement, ils font inévitablement des erreurs que les meilleures mé-
thodes de travail et les meilleurs outils de contrôle ou de test ne peuvent pas éliminer en totalité.
Des failles permettant de prendre le contrôle total ou partiel d'un ordinateur sont régulièrement
rendues publiques et répertoriées sur des sites comme Security Focus ou Secunia. Certaines
failles ne sont pas corrigées rapidement par leurs auteurs.

21
 Incidents liés à l'environnement : les machines électroniques et les réseaux de communi-

cation sont sensibles aux variations de température ou d'humidité (tout particulière-
ment en cas d'incendie ou d'inondation) ainsi qu'aux champs électriques et magnétiques.
Il n'est pas rare que des ordinateurs connaissent des pannes définitives ou intermit-
tentes à cause de conditions climatiques inhabituelles ou par l'influence d'installations
électriques notamment industrielles (et parfois celle des ordinateurs eux-mêmes).
e. Risque légal
Il est essentiel que les organisations informatisées prennent en compte le cadre réglementaire
imposé par la législation, l’administration fiscale, comme les recommandations émises par les
différentes organisations professionnelles concernées par la présentation des comptes.
Comme les auditeurs doivent informer l’entreprise des risques qu’elle encoure, il leur est indis-
pensable de se forger une première opinion sur la conformité du système informatique contrôlé
avec les différents textes réglementaires en vigueur.
Chapitre 2 : audit des systèmes d’information

Face { l’ampleur des risques qui menacent aujourd’hui les systèmes d’information des entre-
prises, les dirigeants sont devenus plus préoccupés par cette problématique et demandeurs de
missions d’audit et de conseil dans ce domaine. Dans ce chapitre, nous
Nous intéresserons { l’audit des systèmes d’information et nous proposerons par la suite une
nouvelle méthodologie simple et précise pour mener une démarche d’audit des SI.
Section 1 : généralités sur l’audit des systèmes d’information
1. qu’est-ce qu’un audit d’un SI?
1-1.définition d’audit des SI
Le concept d’audit des systèmes d’information apparu dans les années 1970 qui a pour but de
s’assurer que les méthodes d’organisation de l’entreprise et les processus de gouvernance du
système d’information répondent d’une manière efficace aux besoins et objectifs de l’entreprise,
autrement dit l’audit est l’évaluation la mise en conformité des processus et méthodes de l'en-
treprise avec un ensemble de règles en vigueur (fiscales, juridiques, technologiques...).
Une mission d'audit ne peut ainsi être réalisée que si l'on a défini auparavant un référentiel,
c'est-à-dire en l'occurrence, un ensemble de règles organisationnelles, procédurales ou/et tech-
niques de référence. Ce référentiel permet au cours de l'audit d'évaluer le niveau de sécurité réel
du " terrain " par rapport à une cible.
Pour évaluer le niveau de conformité, ce référentiel doit être :

22
- Complet (mesurer l'ensemble des caractéristiques : il ne doit pas s'arrêter au niveau système,
réseau, télécoms ou applicatif, de manière exclusive, de même, il doit couvrir des points tech-
niques et organisationnels) ;
- Homogène : chaque caractéristique mesurée doit présenter un poids cohérent avec le tout ;
- Pragmatique : c'est-à-dire, aisé à quantifier (qualifier) et à contrôler. Ce dernier point est sou-
vent négligé.
1-2.les acteurs d’audit des systèmes d’information

L’audit met en œuvre différents acteurs aux rôles bien déterminés :
*Le commanditaire de l’audit : c’est lui qui décide de l’audit, de son objectif, du contexte. C’est
généralement la direction de l’entreprise, ou un client ; ou un organisme officiel (état ; orga-
nisme de certification..)
*La direction de l’audité : c’est généralement le DSI ou la direction de l’organisme. C’est lui qui
facilite l’organisation de l’audit et met en relation les auditeurs et les audités.
*Les audités : ce sont les personnes de la DSI (ou autres services internes { l’entreprise) qui vont
apporter les éléments de réponse aux auditeurs.
*L’équipe d’audit (un ou plusieurs auditeurs), elle collecte les observations permettant de four-
nir les conclusions (rapports d’audit)
*Les experts techniques : mobilisés par l’équipe d’audit ponctuellement et sous son contrôle pour
analyser un point spécifique.
Si l’équipe d’audit est composée de plusieurs auditeurs ; chaque auditeur a un rôle déterminé
d’un commun accord dans un souci premier d’efficience (maitrise des différents thèmes de
l’audit, proximité géographique, disponibilité, niveau d’expérience requis.)
2. les objectifs d’audit des systèmes d’information
Le but d’une mission d’audit est de permettre { l’auditeur de se forger une opinion sur la contri-
bution du système d’information { la réalisation des objectifs de l’entreprise. Pour cela, il doit
vérifier que le système d’information renforce les objectifs de contrôle interne de l’organisation.
A cette fin, il doit rechercher et obtenir les informations fiables et pertinentes lui permettant de
tirer des conclusions raisonnables sur l’état du système d’information. Son jugement doit de plus
tenir compte des facteurs tels que les caractéristiques de l’organisation, de son système
d’information et du risque d’audit inhérent { tout jugement. Ce risque peut être impacté par des
éléments tels que :
 la nature et les caractéristiques du système d’information audité,
 la complexité des technologies utilisées pour la conception, le développement et la mise

en œuvre de ce dernier,

23
 le biais possible des acteurs impliqués dans le processus (audité, auditeur, prescripteur,
etc.),
 l’expérience de l’auditeur.
L’audit du système d’information inclut l’étude des éléments critiques de ce dernier, { savoir les
méthodes de développement, la maintenance des applications, la qualité des logiciels, la sécurité
du système, sa documentation, etc. Pour organiser et structurer le processus d’audit, nous avons
défini deux concepts principaux : les domaines d’audit et les critères.
01. Les domaines d’audit
Tout système d’information comporte deux dimensions principales, la dimension technologique

et la dimension organisationnelle et managériale. La notion de domaine permet d’affiner ces
deux dimensions. Ainsi, l’audit de la dimension technologique comprend l’évaluation de :
a) la sécurité informatique,
L'audit de la sécurité informatique a pour but de donner au management une assurance raison-
nable du niveau de risque de l'entreprise lié à des défauts de sécurité informatique. En effet,
l'observation montre que l'informatique représente souvent un niveau élevé pour risque élevé
de l'entreprise. On constate actuellement une augmentation de ces risques liée au développe-
ment d'Internet. Ils sont liés à la conjonction de quatre notions fondamentales :
1. en permanence il existe des menaces significative concernant la sécurité informatique de
l'entreprise et notamment ses biens immatériels,
2. le facteur de risque est une cause de vulnérabilité due à une faiblesse de l'organisation,
des méthodes, des techniques ou du système de contrôle,
3. la manifestation du risque. Tôt ou tard le risque se manifeste. Il peut être physique (in-
cendie, inondation) mais la plupart du temps il est invisible et se traduit notamment par
la destruction des données, détournement de trafic,
4. la maîtrise du risque. Il s'agit de mettre en place des mesures permettant de diminuer le
niveau des risques notamment en renforçant les contrôles d'accès, l'authentification des
utilisateurs,…
Pour effectuer un audit de sécurité informatique il est nécessaire de se baser sur quelques objec-
tifs de contrôle. Les plus courants sont :
 repérer les actifs informationnels de l'entreprise. Ce sont des matériels informatiques,
des logiciels et des bases de données. Il est pour cela nécessaire d'avoir des procédures
de gestion efficaces et adaptées,
 identifier les risques. Il doit exister des dispositifs de gestion adaptés permettant de sur-
veiller les domaines à risque. Cette surveillance doit être assurée par un RSSI, un respon-
sable de la sécurité informatique,

24
 évaluer les menaces. Le RSSI a la responsabilité de repérer les principaux risques liés aux
différents domaines du système d'information. Un document doit recenser les princi-
pales menaces,
 mesure les impacts. Le RRSI doit établir une cartographie des risques associés au sys-
tème d'information. Il est alors envisageable de construire des scénarios d'agression et
d'évaluer les points de vulnérabilité,
 définir les parades. Pour diminuer le niveau des risques il est nécessaire de prévoir les
dispositifs comme des contrôles d'accès, le cryptage des données, le plan de secours,…
Il existe de nombreux autres objectifs de contrôle concernant l'audit de la sécurité informatique
qui sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.
Ces différents objectifs de contrôle correspondent aux processus de CobiT DS 5 : "Assurer la sé-
curité des systèmes" et PO 9 "Evaluer et gérer les risques". Il existe un référentiel spécifique à la
sécurité informatique : ISO 27002. C'est un code des bonnes pratiques concernant le manage-
ment de la sécurité des systèmes d'information. Il est complété par la norme ISO 27001 concer-
nant la mise en place d'un Système de Management de la sécurité de l'Information
b) l’exploitation :
L'audit de l'exploitation a pour but de s'assurer que le ou les différents centres de production
informatiques fonctionnent de manière efficace et qu'ils sont correctement gérés. Il est pour cela
nécessaire de mettre en œuvre des outils de suivi de la production comme Openview d'HP, de
Tivoli d'IBM,… Il existe aussi un système Open Source de gestion de la production comme Na-
gios. Ce sont de véritables systèmes d'information dédiés à l'exploitation.
Pour effectuer un audit de l'exploitation on se base sur la connaissance des bonnes pratiques
concernant ce domaine comme :
 la clarté de l'organisation de la fonction notamment le découpage en équipes, la défini-
tion des responsabilités,…
 l'existence d'un système d'information dédié à l'exploitation notamment pour suivre la
gestion des incidents, la gestion des ressources, la planification des travaux, les procé-
dures d'exploitation,
 la mesure de l'efficacité et de la qualité des services fournies par l'exploitation informa-
tique.
Il existe de nombreuses autres bonnes pratiques concernant l'exploitation informatique. Pour
effectuer cet audit on va se baser sur ces bonnes pratiques afin de dégager un certain nombre
d'objectifs de contrôle comme :
 la qualité de la planification de la production,
 la gestion des ressources grâce à des outils de mesure de la charge, des simulations, le
suivi des performances,…

25
 l'existence de procédures permettant de faire fonctionner l'exploitation en mode dégra-

dé de façon à faire face à une indisponibilité totale ou partielle du site central ou du ré-
seau,
 la gestion des incidents de façon à les repérer et le cas échéant d'empêcher qu'ils se re-
nouvellent,
 les procédures de sécurité et de continuité de service qui doivent se traduire par un plan
de secours,
 la maîtrise des coûts de production grâce à une comptabilité analytique permettant de
calculer les coûts complets des produits ou des services fournis.
c) des projets informatiques :
L'audit des projets informatiques est un audit dont le but est de s'assurer qu'il se déroule norma-
lement et que l'enchaînement des opérations se fait de manière logique et efficace de façon
qu'on ai de forte chance d'arriver à la fin de la phase de développement à une application qui
sera performante et opérationnelle. Comme on le voit un audit d'un projet informatique ne se
confond pas avec un audit des études informatiques.
Pour effectuer un audit d'un projet informatique on se base sur la connaissance des bonnes pra-
tiques connues en ce domaine. Elles sont nombreuses et connues par tous les chefs de projets et
de manière plus générale par tous professionnels concernés. Parmi celles-ci on peut citer :
 l'existence d'une méthodologie de conduite des projets,
 la conduite des projets par étapes quel que soit le modèle de gestion de projets : cascade,
V, W ou en spirale (processus itératif),
 le respect des étapes et des phases du projet,
 le pilotage du développement et notamment les rôles respectifs du chef de projet et du
comité de pilotage,
 la conformité du projet aux objectifs généraux de l'entreprise,
 la mise en place d'une note de cadrage, d'un plan de management de projet ou d'un plan
d'assurance qualité (PAQ),
 la qualité et la complétude des études amont : étude de faisabilité et analyse fonction-
nelle,
 l'importance accordée aux tests, notamment aux tests faits par les utilisateurs.
Il existe de nombreuses autres bonnes pratiques concernant la gestion de projet. Pour effectuer
un audit d'un projet informatique on va se baser sur un certain nombre d'objectifs de contrôle
comme :
 la clarté et l'efficacité du processus de développement,
 l'existence de procédures, de méthodes et de standards donnant des instructions claires
aux développeurs et aux utilisateurs,
 la vérification de l'application effective de la méthodologie,

26
 la validation du périmètre fonctionnel doit être faite suffisamment tôt dans le processus
de développement,
 la gestion des risques du projet. Une évolution des risques doit être faite aux étapes clés
du projet.
d) des applications,
Les audits précédents sont des audits informatiques, alors que l'audit d'applications opération-
nelles couvre un domaine plus large et s'intéresse au système d'information de l'entreprise. Ce
sont des audits du système d'information. Ce peut être l'audit de l'application comptable, de la
paie, de la facturation,…. Mais, de plus en plus souvent, on s'intéresse { l'audit d'un processus
global de l'entreprise comme les ventes, la production, les achats, la logistique,…
Il est conseillé d'auditer une application de gestion tous les deux ou trois ans de façon à s'assurer
qu'elle fonctionne correctement et, le cas échéant pouvoir apporter les améli rations souhaitable
à cette application ou à ce processus. L'auditeur va notamment s'assurer du respect et de l'appli-
cation des règles de contrôle interne. Il va en particulier vérifier que :
 les contrôles en place sont opérationnels et sont suffisants,
 les données saisies, stockées ou produites par les traitements sont de bonnes qualités,
 les traitements sont efficaces et donnent les résultats attendus,
 l'application est correctement documentée,
 les procédures mises en œuvre dans le cadre de l'application sont { jour et adaptées,
 l'exploitation informatique de l'application se fait dans de bonnes conditions,
 la fonction ou le processus couvert par l'application sont efficaces et productifs,
Le but de l'audit d'une application opérationnelle est de donner au management une assurance
raisonnable sur son fonctionnement. Ces contrôles sont, par exemple, réalisés par le Commis-
saire aux Comptes dans le cadre de sa mission légale d'évaluation des comptes d'une entreprise :
est-ce que le logiciel utilisé est sûr, efficace et adapté ?
Pour effectuer l'audit d'une application opérationnelle on va recourir aux objectifs de contrôle
les plus courants :
 le contrôle de la conformité de l'application opérationnelle par rapport à la documentation
utilisateur, par rapport au cahier des charges d'origine, par rapport aux besoins actuels des
utilisateurs,
 la vérification des dispositifs de contrôle en place. Il doit exister des contrôles suffisants sur
les données entrées, les données stockées, les sorties, les traitements,… L'auditeur doit s'as-
surer qu'ils sont en place et donnent les résultats attendus,
 l'évaluation de la fiabilité des traitements se fait grâce à l'analyse des erreurs ou des anoma-
lies qui surviennent dans le cadre des opérations courantes. Pour aller plus loin l'auditeur
peut aussi être amené à constituer des jeux d'essais pour s'assurer de la qualité des traites

27
ments. Il est aussi possible d'effectuer des analyses sur le contenu des principales bases de don-
nées afin de détecter d'éventuelles anomalies,
 la mesure des performances de l'application pour s'assurer que les temps de réponse sont
satisfaisants même en période de forte charge. L'auditeur va aussi s'intéresser au nombre
d'opérations effectuées par le personnel dans des conditions normales d'utilisation.
L’audit de la dimension organisationnelle et managériale contient les domaines suivants :
o la stratégie des systèmes d’information,
o les systèmes d’information fonctionnels (marketing, ressources humaines, logis-
tique, etc.),
o les procédures organisationnelles,
o la fonction systèmes d’information.
02. Les critères d’audit :
Pour satisfaire les objectifs de l’entreprise, les domaines précédents doivent obéir { un certain
nombre d’exigences qualifiées de critères. Nous proposons la hiérarchie de critères suivante :
les exigences de qualité qui incluent l’efficacité et la performance,

les exigences en termes de sécurité comprenant notamment la cohérence, la sécurité, la
conformité et la fiabilité,
les exigences de lisibilité, parmi lesquelles nous classons la faisabilité, l’auditabilité et
l’évolutivité
Avant de démarrer une mission d’évaluation d’un système d’information, l’auditeur doit valider
auprès de son commanditaire le ou les domaines à auditer et le ou les critères retenus pour éva-
luer le système.
L’étape suivante consiste { générer l’arborescence d’audit, c’est-à-dire l’ensemble des nœuds des
domaines retenus. Pour permettre une évaluation globale, chaque nœud de cette arborescence
est affecté d’un poids. La note d’évaluation d’un nœud, par exemple la sécurité physique d’un
système d’information, résulte de la somme pondérée des notes calculées lors de l’évaluation de
chacun des sous-domaines de la sécurité physique. Au niveau élémentaire, c’est l’auditeur qui, au
vu des résultats du test d’audit, affecte une note et une appréciation au nœud terminal corres-
pondant.

28
Section 2 : La démarche d’audit des SI
La démarche d'audit sera motivée par la volonté de l'entreprise ou de la direction des Systèmes
d'information (DSI) à veiller à la bonne mise en conformité de ses processus d'une part, mais
aussi à mieux identifier ses points de vulnérabilité d'autre part. Un préalable à l'audit de sécurité
serait par exemple de déclencher régulièrement des simulations d'attaques logiques et d'analy-
ser les temps de réaction de la découverte à la clôture de l'incident, de suivi des procédures déjà
en place...
Il peut être nécessaire que l'entreprise soit d'abord consciente de ses propres lacunes et de sa-
voir pourquoi elle est susceptible de repenser et de remettre à plat tout ou partie des procédures
existantes. La procédure d'audit permet à la fois de valider une hypothèse de vulnérabilité ou
bien de découvrir une menace éventuelle à laquelle l'entreprise ne s'était pas préparée.
1. Les référentiels de l’audit des SI
Parmi les nombreux référentiels servant de base à la réalisation des audits, on retiendra dans
cette note : COBIT (Control OBjectives for Information and related Technology/Objectifs de con-
trôle de l’information et des technologies associées), CMMI (Capacity Maturity Model Integra-
tion) et ITIL (Information Technology Infrastructure Library).
01. COBIT, le référentiel de gouvernance du système d’information :
Le référentiel COBIT a été développé en 1994 et publié pour la première fois par l’ISACA (Infor-
mation Systems Audit and Control Association) dont la branche française est l’AFAI (Association
française de l’audit et du conseil informatiques). En 1998, l’ISACA crée l’ITGI (Information Tech-
nology Governance Institute). En 2000, COBIT évolue et devient, sous l’impulsion de l’ITGI qui en
assure désormais la conception, le référentiel de gouvernance des SI.
Le référentiel COBIT est structuré selon quatre domaines qui correspondent au cycle de vie des
systèmes d’information : planifier et organiser, acquérir et mettre en œuvre, délivrer et suppor-
ter, surveiller et évaluer.
Chaque domaine est décrit sous la forme d’un ensemble de processus. La description de chacun
des processus est accompagnée d’objectifs { atteindre.
COBIT fournit des objectifs de contrôle général par processus avec une description des exigences
métier, des objectifs de contrôle détaillé par activité dans chaque processus avec la description
des actions { mettre en œuvre. Il inclut un guide de management et un modèle de maturité qui
évalue l’atteinte d’un ou plusieurs objectifs généraux sur une échelle de 0 à 5.

29
02. CMMI, le référentiel de conduite de projet
Développé en 1987 par le Software Engineering Institute de l’Université Carnegie Mellon, CMMI
est un référentiel de bonnes pratiques orienté vers le développement logiciel et la gestion de
projet afférente. Il représente une avancée importante dans le monde de l’ingénierie des sys-
tèmes d’information.
CMMI s’articule autour de six concepts centraux :
 Les domaines de processus ;
 La représentation du modèle : CMII décrit 5 niveaux de maturité de l’entreprise

dans sa représentation étagée et 6 niveaux d’aptitude dans sa représentation conti-
nue.
 Les objectifs génériques qui sont communs à tous les domaines de processus ;
 Les objectifs spécifiques, c’est-à-dire propres à chaque domaine de processus ;
 Les pratiques génériques liées aux objectifs génériques ;
 Les pratiques spécifiques liées aux objectifs spécifiques.
03. Le référentiel de gestion des services informatiques
ITIL a été inventé en 1989 en Grande Bretagne par le Central Computer & Telecom Agency
(CCTA). Cet outil rassemble dans une bibliothèque d’ouvrages un ensemble de bonnes pratiques
destinées { répondre aux besoins des directions des système d’information dans le domaine de
la gestion des services informatiques. Le référentiel ITIL accorde une importance particulière
aux notions de qualité de service et de productivité.
Sa mise en œuvre nécessite la définition d’une stratégie de gestion des services et principale-
ment :
- La définition du périmètre des services.
- La communication auprès des utilisateurs et des clients sur la démarche ITIL ;
- La définition de l’organisation et des moyens nécessaires pour supporter le projet ITIL.

30
2. Démarche d’audit de sécurité des SI
La démarche suivie par l’auditeur informatique lors d’une mission de revue des aspects de sécu-
rité d’un système d’information s’articule généralement autour des étapes suivantes :
• Prise de connaissance ;
• Analyse des risques ;
• Evaluation de la sécurité des systèmes ;
• Elaboration de recommandations.
2.1. Prise de connaissance
Cette étape a pour objectif d’avoir une vue systémique du système d’information de la société, et
de recenser tous les standards et les règles de sécurité en vigueur.
A partir des documents de l’entreprise, des entretiens et des visites des locaux,
L’auditeur informatique doit collecter l’information relative
• Aux matériels: serveurs, stations de travail, équipements réseaux, firewalls;
• Aux logiciels: systèmes d’exploitation, applications de gestion, ERP ;
• Aux communications: architecture du réseau (topologie), plan de câblage et connexion avec

l’extérieur;
• A l’organisation:
Politique de sécurité;
Normes et standards en vigueur;
Personnes et équipes impliquées dans la fonction informatique;
Définition des responsabilités;
Procédures appliquées,
Plans des sauvegardes, d’archivage de secours, de reprise, …etc.
• Volumétrie: Nombre d’utilisateurs, volume de données en production et taille des
Données sauvegardées.

31
A l’issue de cette étape, et selon le périmètre de la mission d’audit de sécurité,
L’auditeur informatique peut faire appel { des experts spécialisés dans la revue de
Sécurité des :
• Systèmes d’exploitation;
• ERP ;
• Matériels et logiciels réseaux;
• Matériels et logiciels Internet.
2.2 .Analyse des risques
Cette étape a pour objectifs d’évaluer les enjeux de la sécurité du système, et notamment :
• Identification des scénarios de menace ;
• Evaluation de l’impact de ces scénarios sur les actifs, le patrimoine et l’activité de L’entreprise
de la survenance de ces scénarios.
Cette analyse des risques permet donc de :
• Classer selon leur degré d’importance, les vulnérabilités qui seront identifiées ;
• Justifier le coût des actions correctives (comparaison du coût de la réalisation de la recom-

mandation par rapport au coût de survenance de la menace) ;
• Hiérarchiser les recommandations.
Parmi les scénarios de menace associés { la sécurité d’un système d’information, nous pouvons
citer :
• Interruption ou dysfonctionnement du réseau ;
• Interruption ou dysfonctionnement du serveur ;
• Perte de données ;
• Perte d’intégrité des données ;
• Divulgation d’information confidentielle ;

32
• Attaque des logiciels (infections logiques par des virus) ;
• Risques juridiques ;
• Répudiation ;
• Ecoute du réseau ;
• Saisie de transactions non autorisées ;
• Pénétration du site central par le réseau.
2.3. Evaluation de la sécurité du système
Cette étape a pour objectif de s’assurer que les contrôles mis en œuvre au sein ou autour du sys-
tème audité sont en mesure de garantir une couverture suffisante des risques pesant sur le sys-
tème.
Les principaux points à contrôler sont :
• Sécurité physique ;
• Sécurité de continuité d’exploitation ;
• Sécurité logique : contrôle des accès et des habilitations ;
• Existence d’un système de self assessement (audit et contrôle) ;
• Prise en compte de la sécurité dans les projets informatiques ;
• Respect de la réglementation et des lois en vigueur.
2.4. Emission de recommandations
Cette étape a pour objectifs de présenter un plan d’action sécurité qui devrait :
• Proposer une recommandation corrective pour chaque vulnérabilité identifiée et qui corres-
pond à un risque ;
• Hiérarchiser les recommandations en fonction de l’importance du risque (application des ré-

sultats de l’étape d’analyse des risques) ;

33
• Définir un calendrier et un échéancier de réalisation des recommandations et désigner les res-

ponsabilités du personnel opérationnel de l’entreprise.
Les recommandations les plus fréquentes qui découlent d’un audit de sécurité sont résumées
dans les points suivants :
 Politique de sécurité
• Formalisation d’un document définissant la politique de sécurité;
 Implication de la Direction Générale;
 Cohérence de la sécurité ;
 Définition claire des responsabilités.
• Existence d’une organisation dédiée { la sécurité :
 Nomination d’un RSSI (Responsable de Sécurité du Système d’Information) ;
 Séparation exploitation/administration de la sécurité.
• Sensibilisation du personnel { la sécurité de l’information (informaticiens et utilisateurs) :
 Guides, communications, formation ;
 Protection du SI de l’entreprise ;
 Signature d’une convention de confidentialité de l’information par tout le personnel de

l’entreprise (confidentiality agreement) ;
o Prévention de la fraude (dont piratage) ;
o Tout incident de sécurité causé par un employé pourrait être considéré comme une faute
grave.

34
 Sécurité Physique :
• Accès aux serveurs :
 Installation des serveurs dans une salle machines munie d’un minimum de standards de
sécurité (climatisation, ondulation, extincteurs de feu, détecteurs de feu, instruments de
mesure de la température et de l’humidité, …etc.).
• Stockage des sauvegardes :
 Placement des supports de sauvegardes dans un lieu sécurisé (coffre ignifuge) ;
 Disponibilité d’une sauvegarde externe des données d’exploitation (dans le coffre fort
d’une banque par exemple) ;
 Périodicité de renouvellement des sauvegardes stockées { l’extérieur.
 Sécurité logique :
• Contrôle d’accès logique :
 Formalisation d’une procédure d’accès des utilisateurs aux ressources informatiques ;
 Identification, authentification et autorisation de tous les utilisateurs ;
 Mise en veille/déconnexion automatique après une période d’inactivité ;
 Désactivation automatique des comptes utilisateurs en cas de tentatives infructueuses ;
 Responsabilisation des utilisateurs.
• Gestion des mots de passe :
 Caractère confidentiel et personnel du mot de passe ;
 Règles de construction du mot de passe (longueur, composition, robustesse) ;
 Règles de gestion (changement régulier des mots de passe, non réutilisation) ;
 Procédures de réinitialisation en cas de perte de mots de passe.
• Mise { jour des habilitations accordées :

35
 Cohérence entre les effectifs de l’entreprise et le fichier ID des utilisateurs ;
 Prise en compte des changements de fonction des utilisateurs ;
 Procédures relatives { l’habilitation du personnel n’appartenant pas { l’entreprise (sta-

giaire, contractante, consultante et sous-traitante).
• Accès et habilitations du personnel
 Revue des autorisations d’accès aux ressources sensibles ;
 Les développeurs informatiques ne doivent pas être autorisés à accéder à

l’environnement de production ;
 Revue régulière par les propriétaires du SI, des autorisations à partir des données et des
systèmes ;
 Revue régulière des habilitations des utilisateurs par l’audit interne ou par le respon-
sable sécurité (contrôle de la séparation des fonctions) ;
 Revue régulière des accès pour détecter et analyser les tentatives de violation répétées et
l’accroissement injustifié des accès réalisés sur des ressources sensibles.

36
Conclusion de la première partie :
En guise de conclusion de cette partie, on peut dire que les systèmes d’information ont une im-
portance véritablement stratégique (décider du bon système à mettre en place, des nouvelles
technologies { implanter, etc.). En outre, la gestion efficace de l’information et des technologies
associées est d’une importance critique pour le succès et la survie d’une organisation.
En effet, tout au long de cette première partie, nous avons démontré d’une part, comment
l’intégration des systèmes d’information dans une entreprise, peut elle affecter l’organisation et
les procédures utilisées par l’entité pour satisfaire { la mise en place d’un contrôle interne
fiable.et d’une autre part, nous avons essayé de relever les différents risques inhérents, induit de
la complexité des systèmes d’information. Ainsi nous avons abordé une démarche d’audit des
systèmes d’information
De ce fait, la question qui peuve se poser est la suivante :
Comment atteindre un niveau de sécurité optimal du système d’information dans une entreprise
publique ?
Pour répondre à cette question, nous préconisons dans la seconde partie de notre mémoire, un
cas pratique d’audit de sécurité des systèmes d’information en sein de la régie autonome de
Multi-Services d’Agadir, prenant en compte les enjeux du nouveau contexte.

37
Partie II :
Audit des systèmes d’information
(Cas d’audit de sécurité des SI de la RAMSA)

38
Introduction à la deuxième partie :
De nos jours les entreprises sont de plus en plus connectées tant en interne que dans le
monde entier, profitant ainsi de l’évolution des réseaux informatiques et la dématérialisation
des documents.
De ce fait, leur système d’information est accessible de l’extérieur pour leurs fournisseurs,
clients, partenaires et administrations. L'accessibilité par l’extérieur entraine la vulnérabilité vis
{ vis les attaques, mais aussi on peut pas négliger les menaces qui viennent de l’intérieur, ce qui
rend l’investissement dans des mesures de protection et de sécurité indispensable, et la mise en
œuvre d’un plan de sécurité issu d’un examen méthodique d’une situation liée { la sécurité de
l’information en vue de vérifier sa conformité { des objectifs, { des règles, et { des normes ou
référentiels, afin de cerner les différentes composantes de la sécurité du Système d’Information,
et pour atteindre un niveau de sécurisation répondant aux objectifs organisationnels et tech-
niques. Dans cette partie, nous nous intéresserons au diagnostic d’audit de sécurité des SI de la
RAMSA et nous proposerons par la suite des recommandations pour pallier ces risques.

39
Chapitre 1 : présentation de l’entreprise d’accueil
Section 1 : Présentation de la R.A.M.S.A

1. Historique :
Avant 1982, le secteur de la distribution d’eau et d’électricité était exploité d’abord par les socié-
tés privées et leurs concessions, à savoir la concession de la Société Marocaine. Les dites socié-
tés privilégient le côté lucratif plutôt que la notion du service public.
En 1964, les régies communales ont été crées par le décret n°2-64-394 (du 22 septembre
1964), ces organismes sont dotés de la personnalité civile et de l’autonomie financière. Leurs
missions sont d’assurer la gestion rationnelle de la distribution de l’eau potable et de l’électricité
et de s’occuper de l’assainissement. C’est ainsi que la régie autonome multi services d’Agadir
(RAMSA) a été crée le 16 septembre 1982 et elle a succédé { l’Office Nationale d’Eau Potable
(ONEP) pour la distribution de l’eau potable.
2. Fiche technique :
- Dénomination sociale : Régie Autonome Multiservices d’Agadir

(RAMSA)
- Date de création : 16/09/1982
- Forme juridique : Etablissement public à caractère commercial

et industriel doté de la personnalité ci-
vile et de l’autonomie financière
- Mission : Assurer la distribution de l’eau potable et

gérer l’assainissement liquide au sein
du Grand Agadir.
- Nombre d’effectif : 422 dont 46 cadres
- Siège social : Rue 18 novembre, BP 754 QI Agadir
- Téléphone : 05 28 22 30 30

40
- Fax : 05 28 22 01 15
3. organigramme
Directeur
Service Audit In- Délégation INEZGANE Ait

terne Melloul
Division
Commerciale
Division Division Assai- Division Approvi- Division
Eau nissement sionnement Financière
& moyens géné-

raux
Service Service Service Service
Personnel
Communication Informatique Juridique
4. Mission et tâches de la RAMSA
La mission qui a été confié à la RAMSA selon le cahier de charge qui la réglemente est d’assurer
la gestion des réseaux de distribution de l’eau potable et d’assainissement liquide sur son terri-
toire d’action (le Grand Agadir).
C’est ainsi que la régie veille sur :
 L’alimentation des citoyens et organisations de son périmètre d’action de l’eau
 potable achetée de l’ONEP (Office National de l’Eau Potable) ;
 La collecte, le transport, l’évacuation et éventuellement le traitement des eaux
 pluviales, ménagères ou usées ;
 La réalisation, l’exploitation et l’entretien d’ouvrages (réservoirs, stations de pompage,

canalisations, stations de relevage et d’épuration).

41
5. Zones d’actions
Le périmètre d’action de la RAMSA est le Grand Agadir. Il est constitué de :
 Commune Urbaine d’Agadir regroupant : Agadir, Anza, Tikiouine et Bensergao ;
 Commune Urbaine de Dcheira ;
 Commune Urbaine d’Inezgane ;
 Commune Urbaine d’Ait Melloul ;
 Commune Rural d’Aourir ;
6. Tutelle et organes de gestion
La RAMSA est sous la tutelle administrative du ministère de l’Intérieur et porte sur

l’organisation, le recrutement, les marchés, les budgets, les comptes officiels et les relations avec
les bailleurs de fonds.
La tutelle financière est assurée par le ministère des Finances.
Elle est gérée par les organes suivants :
 Conseil d’administration: contenant 12 membres présidés par Monsieur le Wali de la région

de Souss Massa Daraa et composé par deux tiers d’élus (représentants des communes) et un
tiers de représentants d’administration. Il a pour mission la définition de stratégies et de poli-
tiques diverses (financement, endettement, …etc.), l’approbation des budgets et des comptes
officiels.
 Comité de direction :composé de trois membres désignés par le conseil d’administration, le

directeur, le contrôleur financier et l’ingénieur Municipal. Il a pour mission d’assurer le bon
fonctionnement de la régie dans le cadre des stratégies et politiques définies par le conseil
d’administration.
 Directeur: il veille sur l’exécution des décisions prises par le comité de direction { travers la
gestion des affaires quotidiennes de la régie.
7. Secteur d’activité :
La zone d’actions de la RAMSA correspond à la zone administrative du Grand Agadir regroupant

Agadir, Anza, Tikiouine, Benszegao, Aourir, Dcheira, Inezgane et Ait Melloul. La population de
cette agglomération est estimée à plus de 800 000 habitants et elle devrait atteindre plus de 1
million d’habitant en l’en 2020

42
Au sujet des principaux indicateurs de la RAMSA, il est { savoir que l’établissement génère 382
millions de Chiffres d’affaires ; il emploie 435 personnes dont 61 cadres et compte 189 000
clients et une population desservie de 750 000 habitants. Secteur de l’eau : linéaire 1 941 km,
volume amené de 39 100 000 m3, volume distribué de 30 889 000 m3, un rendement réseau de
79%, un réservoir stockage de 111 500m3, 19 réservoirs, un taux de branchement de 97%. Un
programme d’investissement 2012 de 43 520 00 DH.
8. Les services
La structure de la RAMSA comprend les divisions et services qui suivent :

 Division Commerciale ;
 Division Approvisionnement et Moyens Généraux ;
 Service Audit Interne ;
 Service Personnel ;
 Service informatique ;
 Division comptable & Financière
 DIVISION COMMERCIALE
La fonction principale de cette division est d’ordre administratif, en effet, elle s’occupe de la ges-
tion des abonnées qui contactent avec la régie. L’opération se débute dès la dépose des dossiers
d’abonnement eau de branchement jusqu'à la résiliation soit par propre volonté, soit par volonté
de la régie. Cette division est formée de sept cellules, chacune a une tache différente de l’autre,
mais font une complémentarité.

43
Organisation :
L’organisation de la Division Commerciale est comme suit :
 DIVISION APPROVISIONNEMENT & MOYENS GENERAUX

Cette division a pour mission d’assurer les achats de la régie pour répondre aux besoins de fonc-
tionnement et d’équipement de ses différents services. Ces besoins sont déterminés chaque fin
d’année pour chaque service selon la consommation de l’année précédente et les estimations
l’année { venir (degré d’augmentation de l’activité). C’est ce qu’on appelle le programme
d’approvisionnement.

44
Organisation
Les tâches effectuées au sein de cette division sont réparties entre :

 Cellule Appels d’Offres,
 Cellule Marchés,
 Cellule Facturation,
 Cellule du Parc Autos,
 Magasin,
 SERVICE PERSONNEL
Le service personnel consiste { s’occuper de tout ce qui touche de pré ou de loin le personnel de
la régie depuis son recrutement jusqu’{ sa mise en retraite.
Parmi les tâches principales du service on trouve :
 Fiche de recrutement de nouveaux employés
 Des attestations
 Des fiches de départs en congé
 Des de retraites et cotisation de mutuelle
 Organisation du travail (absence, retard)

45
 Le système de rémunération ou le traitement de paie.

Etablissement de la fiche de paie reste la fonction la plus répandue dans ce service puisqu’il pré-
sente le document le plus dérivant de la situation de l’employé au sein de la régie.
En outre, le document de paie comporte des éléments d’informations entre autres :
* L’identité de l’agent et sa situation familiale et administrative,
* Les éléments imposables de paie,
* Le mode de paiement et le net à payer
Les relations fonctionnelles du service personnel avec les autres unités de la régie se présentent
comme suit :
 SERVICE AUDIT INTERNE

Le service se charge du contrôle des opérations techniques et administratives de la régie afin
qu’elles soient :
 Conforme aux procédures en vigueur et aux normes de travail (audit de conformité) ;
 Bien faites et dans les délais requis (audit d’efficacité)
Audit des opérations techniques :
Pour tous les travaux courants, d’infrastructure ou d’exploitation, le service est amené à :
 Vérifier que la procédure des appels d’offres appliquée respecte le décret réglementant
les marchés de l’Etat ;
 S’assurer de l’exactitude des attachements de travaux (sur le plan qualitatif et quantita-
tif) et le respect des délais d’exécution et ceci. Ils sont amenés, de ce fait, à faire des vi-
sites inopinées sur le chantier ;
 Vérifier les factures et les décomptes provisoires et définitif ;

46
 Etablir un rapport d’audit pour chaque dossier traité. Les anomalies constatées sont
prises en compte dans le règlement des dits décomptes.
Audit des activités administratives :
Un programme annuel des missions d’intervention est élaboré et est remis au Directeur pour
approbation.
Le programme retrace les processus à auditer (ventes/clients, achats/fournisseurs, la paye, ..),
les objectifs à atteindre ainsi que la démarche à poursuivre.
Pour toute mission d’audit effectuée, un rapport des résultats et des observations soulevées est
établi et transmis au Directeur de la régie.
Le service participe également { l’inventaire physique de fin d’exercice
 SERVICE INFORMATIQUE
Ce service a pour mission d’assurer l’exploitation des applications informatiques existantes, le

développement d’applications de gestion, l’entretien et la réparation du matériel, la maintenance
du réseau informatique et l’élaboration du budget informatique (équipement).
 DIVISION COMPTABLE & FINANCIERE

1. Organisation :
L’organisation de cette division est comme suit :

47
2. Comptabilité Matière :
Le service de la comptabilité matière est une interface entre la division approvisionnement et
moyens généraux (service gestion de stock) et la division comptable et financière. Il a pour mis-
sion le suivi des mouvements de stock en quantité et en valeur. Ces attributions sont :
 Etablissement des bons de sortie pour les fournitures et les pièces de rechange ;
 Vérification de la nomenclature et sa conformité avec les guides d’imputation ;
 Saisie des mouvements de stock sur la base des données transmises par le service ges-
tion de stock et leur suivi pour et corriger les anomalies détectées ;
 Vérification de la coordination entre le stock comptable (théorique) et le stock magasin
(réel) ;
 Suivi des mouvements inter-régis (matériel prêté)
 Edition des états mensuels (inventaire permanent, état des mouvements de stock en
quantité et en valeur, état des mouvements inter-régies,…) et leur transmission aux ser-
vices concernés :
 Suivi du matériel obsolète.
La méthode d’évaluation de stock adoptée est le Coût Moyen Unitaire Pondéré (CMUP).
A sein de la division, le service comptabilité matière est en relation avec :
 Le service comptabilité analytique. En effet, il lui transmet des états mensuels es sorties
magasins afin de les incorporer dans le calcul du coût d’un centre de coût (numéro de
travail).
 le service comptabilité fournisseurs. En effet, il lui transmet des états mensuels pour la
prise en charge comptable des entrées magasins pour les prendre en compte dans le cas
où les factures correspondantes sont non encore parvenues.
3. Comptabilité Générale :
Ce service a pour objectif la comptabilisation des opérations (achat, vente, emprunt, prêt, acqui-
sition d’immobilisation,…) afin d’établir les états financiers (Bilan, CPC,…) et les situations ser-
vant de base pour les analyses.
Il est, de ce fait, scindée en deux sections :
o Comptabilité fournisseur : Elle s’occupe de la comptabilisation des charges
après leur vérification ainsi que le suivi des différentes dépenses de la régie à sa-
voir : les achats de fournitures ou de services, les charges de personnel, les impôts
et taxes ou encore les charges périodiques (loyers, téléphone, électricité,…).
o Comptabilité client : Cette section s’occupe de l’enregistrement des opérations
liées à la vente du produit «eau potable» et du service « assainissement ». Les re-
cettes de la régie sont parvenues des :
 travaux avec participation (branchement aux réseaux de l’eau potable et de
l’assainissement) ;

48
 contrats d’abonnement ;
 consommations de l’eau potable (quittances);
 frais sur les coupures d’eau et les déposes de compteurs ;
 frais sur les résiliations de compte ;
 autres travaux réalisés par la RAMSA
4. Trésorerie générale :
Cette section s’occupe de la gestion de trésorerie de la régie { travers la gestion de la caisse

(régie et principale), des avoirs en banques (BP, BMCE, BMCI et BCM) et en trésor public.
Elle a pour principales tâches :
 Le suivi des versements bancaires. En effet, chaque encaisseur et caissier de la régie re-
met les valeurs encaissées (chèques et espèces) de la journée au caissier principal qui les
dépose en banque et transmet les reçus de versement à la section trésorerie pour suivi et
prise en charge.
 La préparation des règlements.
 La prise en charge des factures fournisseurs et leur transmission aux divisions concer-
nées via le circuit suivant
Section 2 : Présentation de la fonction informatique
 Organigramme
Au sein de la RAMSA, la fonction informatique est domiciliée chez le service informatique, direc-
tement rattaché à la direction Générale. Ce service est composé de cinq personnes sous la direc-
tion d’un chef de service.
.Le schéma suivant illustre l’organigramme de ce service :
Chef service
Secrétaire
Service développement de
projet et des études Service exploitation

49
 Rôle de service :
Ses principales activités sont :

 Le développement d’applications pour les différentes divisions et services de la
RAMSA.
 L’assistance au choix des solutions informatiques au sein de la RAMSA.
 L’assistance aux utilisateurs pour l’utilisation de l’outil informatique.
 L’exploitation de certaines applications informatiques critiques (ex : facturation
des produits).
 La maintenance du parc matériel informatique de la RAMSA.
 Environnement informatique
Notre revue de l’environnement informatique concerne l’architecture matérielle et logique de

la RAMSA.
a. Moyens matériels :
Le service informatique dispose d’un parc hétérogène de matériels informatiques de 100 micro-
ordinateurs et 78 imprimantes. Le site central de la régie(Agadir) est équipé de 2 serveurs (No-
vell et NT 4.0) reliant 48 postes connectés en réseau local et dont l’architecture technique est en
étoile.l’agence d’Inezgane est équipée d’un réseau en étoile permettant la connexion d’environ
10 postes intégrant un serveur qui tourne sous Windows NT.
Dans le but de développer la télécommunication entre les sites placés à distance par rapport à
l’agence centrale, Le service informatique compte mettre en place des liaisons téléphoniques
entre les agences de la régie, en utilisant les lignes spécialisées et des modems en vue d’effectuer
les transactions sur des bases de données à distance.
La RAMSA est équipée aussi de deux stations de dessins assistés par ordinateur(DAO) munies de
matériel de toute nouvelle génération (micro-ordinateur, traceurs et tables à digitaliser) pour le
traitement de la cartographie.
b. Moyens logiciels :
Le service informatique de la RAMSA dispose d’un patrimoine logiciel important couvrant les
systèmes d’exploitations(Windows 98/XP/NT),les logiciels bureautiques, les
SGBDs(Dbase,Access),les produits de développement(Windev5.5,7),les produits de gestion
technique(Autocad MAP) ainsi qu’un logiciel de gestion comptable.
c. Olerp-RH :
Le module Gestion de la paie de la solution OLERP-RH, comprend toutes les fonctionnalités né-
cessaires pour gérer efficacement la paie des salariés.
Le lancement de l’application nécessite une connexion au serveur web local où est placée la solu-
tion OLERP-RH. L’écran d’accueil ci-après s’affiche pour inviter l’utilisateur { introduire ses pa-
ramètres de connexion.

50
Après vérification du login et du mot de passe saisis, l’écran ci-dessous s’affiche

51
Dans le cas d’un groupe de société, l’opérateur peut choisir la société qui fera l’objet des traite-
ments de la solution OLERP-RH. Pour se faire cliquez sur l’icône « Changement de société » ,
l’écran de choix des données société est par conséquent affiché.

52
Chapitre 2 : Présentation d’audit de la sécurité du SI de la RAMSA
Ce chapitre sera consacré à la présentation de la sécurité à la RAMSA, des travaux effectués, des
résultats de ces travaux et du suivi des recommandations de l’audit de sécurité réalisé précé-
demment.
Section 1 : présentation de la sécurité de la RAMSA
 Mission et objectifs :
La RAMSA vise à être une entreprise publique de proximité, aussi les responsables de la Ramsa
entendent se doter de moyens adéquats pour perfectionner son système d’information de même
que son fonctionnement.
La direction générale insère dans sa politique et management de la sécurité des audits sécurité
ayant pour mission l’évaluation de la SSI, les objectifs des audits de la sécurité étant :
 Etablir un état des lieux vis-à-vis des risques
 Etablir des scenarios de réduction de risques
 Concevoir une politique de sécurité adéquate
 Mettre au point un programme de mise en œuvre de cette politique
 Elaborer des processus d’organisation et de contrôle de sécurité
Cependant dans le cadre de notre étude nous nous limiterons aux objectifs relatifs { la l’état des
lieux { la conception d’une politique de sécurité et la perspective de mise en œuvre de cette poli-
tique.
 Audit de la sécurité à la RASMA
Dans le cadre de notre étude nous avons réalisé l’évaluation de la sécurité du système
d’information de la RAMSA.
 Organisation générale de la sécurité
Nous allons observer une absence d’outils et de structures de pilotage nécessaire { une bonne
gestion, absence de tableaux de bords internes de reporting vers la direction, absence
d’indicateurs de service entre maitrise ouvrage et maitrise d’œuvre.
L’organisation générale de la RAMSA révèle également une absence de structure de décision

associant la direction générale et les directions utilisatrices. Néanmoins il existe des comités de
gestion ou sont débattus les problèmes de sécurité de l’entreprise.
L’absence d’outils de pilotage et de suivi du service informatique (tableau de bord, reporting

indicateurs de service) peut entrainer un risque d’une gestion biaisée du service ainsi que des

53
prises de décisions inadéquates. Cela est d’autant plus crucial qu’il n’existe pas de comité per-
manent de gestion et de sécurité au sein de l’entreprise. Les problèmes de sécurité, la qualité des
services et la satisfaction des utilisateurs et des clients sont grandement concernés.
Quant aux procédures d’exploitation informatique indispensables au bon fonctionnement du SI

ne sont pas toutes formalisées. Ces procédures sont : la politique de sécurité, la séparation des
fonctions, les procédures d’habilitation, le plan de secours, la protection de l’information, les
règles de sécurité liées aux nouvelles technologiques, la charte sécurité le plan qualité.
L absence des procédures relatives au bon fonctionnement du SI ne permet pas l’efficacité des
contrôles et le bon fonctionnent des services.
 Sécurité physique
Les visites des locaux ont permis de déceler l’existence de plusieurs mesures de lutte contre les
incendies notamment des détecteurs de fumée des extincteurs d’incendies, les différents ser-
vices sont parés contre les dégâts des eaux, les installations, la planification du site, la topogra-
phie analysées permettent de constater la très faible probabilité d’inondations ou de tremble-
ment de terre et une accessibilité en cas de mauvais temps. Nous avons également noté la pré-
sence d’un groupe électrogène qui assure la relève en cas de coupure d’électricité.
Bien qu’il existe du matériel de lutte contre les incendies ceux-ci sont en nombre insuffisant .La
Ramsa doit donc renforcer son matériel. Elle court un grand risque de perte matériel immatériel
et financière en cas de sinistre.
Le contrôle des accès { l’entreprise est assuré par les agents de sécurité { la porte d’entrée du
personnel.
La protection de l’accès du service informatique doit être amélioré. La RAMSA court le risque de
perte de données, vols de malveillance. En effet le dispositif actuel est susceptible d’être con-
tourné par connivence avec un membre interne au service informatique et sans laissé de trace.la
RAMA doit s’équiper d’une porte { puce électronique ou accès avec un code qui marquerait
l’identité des utilisateurs, de même que les forçâtes.
Les sauvegardes et l’archivage des documents se font de manière journalière, hebdomadaire et

mensuelle, les documents qui remplissent la correcte exécution sont rangés dans coffre ignify-
gé.La vérification est faite par le responsable informatique. Il importe de préciser que les sauve-
gardes hebdomadaires ont un exemplaire qui est transféré à la direction de la RAMSA.

54
 Sécurité logique
La sécurité de la connexion { l’internet est assurée par la mise en place d’un fire Wall, cela per-
met { la Ramsa de se protéger des dangers tels que la malveillance, le vol d’information, la perte
de confidentialité et la perte d’intégrité des données.
Section 2 : résultat de l’audit de la sécurité
1. Travaux effectués
Pour mener à bien notre étude nous nous sommes appuyés sur les différents outils suivants : les
entretiens ; les questionnaires d’audit informatique l’observation physique et le suivi de recom-
mandations. Ces travaux nous ont permis de bien comprendre les activités et l’organisation de la
RAMSA et de faire l’état des lieux de sa SSI.
 Les entretiens
Au sein de la RAMSA, nous avons rencontré le personnel informatique, le directeur des RH qui
ont bien voulu se mettre { notre disposition et contribuer { la réussite de l’étude. Ainsi les entre-
tiens réalisés ont pu avoir lieu sans difficultés et nous avons rencontré :
Le directeur de finance : l’entretien a porté sur l’organisation générale du service informatique

de la sécurité et de l’opportunité de notre étude. Il a affirmé être satisfait de son si qui répond
aux besoins de la Ramsa cependant il continue d’œuvrer pour l’amélioration du système et son
développement par l’acquisition de nouveaux matériels adaptés.
Le directeur de service informatique : malgré le poids de ses responsabilités, il a bien voulu

nous recevoir à plusieurs reprises et nous a assuré de sa grande collaboration tout au long du
déroulement de notre étude. Les entretiens ont porté sur le SI de la Ramsa dont il a une bonne
maitrise. Il travaille en continu { son amélioration. Notamment en mettant en œuvre les recom-
mandations du dernier audit sécurité du SI de la RAMSA.
Le chef de service système et production : l’entretien a porté sur l’organisation de son service
la gestion des mots de passe. L’installation des réseaux et la sécurité informatique.
Il a une bonne connaissance de l’informatique de la Ramsa et s’emploie { répondre aux besoins

de la RAMSA .Il déplore cependant l’étroitesse des bureaux et la salle machine et souhaite un
espace plus grand dans les nouveaux locaux du RAMSA.

55
Le directeur de RH : l’entretien a été très enrichissant. Il a porté aussi bien sur la sécurité géné-
rale, la politique et la stratégie de la RAMSA que sur les aspects techniques des besoins des per-
sonnels. Il ressort de cet entretien que la RAMSA a bien un comité de sécurité qui ne fonctionne
pas .Les questions liées à la sécurité du SI sont cependant abordés lors des réunions du comité
de direction et du conseil d’administration, et d’autre part l’apport des utilisateurs doit être
d’avantage pris en compte et une grande collaboration avec le service informatique et de mise. Il
mentionne que le progiciel est bon mais se doit d’être en phase avec les besoins des clients.
Les utilisateurs : nous avons rencontré des utilisateurs. D’une manière générale les utilisateurs
sont satisfaits du Prologiciel et des prestations des services informatiques, bien que considérant
le niveau du SI comme satisfaisant. Ils déplorent cependant le manque de formation notamment
sur la sécurité du SI.
 Les questionnaires
Dans le cadre de la collète des informations nous avons administré trois types de question-
naires, un questionnaire d’’audit informatique, un questionnaire de contrôle interne relatif au
service informatique et un questionnaire d’évaluation adressé aux utilisateurs de l’outil informa-
tique :
1. Le questionnaire d’audit informatique
. Le responsable informatique a bien voulu répondre aux questions portant sur les facteurs clés
du système de sécurité (annexe 1)
2. Le questionnaire de contrôle interne au service informatique
Ce questionnaire est spécifique { l’organisation de la fonction informatique, la gestion des res-

sources informatique de l’environnement d’exploitation et du logiciel de base.
Ce questionnaire porte sur :
L’organisation de la fonction informatique : l’étendu du contrôle, la séparation des tâches, la

formation, l’aspect financier de la planification des ressources, l’acquisition de matériels et logi-
ciels et les modalités de gestion des contrats et de l’assurance.
La gestion des ressources informatiques : l’installation, les pannes du système, la planifica-

tion du site et la sécurité physique, les aspects techniques et mécanique l’évaluation et
l’adaptation des performances.la gestion des ressources machine, la disponibilité du système, le
plan de secours l’exploitation informatique, le contrôle des entrées et sorties, la diffusion des
états, la gestion des supports, les secours reprises et la gestion des modifications et des inci-
dents.

56
L’environnement d’exploitation : l’infocentre ; l’exploitation en temps partagé, le traitement

coopératif, l’informatique départementale, l’informatique individuelle.
Le logiciel de base : la sécurité du système, l’intégrité du système, la responsabilité, l’efficacité

et la compétence, la performance du système la fiabilité et la pérennité du système la reprise du
système et la possibilité d’extension du matériel.
3. Le questionnaire d’évaluation des utilisateurs
Ce questionnaire d’évaluation permet aux utilisateurs de l’outil informatique d’apporter leurs

appréciations sur la performance des machines, du système, du réseau et des prestations du
personnel informatique à travers leurs compétences et leur disponibilité. Des questions et un
rating portent sur les points suivants :
 L’organisation de la sécurité
 La formation
 L’informatique individuelle
 L’environnement d’exploitation
A la fin du questionnaire le répondant (utilisateur) est invité à relever les points forts, les points
faibles et { mentionner d’éventuelles suggestions.
 Les observations physiques
L’observation physique pratique concerne la visite des locaux et l’exploitation documentaire
a La visite des locaux :
Au niveau de la sécurité de la direction informatique : l’accès { la direction et { la salle machine

est protégé par des portes fermées à serrure sans loquet exterieur.La salle des serveurs est
étroite et ne dispose pas de dispositif de sécurité. Cette salle est encombrée. Le nombre
d’extincteurs est accroitre et la porte qui donne accès n’a pas de serrure.
b L’exploitation documentaire
Nous avons eu à exploiter dans le cadre de notre étude sur la SSI plusieurs documents à savoir le
manuel de procédures, le budget prévisionnel, le rapport d’audit de sécurité du dernier audit sur
les SI. Nous relevons ce qui suit :
Au niveau du manuel de procédures : .Il décrit plusieurs procédures notamment celles sur la
fonction informatique, la sécurité informatique, les sauvegardes et le paramétrage, cependant
des procédures importantes dans le cadre de la SSI restent à être élaborées comme la politique
de sécurité, le plan de secours, la charte sécurité et un plan qualité.

57
Au niveau du dernier audit sécurité de la SI : il nous a permis de bien comprendre la SSI de la

RAMSA.
 L’évaluation du contrôle interne
Nous avons évalué le contrôle interne à travers le périmètre couvert par les procédures, des
tests de cheminement sur les procédures et la grille d’analyse de séparation des tâches.
 La description des procédures :
A partir du manuel de procédures mis à notre disposition et des entretiens avec les responsables
et les intervenants dans la fonction informatique nous avons constaté que les procédures sont
respectées et sont conformes au manuel de procédures.
 Le test de cheminement d’existence de la procédure
L’objectif est de s’assurer que la description est conforme { la réalité.
Au sein du service informatique nous avons conduit un test de cheminement sur les demandes
de travaux de la part des utilisateurs, la procédure qui nous a été est conforme à la réalité car les
différentes étapes du processus ainsi que les documents afférents ont été respecté.
 La grille de séparation des tâches
La grille d’analyse des tâches indique pour chacune des tâches. Les personnes (fonction dans
l’organisation) habilités { effectuer. Nous avons rempli notre grille de séparation des taches avec
l’aide des responsables de la fonction informatique.
Tableau 1 : La grille d’analyse des tâches :
N° Tâches Nature DF DI RSO SRP
1 Administre la fonction informatique A + +
2 Administre la sécurité physique C +
3 Administre la sécurité logique Ex +
4 Administre les programmations D +
5 Administre les serveurs A +
6 Administre la base de données A +
7 Administre les maintenances A +
8 Administre des applications D +

58
9 Développe les applications D +
10 Rédige les guides utilisateurs D +
11 Assiste les utilisateurs D +
12 Etudie les cahiers de charges A + +
13 Exploite les applications C +
14 Effectue les sauvegardes Ex +
Effectue les sauvegardes sur le site Ex +
15 Stocke les sauvegardes hors site Ex +
16 Transfère les données Ex +
17 Gère les mots de passe et les autori- A +

tions d’accès.
18 A +
Entretient les équipements
19 suit les contrats de maintenances A +
Avec
DF : responsable de finances
DI : directeur informatique
RSO : responsable support et organisation
RSP : responsable système et production
La nature de différentes tâches :
A : administration (autorisation)
C : Conception
Ex : Exécution
D : Développement (utilisation)

59
L’analyse de la grille de séparation des tâches indique que d’une manière générale, la RAMSA
maitrise la séparation des tâches. En effet au niveau des responsables informatiques nous no-
tons qu’il n y a pas de cumul de tâches de même qu’au niveau du responsable du support et de
l’organisation qui assure les fonctions de développer et de gestionnaire des mots de passe , des
autorisations d’accès qui ne sont pas cumulatives cependant le responsable de systèmes de pro-
duction qui administre la sécurité physique et logique effectuent également les sauvegardes des
donnés et les contrôles .Ces deux tâches sont cumulatives et sont à corriger. En outre nous no-
tons un chevauchement des tâches du directeur de finances avec celles de directeur informa-
tique.
2. Méthode d’analyse des risques informatiques
Cette méthode a été utilisée pour permettre d’apprécier le niveau de sécurité de la RAMSA en 27
points que nous déterminons au tableau ci-dessous :
Il s’agit sur la base du questionnaire annexe 1 d’attribuer des notes variant de 0 { 4 différents
niveaux de sécurité avec :
0 =néant
1=mauvais
2=médiocre
3=assez bon
4 =bon
Cette analyse a été faite avec le concours du responsable informatique. Les résultats obtenus à
partir de la notation du questionnaire rempli par le responsable informatique sont consignés
dans le tableau suivant :
Tableau 2 : Risques informatiques par niveau
N°ordr Risques informatiques note N° Risques informatiques par notes

e par niveau ordr niveau
e
1 Appréciation générale 3 15 Plan informatique 2

de la sécurité
2 Organisation générale 2 16 Fiabilité des matériels et logi- 4

ciels de base.
3 Contrôles permanents 3 17 Sécurité des télécommunica- 4

tions

60
4 Réglementation et audit 3 18 Protection des données 4
5 Facteurs socio écono- 3 19 archivages 4

miques
6 Environnement de base 3 20 sauvegardes 4
7 Contrôle d’accès 4 21 Suivi de l’exploitation 3
8 consignes 4 22 maintenance 4
9 Sécurité incendie 3 23 Procédures de révision 3
10 Dégâts des eaux 1 24 Méthodes d’analyse program- 3

mation
11 Amélioration fiabilité de 4 25 Contrôles programmés 3

secours
12 Systèmes et procédures 3 26 Micro informatique 2

de secours
13 Protocoles utilisa- 2 27 Réseau de micros 1

teurs/informaticiens
14 Personnel informatique 2
Source : résultats du questionnaire d’audit informatique
Nous pouvons conclure avec la méthode que la Ramsa dispose globalement d’un bon niveau de
maitrise des risques informatiques. Cependant il existe des points faibles qui nécessitent une
amélioration :
 L’organisation générale de la sécurité est { parfaire
 Défaut de protocoles par rapport aux dégâts des eaux
 Les protocoles utilisateurs/informaticiens et le plan informatique ne sont pas définis et

des réels efforts doivent être mis en œuvre pour la formation du personnel informatique
et des utilisateurs
 La maintenance du micro informatique doit être mieux suivie
 Protection des micro-ordinateurs insuffisante

61
A. Suivi de l’audit sécurité :
Cette méthode a été utilisée pour apprécier la mise en œuvre des recommandations du dernier
audit sécurité sur la SI. Ainsi que les risques résiduels associés { l’absence de mise en œuvre de
certaines recommandations.
Notre travail a consisté à recenser les recommandations du dernier audit sécurité, analyser les
recommandations prises en compte par l’entreprise, leur effectivité. Par la suite nous avons ana-
lysé les recommandations non prise en compte de même que les risques afférents.
Cette analyse a été également faite avec le concours du responsable informatique les résultats
sont les suivants :
 Suivi des recommandations de l’audit sécurité du SI
Tableau 3 : Suivi des recommandations de l’audit sécurité du SI
Prise en compte ou Nos recommandations

non
Recommandations
Oui/Non
Augmenter les effectifs de oui aucune

l’équipe d’au moins un ingénieur
et deux analystes programmeurs.
Elaborer des fiches de postes oui aucune

plus précises permettant
d’instaurer une réelle séparation
des fonctions
Mettre en place des procédures oui aucune

d’audit informatique conformes
au standard professionnel.
Prévoir une extension de per- Oui aucune

sonnel au niveau de l’équipe in-
formatique
Renforcer la motivation oui aucune
Améliorer les conditions sala-

riales des membres de l’équipe
informatique.
Proposer un programme de for-

mation plus adapté aux exigences

62
du domaine informatique.
Alléger la charge de chacun en

procédant à des recrutements.
Mettre en œuvre les procédures Oui aucune

de développement
Formaliser les besoins des utili- Non Meilleure élaboration

sateurs jusqu’au niveau des spé- de dossiers de concep-
cifications fonctionnelle. tion et de modification
en tenant compte des
besoins des utilisateurs
Elaborer et mettre en œuvre une non Instauration d’une

méthodologie de gestion de pro- meilleure gestion de
jet. projet(informatique)
Rédiger l’ensemble des procé- oui aucune

dures d’exploitation.
Créer des comptes distincts avec oui aucune

les privilèges adéquats pour
l’équipe informatique.
Se mettre à jour pour les licences oui aucune

Windows et bureautique
Séparer les deux serveurs et les Oui aucune

placer dans deux endroits diffé-
rents
Prévoir l’adjonction d’un nou- Oui aucune

veau climatiseur et aussi désen-
gorger la salle machines
Mettre des extincteurs dans le oui aucune

périmètre du département in-
formatique et assurer le suivi et
la maintenance
Acquérir une licence d’anti virus Oui aucune

serveurs et poste clients
Sources : résultats des entretiens et du questionnaire de contrôle interne

63
Nous pouvons conclure { l’aide du folllow up réalisé que la RAMSA a d’une manière générale
bien tenue compte des recommandations du dernier audit sécurité sur la SI.
En effet nous notons que 72 % des recommandations ont été prises en compte et effectivement
réalisées sur les 28 % des recommandations non prises en comptes.43% sont en cours de réali-
sation pour l’année 2013.Pour ce qui est des recommandations non encore effectués des risques
y sont afférents.
Cette première section pratique permet de dérouler l’audit de la sécurité informatique de son
système. Cependant des zones de faiblesses sont { améliorer pour l’organisation et le fonction-
nement de la fonction informatique en particulier et de toute la RAMSA en générale.
Section 2 : Synthèse et perspectives de mise en œuvre des recommandations
Les résultats de travaux d’audit de la sécurité du SI nous ont permis de déceler les points forts et
de proposer des recommandations pour l’amélioration de la sécurité du SI à la RAMSA .Dans le
but de bien faire comprendre nos recommandations aux destinataires nous envisageons des
perspectives de mise en œuvre.
1. Synthèse
1.2. Les principales forces :
 Bonne prise de conscience des insuffisances de la SSI par le directeur informatique,
 Bonne compétence et bonne qualification du personnel informatique,
 Existence d’un groupe électrogène de secours pour une relève immédiate de

l’alimentation en cas de coupure d’électricité,
 Existence d’un système de détection de fumée et de matériels de pour lutte contre les in-
cendies,
 Existence d’un système de sécurité pour l’accès physique au sein de l’entreprise assurée
par de vigiles de la RAMSA qui opèrent des contrôles,
 Bon suivi des sauvegardes journalières hebdomadaires et mensuelles,
 Bonne protection des contrôles et du patrimoine,
 Bonnes procédures d’archivages,
 Bonne maintenance de l’outil informatique,
 Bonne gestion des mots de passe,
 Les outils de travail sont performants et adéquats .
2.2. Les principales faiblesses

64
 Absence de politique sécuritaire,
 Absence de charte de la sécurité,
 Absence d’un responsable de la sécurité du SI,
 Absence d’un comité permanent chargé des problèmes liés { la sécurité,
 Absence de conduite de projet informatique ;
 Absence de maitrise générale des procédures de secours et de reprise en cas de sinistre,
 Absence de procédures d’exploitation,
 Absence de police assurance couvrant spécifiquement la sécurité informatique,
 Absence de planning de formation pour l’actualisation des connaissances pour le per-

sonnel informatique,
 Absence d’audits sécurité effectué périodiquement sur le SI,
 Absence de protocoles de liaisons utilisateurs informaticiens pas de prise en compte des

préoccupations,
2.3. Les principales recommandations
A la suite de ces constats et de l’analyse des risques de la SSI { .LA RAMSA pour améliorer le sys-
tème, nous avons proposé les recommandations suivantes :
 Au niveau de la direction générale
Aux dirigeants de la RAMSA qui sont en amont de toutes décisions nous recommandons
 L’instauration d’une charte de sécurité.
 L’instauration d’un schéma directeur informatique et des outils de pilotages de la fonc-

tion informatique.
 L’instauration d’un comité permanent chargé des problèmes de sécurité.
 La désignation d’un responsable de la sécurité du SI
 La création d’une direction informatique ou d’une délégation détachée de la direction fi-

nancière
 Au niveau de la direction informatique
Les responsables informatiques ont un rôle capital dans le cadre de la sécurité du système
d’information. Ils sont en charge toute la fonction informatique de la RAMSA et ils sont les spé-

65
cialistes, des ingénieurs et techniciens informatiques) capables de l’amélioration du système

informatique. A la suite de l’audit sécurité ils doivent :
 Développer les procédures d’exploitation
 Améliorer les applications de Prologiciel
 Améliorer les mesures et outils de sécurité
 Instaurer un planning de formation pour le personnel informatique et d’une documenta-

tion informatique adéquate.
 Au niveau de la direction de l’audit interne
Les auditeurs et contrôleurs de la RAMSA jouent un rôle fondamental dans la sécurité du sys-
tème d’information. En effet ils établissement et ils conduisent les audits de la RAMSA notam-
ment les audits de sécurité informatique. La direction de l’audit général doit :
 Instaurer des formations pour des contrôleurs de l’audit interne,
 Programmer de manière périodique des contrôles notamment sur la sécurité
2. Perspectives de mise en œuvre des recommandations
Les recommandations devront être faisables et économiques pour l’entreprise. La direction gé-
nérale devra prendre les mesures efficaces tout en mettant en œuvre les recommandations pour
assurer la continuité de son exploitation. L’exactitude des données et la protection de son patri-
moine gage de pérennité pour son entreprise.
2.1. Au niveau de la direction générale
Nous prenons en compte les recommandations relatives { la direction d’une direction informa-
tique et celle relative { l’instauration d’un schéma directeur et des outils de pilotage de la fonc-
tion informatique.
 Création d’une direction informatique
L’analyse des tâches { partir de la grille de séparation des tâches à relever un chevauchement
des responsabilités du sous directeur informatique et organisation et celles du directeur des
finance ainsi donc vu l’importance de la fonction informatique pour le système d’information
,nous suggérons une création de deux directions distinctes à savoir la direction informatique et
la direction financière et comptable.
La direction informatique pourra garder la même organisation la même structure et les mêmes
charges que celles existantes à la sous direction information et organisation cependant le direc-
tion informatique sera directement rattaché à la direction générale et non à la direction des
fiances qui devrait devenir une direction financière et comptable suivant les nouvelles recom-
mandations de la commission. Un recrutement de part et d’autre part n’est nécessaire.

66
La mise en place d’une telle réorganisation demandera de la part de la direction générale qui
prendra la décision une sensibilisation des agents par rapport à la mission et aux objectifs de
sécurité du SI assignés à la nouvelle orientation de la RAMSA .Elle améliorera l’organisation et le
suivi des travaux informatiques de la sécurité générale et en particulier du personnel informa-
tique dans la prise de décision.
 Instauration d’un schéma directeur informatique et des outils de pilotage de la

fonction informatique
Il s’agira pour la direction générale de mettre en place un schéma directeur informatique et des
outils de pilotage de la fonction informatique notamment le contrôle de gestion de
l’informatique les tableaux de bords informatiques, le ré -engineering du système d’information
et la performance et l’assurance qualité des systèmes d’information
 Le schéma directeur informatique :
Pour une meilleure gestion de la fonction informatique tel que le pilotage rigoureux de gestion
des projets informatiques. La direction générale doit mettre en place un schéma directeur de la
fonction informatique à savoir :classer les projets par priorité designer des équipes en charges
de charges de chaque projet ,fixer des dates de début et de fin de projet, fixer les charges de tra-
vail(jours /homme) ,par ailleurs faire une étude de faisabilité pour chaque projet avant son ins-
cription dans la plan annuel, mettre en place un comité permanent constitué de membres des
différentes directions et faire le point périodiquement(tous les trimestres par exemple) sur
l’avancement des projets, la qualité des services, la satisfaction des utilisateurs et notamment
sur la sécurité du système.
 Le contrôle de gestion de l’informatique
Dans les entreprises le contrôle de gestion pris au sens de la direction consiste en la production
des informations nécessaires aux gestionnaires pour fixer des objectifs pertinents élaborer de
bonnes stratégies et les mettre en œuvre de façon efficace et efficiente. Ayant pour objectif
d’éclairer et de soutenir les différents services le contrôle de gestion se trouve au centre de leur
bonne gestion, de leur performance et intervient à tous les niveaux. Le contrôle de gestion de
l’informatique est plus que nécessaire pour faciliter le management de ce domaine de plus en
plus primordial { l’entreprise. Les deux aspects { mettre en place par la direction générale sont :
 L’analyse des coûts informatiques
 Le budget informatique
 Les tableaux de bords informatiques
Le tableau de bord représente pour l’utilisateur un instrument de mesures des performances par
rapport aux objectifs de motivation et de suivi des actions correctives qui lui sont fixés sur la
base d’un diagnostic et d’une mise en exergue des points faibles. Le tableau de bord est person-
nel et nécessite après l’identification de son utilisateur la prise en compte de ses besoins et at-

67
tentes. La mise en place d’un tableau de bord nécessite la détermination des facteurs de perfor-
mance, de déterminer leur unité de mesure et de leur attribuer une valeur quantifiable. Le ta-
bleau de bord est un instrument d’aide { la décision qui permet de mieux expliquer { la direc-
tion et aux utilisateurs ce que fait l’informatique et de déterminer sa contribution { la création
de la valeur ajoutée.
La direction générale pourra mettre en place les tableaux de bord suivants :
 Le tableau de bord de l’exploitation
 Le tableau de bord des services utilisateurs
 Le tableau de bord administratif
 Le tableau de bord informatique de la direction générale
Vu le développement rapide des technologies de l’information et partant des besoins

d’information, les tableaux de bords doivent être perpétuellement mis { jour.
 Le ré- engineering du système d’information
Le ré -engineering informatique est une réalité que nul n’ignore .La caducité du matériel et des
applications informatiques est courante dans les entreprises. Tout système informatique devient
désuet au fil de quelques années et ne correspond plus aux attentes et besoins non seulement
des utilisateurs mais également des clients qui reçoivent les services de ce système. Les besoins
changent et le matériel des clients qui reçoivent les services de ce système .Les besoins chan-
geant et le matériel évoluent devant de plus performant et technique. Entraine un renouveau
permanent des processus des organisations et du ré -engineering du su système d’information
existant.
La direction doit préalablement vérifier l’opportunité et les dangers de cette action avec les in-
formaticiens analyser son impact financier en évaluant sa rentabilité son budget et la situation
financière de l’organisation avant d’entériner la décision de changement la DG avec le concours
de la direction informatique doit alors déterminer avec précision les frontière des processus,
établir le calendrier de mise en œuvre qui détermine les délais maximums et minimums
d’obtention des premiers résultats d’une action de ré -engineering des systèmes d’information.
Le service informatique doit être complètent pour réussir les phases les plus délicates
l’implémentation et le pilotage du chamgement.la DG se doit d’expliquer au personnel la néces-
sité du changement en anticipant et en gérant les résistances puis les sensibiliser afin de les faire
participer pendant toutes les étapes du ré -engineering.
 La performance et l’assurance qualité des SI
L’évaluation de la performance du système d’information est l’une des nouvelles techniques re-
commandées en gestion d’entreprise. C’est une technique d’évaluation interne { l’organisation
fondée sur des objectifs précédemment fixés qui constituent son référentiel. Il importe de définir

68
la nature des évalués et des évaluateurs et le type d’évaluation (subjective ; statistique ou ana-
lyse comparative.
L’assurance qualité des systèmes d’information a pour objectifs de positionner la qualité dans
les systèmes d’information, dans le développement du logiciel et dans le produit ou les activités
informatiques. Il est question pour la DG de cibler tous les aspects qualité de prendre en compte
les étapes d’une démarche de certification et d’élaborer une cartographie des normes assurance
qualité de produits de développement de logiciels et d’une inspection d’audit. La qualité doit être
définie mesurée et reliée aux objectifs.
2.2. Au niveau de la direction informatique
 Rédiger des procédures d’exploitation et de développement
D’une manière générale nous avons constaté des lacunes concernant les procédures
d’exploitation. La direction informatique se doit donc de rédiger l’ensemble des procédures
d’exploitation indispensable au bon fonctionnement du SI de la RAMSA, Avec l’aide de la direc-
tion de l’audit générale .Certaines procédures qui nous semblent nécessaires doivent être prise
en compte. Ces procédures sont présentées à titre indicatif dans le tableau suivant avec une des-
cription de leur contenu.
Tableau 4 : Quelques procédures d’exploitation
procédures Description de la procédure
Politique de sécurité Elaborer une politique de sécurité

de façon { couvrir l’ensemble des
sujets pertinents et intégrer les
éléments relatifs { l’architecture des
systèmes et aux procédures rédi-
gées.
Séparation des fonctions Définir les principes de séparation

de fonction. Ce document établira
les rôles et responsabilités de cha-
cun des membres de l’équipe ainsi
que les droits particuliers affectés à
chaque fonction
Plan de secours Elaborer un plan de secours et des

procédures de gestion de la conti-
nuité de l’activité
Ce plan identifiera de façon détail-

lée les différents scenarios suscep-
tibles d’interrompre l’activité de

69
tout ou partie de la Ramsa et listera

les actions à mener pour rétablir la
situation dans les meilleurs délais
Journalisation des événements Définir les procédures de journali-

sation des informations
Ce document fixera les objectifs de

journalisation des événements de
l’ensemble du système
d’information
Protection de l’information Définir les règles de protection phy-

sique et logique de l’information
véhiculée ou hébergée par les sys-
tèmes de la Ramsa
Gestion des fichiers et des docu- Définir les règles et modalités de

ments sensibles gestion des documents sensibles
Règles de sécurité liées aux nou- Définir les règles de sécurités spéci-
velles technologies fiques aux contextes nouvelles
technologies au sein de la Ramsa. Ce
document mettra en avant les ob-
jectifs à retenir en matière de règles
de sécurité
Sécurité physique Formaliser les sécurités pour la

RAMSA et ses agences.
Sécurité logique informatique Définir les règles générales de sécu-

rité logique pour les systèmes in-
formatiques
Cette procédure traitera aussi de la

disponibilité
Plan qualité Définir les normes de qualité que la

Ramsa souhaite instaurer et préci-
ser la façon dont elles sont atteintes
Ce document n’est pas en aucun cas

un plan qualité complet amis défini-
ra les normes et standards appli-
cables par la Ramsa.

70
Concernant les procédures de développement, la majorité des applications a été développée en

interne essentiellement en Visual basic. Ces applications ne répondraient pas tous aux exigences
qui doivent prendre en compte les développeurs de la RAMSA. Pour palier à documentation que
doivent prendre en compte les développeurs de la RAMSA. Pour palier à cela ; la direction in-
formatique devrait :
 Accroitre le nombre de personnes capables de maintenir chaque application,
 Accroitre la documentation informatique de sorte à mettre en place une maintenance ef-

ficace des applications en cas de départ du programmeur qui l’a développée,
 Spécifier le niveau de détail souhaité concernant les commentaires effectués dans le code
des applications,
 Améliorer les applications du progiciel,
Le progiciel OLER PAIE est le plus utilisé au sein de la RAMSA et assure presque toute la gestion
des principales prestations. Aussi la DI se doit de veiller à la mise à jour des applications du pro-
giciel.
2.3. Au niveau de la direction de l’audit général (DAG)
Au niveau de la direction de l’audit général en matière de sécurité du système d’information

l’accent sera mis surtout sur la formation et sur la mise en place des audits sécurité
 Formation des auditeurs en sécurité du SI
La DAG doit faire des plans réguliers de formation des auditeurs en matière d’informatique de
système d’information de sécurité informatique etc.
Ces formations pourraient de faire par le biais des informaticiens de la RAMSA (moins coûteux)
de séminaires ou de conférences. Les plans de formations doivent être établis par chaque service
selon leurs besoins et soumissent à la direction générale avant le vote du budget annuel.
 Mise en œuvre des audits de la sécurité
Cette étude { révéler l’importance de l’audit de la sécurité du SI pour la RAMSA.La DAG doit veil-
ler { la mise en place d’audit sécurité de machine régulière diriger par les auditeurs sous sa di-
rection. Les différents audits sécurité réalisés précédemment à la RAMSA notamment l’audit
externe fait par le cabinet et notre étude sur l’audit de la SSI pourraient servir de base de travail.
Cependant la direction générale doit sensibiliser les agents de toute la RAMSA pour la réalisation
des missions d’audits sécurité de ses objectifs de même que de la politique et le management de
la sécurité.

71
Conclusion de la deuxième partie :
Cette deuxième partie pratique nous a permis de faire la synthèse de l’audit sécurité réalisé à la
RAMSA particulièrement les recommandations et leurs perspectives de mise en œuvre.
Il ressort que la RAMSA a une bonne connaissance de la notion de la sécurité du système

d’information mais la pratique et la mise en place d’outils de gestion pour la fonction informa-
tique doivent être prise en compte pour la direction avec l’aide de service informatique.
Nous considérons que pour l’amélioration du système d’information de la RAMSA, nos recom-
mandations doivent être prise en compte afin d’assurer { l’entreprise une plus grande garantie
pour la continuité de son exploitation, la sauvegarde de son patrimoine et la survie de
l’entreprise en cas de survenance d’un sinistre.

72
Conclusion générale
En effet, les systèmes d’information sont devenus des leviers stratégiques qui accompagnent les
entreprises dans leur mise à niveau et leur développement en leur permettant d’être perfo
mantes et réactives. Ceci implique une excellence dans la rapidité et la pertinence du traitement
de l’information ce qui conduit le plus souvent { une refonte complète du système d’information
et une redistribution des activités et des tâches aux différentes structures de l’organisation.
La dépendance croissante des entreprises de l’information et des systèmes qui la délivrent aug-
mente avec le développement des technologies qui changent radicalement les organisations et
les pratiques des affaires. Il est évident que les systèmes d’information permettent { l’entreprise
d’être performante et réactive, mais leur mise en place s’accompagne le plus souvent par une
refonte des processus de l’organisation, ce qui pourrait se traduire par la suppression de cer-
tains contrôles clés dans la gestion des risques de l’entreprise.
Il y a lieu de noter que les risques inhérents aux systèmes d’information augmentent avec
l’ouverture de ces derniers aussi bien en externe avec Internet qu’en interne à travers les outils
d’Intranet.
Les entreprises doivent être conscientes des risques liés aux systèmes d’information et mettre
en place les outils et les procédures de contrôle permettant d’empêcher leur survenance ou limi-
ter leur impact.
Et alors Les systèmes d’information peuvent entrainer des pertes financières pour les établisse-
ments publiques comme la RAMSA, les cas ou ils seraient vulnérables aux attaques tentatives de
fraude et autres menaces.
C’est pourquoi nous avons porté notre choix sur ce sujet « l’audit de sécurité du Système
d’information » qui permet de contribuer à améliorer la sécurité du SI, à garantie la continuité de
l’exploitation et la sauvegarde du patrimoine.
Ce mémoire s’articule autour de quatre principaux chapitres regroupés en deux parties :
La partie théorique qui traite de la notion de SI, des missions et des démarches { l’audit de la
sécurité.
La seconde partie pratique qui porte sur la prise de connaissances de l’entité étudiés et de
l’expérimentation de l’audit de la sécurité à la RAMSA.
D’une manière générale la question fondamentales { laquelle nous apportons un élément de

réponse est de savoir si le système d’information mise en place est intègre l’arbi des attaques
menaces et autres vulnérabilités pouvant affecter la pérennité de l’entreprise ?

73
Aussi, le traitement de l’information qui est au cœur de toutes activités composant les métiers de
l’organisation bénéfice de plus en plus de l’automatisation des tâches grâces aux performances
sans cesse accrues de l’informatique. L’évolution de la technologie donne aux services aux
agences et aux personnes physiques ou morales en relation avec l’entreprise des moyens accus
de traitement et d’accès aux informations.
En effet les moyens modernes de traitement de l’information ont progressé plus vite que les
techniques ou les procédures permettant d’en prévenir le vol la perte ou la modification non
contrôlée
C’est ainsi qu’une prise en compte insuffisante de la sécurité peut générer avec une ampleur
nouvelle des risques informatiques spécifiques : les erreurs de conception ou d’analyse des pro-
jets informatiques, les manipulations défectueuses des matériels et des logiciels les malveil-
lances de toute nature. Le détournement des logiciels ou la divulgation de données confiden-
tielles .Enfin l’organisation insuffisante de moyens de sauvegarde et de secours.
Aucune disposition ne peut garantie en toute certitude l’absence de risques informatiques. De ce

fait l’objet de la sécurité est de contenir ces risques { un niveau acceptables au moyens d’un
ensemble de mesures de protection technique et opérationnelle visant à :
 Identifier ou authentifier tout utilisateur des SI
 Assurer l’intégrité des informations stockées ou transportées
 Respecter la confidentialité des données
 Rapporter la preuve de toute utilisation des ressources informationnelles ou d’échanges

d’information
 Organiser les moyens de secours en cas de défaillance de service rendu par le SI
Et les mesures de sécurité { mettre en œuvre s’appliquent { l’établissement aux données et aux
programmes enregistrent en mémoire centrale ou sur support en entrée et en sortie du système.
En outre les règles de sécurité s’appliquent { la direction générale aux services centraux des
directions aux agences aux prestataires et utilisateurs à toutes personnes appartenant ou entre-
tenant des relations avec l’entreprise
Ainsi donc { travers l’audit sécurité du SI de la RAMSA, nous avons pu faire l’état des lieux
l’analyse des risques proposer des recommandations et une possibilité de mise en œuvre de ces
recommandations afin de répondre à la question fondamentale posée plus haut.
Les nouveaux outils (automatisés) d’analyse et les nouvelles pratiques de gestion des systèmes
informatiques ; contrôle de gestion de l’informatique, tableau de bords informatiques, ré- engi-
neering du SI performance et assurance qualité des SI) pourraient améliorer la gestion quoti-
dienne de la sécurité informatique.

74
Bibliographie
Ouvrages :
 Les techniques de l’audit informatique, Yann Derrien, Edition « Dunod »,1992
 « Stratégie appliquée { l’audit des systèmes d’information », Alphonse Carlier, Edition « La-
voisier », 2006
 « Audit et certification des comptes en milieu informatisé », Jean Paul Lamy, les Éditions
d'organisation ,1996
 « L'audit informatique », Marc Thorin, Editions « Hermes sciences publication »,
 2000
 « Système d’information et management des organisations », Robert Reix, Edition « Vuibert

»,2004
Guide
 I.S.A.C.A. Guide cobit : Third Edition
 Guide CNCC : Prise en compte de l’environnement informatique et incidence sur la démarche

d’audit, Collection guide d’application, édition avril 2003
Mémoires :
 Révision dans un environnement informatisé : Proposition d’une norme d’audit pour le

commissariat aux comptes : Leila Falaki, Novembre 2003
 Luc THEROND, « Proposition d’une méthodologie d’audit dans le cadre de l’évaluation du

contrôle interne des entreprises informatisées », 1994 ;
Sites web:
 CLUSIF, Presentation de MEHARI.sur :http://www.clusif.asso.fr
 YSOSECURE est un cabinet de conseil independant.sur :http://www.ysosecure.com
 Méthode de gestion des risques.sur :http://www.ssi.gouv.fr
 www.pwc.com (knowledgecurve.com)

75
Annexes
Annexe 1 : le questionnaire d’audit informatique :
 Appréciation générale de la sécurité de l’entreprise
1. Votre établissement est il sensible aux risques et aux conséquences) liées à

l’informatique ?
2. Pour vous l’informatique est elle un facteur stratégique de pérennité et de développe-

ment de votre entreprise ?
3. Connaissez-vous des méthodes d’appréciation et d’évaluation des risques liés à

l’informatique ?
4. Au cours des 3 dernières années votre établissement a t’il subi un préjudice conséquence
d’un dommage informatique (accident matériel ou applicatif erreurs ou malveillance) ?
 Organisation générale
5. Existe -t-il un comité permanent chargé des problèmes liés à la sécurité composée de
représentants de la direction générale, de l’organisation et de l’informatique, de repré-
sentants de fonctions utilisateurs , audit interne juridique, et des assurances se réunis-
sant au moins 4 fois par an ?
6. Y a –t- il eu une étude sur la vulnérabilité de l’entreprise de face { des différents risques
physique ou non incluant celles financières) ?
7. La fonction (sécurité informatique) dispose t-elle d’un poste spécifique sur

l’organigramme avec un rattachement hiérarchique élevé assorti d’une définition de
poste précisant les responsabilités de l’affectation d’un budget spécifique ?
8. Y a-t-il un responsable de la sécurité générale (bâtiments, environnement, accès) ?
9. Le choix des garanties des polices d’assurances en matières informatiques est il le résul-
tat d’une étude conduite en commun avec la direction de l’informatique ?
10.

76
11. Le (s) système(s) informatiques est il couvert par un courant incluant :
- Les dommages matériels
- La reconstitution des medias
- D’autres contrats liés au précédent (global informatique, spécifique détournement, mul-

tirisques professionnelles) ?
 Les contrôles permanents
12. Existe-t-il un propriétaire des informations par fonction responsable de l’évaluation de la

classification des biens et la révision périodique des règles et des procédures et autorisa-
tions d’utilisation des informations ?
13. Y a-t-il une étude particulière, lors de la conception des applications, sur le choix des con-
trôles automatisés et utilisateurs en amont et en aval de l’informatique ?
14. Cette étude prend elle en compte les critères d’analyse et de réduction des risques issus
d’informations ou de traitements classés stratégiques ?
15. Y a-t-il une analyse des comptes comptables sensibles au moins 2 fois par ans, les résul-
tats étant consignés dans un rapport ?
 La réglementation et audit
16. Existe-t-il un règlement écrit précisant les responsabilités des personnes et la procédure
de signature selon le type de document traité ?
17. A-t-on pris en compte la possibilité de destruction d’information stratégique sur support
informatique et en a-t on déduit des procédures systématiques de rétention des docu-
ments de base qui pourraient servir à leur reconstruction ?
18. S’il existe un service d’audit interne a-t-il des compétences pour exercer le contrôle de la
fonction informatique ?
 L’environnement de base
19. Y a-t-il eu des études contrôlées périodiquement par des organismes spécialisés, sur les
dangers présentés par des facteurs externes sur le bâtiment renfermant des locaux in-
formatiques avec un suivi des recommandations prescrites ?
20. Y a-t-il un système automatique de contrôle d’accès systématique aux salles des ordina-
teurs ?

77
 Les consignes
21. Y a-t-il des consignes de sécurité physique spécifiques aux risques liés { l’informatique
(incendie, dégâts des eaux) différenciées par type de local let par type de risque et cor-
rectement affichées ?
 La protection des eaux
22. Y a-t-il eu des études périodiquement (suivies d’effet) par un organisme spécialisé sur les
dangers présenté par l’eau sur les salles des ordinateurs et les matériels
d’environnement ?
 L’amélioration de la fiabilité de fonctionnement
23. Y a-t-il une redondance réelle locale des unités centrales des ordinateurs et des organes
stratégiques (contrôleurs) et repose t- elle sur un plan de basculement écrit ?
24. Y a t-il un système complémentaire (groupe électrogène) et un système de régulation

(onduleur) de l’alimentation électrique ?
 Les protocoles utilisateurs informations
25. Les comités informatiques ou sécurités font ils obligation qu’il y a un chapitre suretés des
systèmes d’information dans chaque document (avant projet cahier des charges, dossier
applicatif) relatif à une étude informatique ?
26. Y a-t-il un protocole de liaison utilisateurs informaticiens défini par le comité informa-
tique précisant le partage des responsabilités dans les domaines suivants :les moyens in-
focentre et leurs limites, les micro ordinateurs libres et leurs limites, les micro ordina-
teurs connectés { l’ordinateur central ou { des serveurs de données, la conception des
applications(élaboration du cahier des charges),les jeux d’essai et les recettes, les de-
mandes de maintenance, les soumissions de travaux(en local ou à distance) le mode dé-
gradé(plan de secours) ?
 Le personnel informatique
27. La formation du personnel informatique (hors saisie de données) en moyenne sur les 3
dernières années est elle supérieure à 5 jours par an et par personne ?
28. Y a-t-il une répartition un contrôle et un suivi des tâches stratégiques et ou confiden-
tielles ?
 Le plan informatique
29. Y a t-il un plan informatique glissant à moyen terme (2 à 5 ans) tenu à jour et approuvé
chaque année par le comité informatique incluant :

78
 L’analyse des besoins (données, traitement)
 L’analyse de l’existant
 L’analyse des contraintes
 Le plan des moyens (logiciels, matériels, personnel)
 Le planning et les priorités
 Le plan de sécurité
 Le budget complet
 Fiabilité des matériels et des logiciels de base
30. Y a-t-il un seul responsable titulaire de la fonction de la gestion et de la gestion et de ma

mise en place des droits d’accès
 Sécurité des télécommunications et protection complémentaire des données
31. Le progiciel de contrôle d’accès prend il en compte tous les accès locaux et { distance
sans exception ?
32. Existe-t-il un système d’identification et d’authentification par mot de passe(ou carte)

pour chaque utilisateur ?
33. Y a-t-il protection et surveillance du matériel de télécommunications (unités, contrô-

leurs, modems têtes de lignes…) dans des locaux isolés et protégés ?
34. Y a-t-il un administrateur de données responsable :
 De la définition de la sémantique des données
 De l’élaboration et de la mise { jour du dictionnaire de données
 De la mise en place des modifications et de la surveillance de la structure des fichiers et

bases de données
35. Y a-t-il des procédures écrites concernant l’archivage d’archivages spécifiques à chaque
type de support et tenant compte de la classification des informations ?
 Sauvegardes
36. Y a-t-il une procédure de sauvegarde périodique dite de très haute sécurité pour les
programmes et fichiers stratégiques ?
37. Y a-t-il au moins une sauvegarde systématique (une génération) stockée dans les locaux
hautement sécurité et physiquement distincts des salles machines ?

79
38. Y a-t-il des procédures de reprise automatique des applications en cas d’interruption ac-
cidentel de l’exploitation (points de reprise journal image) ?
39. Possède t-on une sauvegarde de la documentation des études et de la documentation

d’exploitation dans des locaux externes { l’entreprise et protégés ?
 Suivi de l’exploitation
40. L’exploitation repose t-elle sur des procédures cataloguées dont l’accès est limité et con-
trôlé ?
41. Y a-t-il une procédure de contrôle de tous les rapports d’activités des travaux exécutés ?
42. Y t il une documentation d’exploitation complète et mise { jour pour l’ensemble des ap-
plications ?
 La maintenance
43. Y a-t-il des procédures écrites de révision (protocoles de recettes) appliquées systémati-
quement avant la mise en exploitation pour toute création ou maintenance d’une appli-
cation ?

80
Annexe 2 : Questionnaire d’évaluation des utilisateurs
Pour chaque question, veuillez encadrez le chiffre correspondant { votre degré d’accord ou de
désaccord.
1=pas du tout d’accord, 2=pas d’accord ; 3= indifférent, 4=d’accord, 5=tout { fait d’accord
Questions rating
Organisation de la sécurité
1. Vous vous sentez en sécurité dans 1 2 3 4 5

l’entreprise ?
2. Vous êtes informé des mesures et pro-

cédures de sécurité ? 1 2 3 4 5
3. Vos outils de travail sont satisfaisants

adaptés et performants (micro ordina- 1 2 3 4 5
teur, imprimante téléphone) ?
4. Vous avez facilement accès au service

informatique ? 1 2 3 4 5
5. Le degré de communication utilisateur 1 2 3 4 5

informaticien est satisfaisant ?
Formation
6. La fréquence des incidents informa-

tiques dans l’entreprise est élevée ? 1 2 3 4 5
7. Il existe des séances de formation en 1 2 3 4 5

matière de contrôles et de sécurité ?

81
Informatique individuelle 1 2 3 4 5
8. Les mesures de protection de fichiers

de données et des programmes de tout
vol et dommages sont satisfaisantes ? 1 2 3 4 5
9. La documentation pour toutes les ap-

plications destinées aux micro- 1 2 3 4 5
ordinateurs et adéquate ?
10. Vous êtes associés de contrôles et de

sécurité ? 1 2 3 4 5
11. Vos plaintes sont prises en compte par

le service informatique ?
Environnement d’exploitation
1 2 3 4 5
12. Les demandes de travaux offerts par le
service informatique sont satisfaisante
(délais d’exécution des travaux traités,
concordance avec la demande, intégrité
des données de l’application) ? 1 2 3 4 5
13. Les demandes des modifications de

programmes sont approuvées par les
utilisateurs ? 1 2 3 4 5
14. Les procédures de téléchargement des

données suivent une logique ?
1 2 3 4 5
15. Les fichiers de chaque utilisateur sont
codés de mots de passe (garantie sup-
plémentaire) ? 1 2 3 4 5
16. Les utilisateurs reconnaissent les diffé-

rents types possibles de virus et autres
programmes pirates
17. Les procédures de secours de reprise, 1 2 3 4 5

de continuité de l’exploitation en cas de
sinistre informatique (incendie, dégâts
des eaux, tremblement de terre etc.)

82
sont portées à votre connaissance ?
Annexe 3 : exemple de charte de la sécurité de l’information d’une organisation
Charte
Le service de sécurité informatique a pour mission de guider et de soutenir les organisations

dans leur action de protection des biens informatiques contre toute divulgation, modification,
destruction ou refus, intentionnels ou non et ce grâce à la mise en œuvre de politiques, recom-
mandations et procédures appropriées en matière de planification de la sécurité des systèmes
d’information et de risque
Responsabilités
Le service de sécurité informatique est responsable du développement et de l’administration de

plans stratégiques et tactiques comportant les étapes suivants :
1) Développement de politiques, procédures, et recommandations de sécurité conformes

aux politiques de l’entreprise et aux exigences générales en matière de contrôle des sys-
tèmes d’information.
2) Mise en œuvre d’un programme de sécurité prévoyant la classification de l’information et

de la réalisation annuelle d’un processus d’auto-évaluation de la sécurité des systèmes
d’information.
3) Elaboration et mise à jour d’un programme de formation et de sensibilisation à la sécurité

des systemes d’information, { l’échelle de l’organisation.
4) Elaboration et mise à jour de recommandations minimales communes à l’ensemble de

l’organisation et concernant l’administration d’un logiciel de contrôle d’accès, ainsi que
des procédures correspondantes au niveau des systèmes centraux et des micro-
ordinateurs.
5) Sélection, mise en œuvre, test et actualisation d’une méthode de planification appropriée

en matière de reprise, pour chaque installation effectuant le traitement d’applications cri-
tiques pour l’organisation.
6) Développement et mise en œuvre de procédures d’examen de la sécurité et de pro-

grammes de travail basés sur les politiques, procédures, normes et recommandations de
l’organisation.
7) Participation à la conception et au développement des systèmes, dans le but de veiller à

l’intégration des consignés de sécurité dans les applications automatisées.

83
8) Recherche et évaluation de nouvelles technologies et de nouveaux services en matière de

sécurité de l’information, et de coordination de la mise en œuvre des matériels, logiciels
et services adéquats au sein des groupes d’exploitation de l’organisation.
9) Coordination de la diffusion des informations relatives à la sécurité et fourniture d’un

support technique aux groupes d’exploitation, en cas de besoin.

84
Annexe 4 : le responsable de la sécurité des SI
Responsabilités :
Le RSSI met en œuvre les directives du comité de direction(ou de sécurité) et lui rend compte de
leur application.
Ses attributions sont les suivantes :
1) Suivre l’évolution des techniques de sécurité de l’information
2) Définir les procédures standards de sécurité se rapportant à l’ensemble du traitement de

l’information :
Classification, communcation, sauvergarde et destruction des données en fonction de

leur sensibilité,
Protection des données par type de classification
Incidence sur la sécurité de l’affectation du personnel
Classification, identification, authenfication des utilisateurs
Définition des normes de sécurité dans le développement des applications
3) Choisir avec les spécialités des services de l’organisation et informatique(OI) les pro-
duits sécuritaires et en définir les règles de gestion
4) Assumer l’administration centrale des outils de sécurité mis en place dans les services,
les agences ou les unités locales.
5) Coordonner l’action des responsables sécurité :
En entreprenant à leur intention des actions de formation appropriée au suivi de la sécu-

rité dans les unités locales.
En veillant à leur participation aux groupes sécurité constitués à l’occasion des projets
informatiques
En organisant la gestion décentralisée des accréditations sur les fichiers sécurité
6) Entreprendre avec l’appui de la direction de la communication(ou de la formation) des

actions de sensibilisation de l’ensemble du personnel aux questions de sécurité de
l’information.

85
7) Sensibiliser les chefs de projet, les agents de services de l’inspection er et de l’audit aux
contrôles à effectuer en matière de sécurité de l’information.
8) Saisir les services de l’inspection et de l’audit de demandes d’enquêtes
9) Assurer la cohérence des différents pôles de décision au comité technique informa-

tique(chargés de la cohérence technique des solutions technique proposées pour les pro-
jets présentés par les directions opérationnelles ou les chefs de projet) et au groupe
chargé au sein de l’entreprise de la stratégie informatique
Positionnement hiérarchique
Elle dépend de la volonté de la direction générale te de l’importance qu’elle accorde cette fonc-
tion si des rattachements aussi divers qu’à
Une division de la direction de l’organisation et informatique
La direction de l’organisation et informatique
L’inspection générale
Le président ou directeur général
Peuvent être trouvés, il est indispensable, pour une meilleure efficacité, qu’un rattachement
hiérarchique élevé soit donné
Profil
Le profil requis par le candidat RSSI
Une ancienneté certaine dans l’entreprise (bonne connaissance des métiers
Une compétence informatique réelle (il faut parler(d) égal à égal avec les techniciens)
Un bon sens de la communication
Les qualités nécessaires
Etre
Méthodique
Rigoureux
Intègre
Créatif
Disponible

86
Les missions du RSSI
Les missions qui deviennent aujourd’hui prépondérantes
Sensibilisation, formation
Analyse des risques
Certification des dispositifs de sécurité
Audit, contrôle du respect des règles
Veille technologique
Déontologie informatique
Les autres missions :
Promotion de la sécurité
Organisation de la sécurité
Approche méthodologiques de la sécurité
Politique sécurité
Plan sécurité
Définition des règles, normes, procédures
Garant de la cohérence
Conseils, recommandations, assistance
Administration de la sécurité
Gestion des habililiatations
Gestions des clés et secrets
Gestion des incidents
Suivi. Reporting, tableaux de bord
Plan de secours (définition, tests, suivi)

87

Introduction Générale: Gestion Financière Et Comptable Rapport de Stage de Fin D'études

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Introduction Générale: Gestion Financière Et Comptable Rapport de Stage de Fin D'études

Transféré par

Droits d'auteur :

Formats disponibles

Gestion Financière et Comptable rapport de stage de fin d’études

Les technologies de l’information et de la communication changent l’art du possible dans les

Audit des systèmes d’information 2012/2013 Najat LAGHOUZAL

Pour répondre à cette question, ce mémoire sera structuré en deux parties :

La première partie sera consacrée à la présentation du cadre général des systèmes

Les objectifs à atteindre par ce mémoire sont les suivants :

Présenter les bonnes pratiques en matière d’organisation de la fonction informatique et de ma-

Audit des systèmes d’information 2012/2013 Najat LAGHOUZAL

L’environnement général des systèmes d’information

Audit des systèmes d’information 2012/2013 Najat LAGHOUZAL

Introduction de la première partie :

Le recours aux systèmes d’information provoque alors une amplification considérable de la

Audit des systèmes d’information 2012/2013 Najat LAGHOUZAL

Chapitre 1 : Vue générale sur les systèmes d’information

Section 1 : Le cadre conceptuel des systèmes d’information

1. Pourquoi l'information est-elle aussi importante ?

L’information, élément de communication

L’information a trois rôles principaux :

*L’information renseigne quotidiennement l’entreprise sur son environnement.

Elle émane de partenaires économiques (clients, fournisseurs), financiers (banques, action-

*L’information est un facteur d’organisation. En effet, elle favorise la communication interne et

*L’information est un vecteur de communication de l’entreprise vers l’extérieur, elle véhicule

Audit des systèmes d’information 2012/2013 Najat LAGHOUZAL

L’information, une ressource précieuse

Cependant, l’entreprise ne réalise généralement pas aussitôt la compromission de son système

Les partenaires de l’entreprise attachent une importance particulière { la qualité de

2. Notion de système d’information

Audit des systèmes d’information 2012/2013 Najat LAGHOUZAL

De par l’information véhiculée, le système d’information assure la coordination des différents

Les ressources techniques et humaines mobilisées par l’entreprise dans le déploiement et le

3. Les principaux composants du système d’information d’une Entreprise

Le système d’information de l’entreprise forme un tout indissociable qui traite l’information et la

- la gestion des stocks et des achats,

- la paye et la gestion des ressources humaines.

Audit des systèmes d’information 2012/2013 Najat LAGHOUZAL

4. Les types de systèmes d’information

Il existe deux types de systèmes d’information. Le système d’information technique et le système

Les systèmes de production de rapports

Les systèmes d’aide à la décision

Les systèmes d’information pour dirigeants

Audit des systèmes d’information 2012/2013 Najat LAGHOUZAL

Section 2 : Les systèmes d’information et l’entreprise

1. Nécessité des systèmes d’information dans l’entreprise

1-1.Positionnement du système d’information dans l’entreprise

1-2.Les SI au service de l’exploitation et la gestion de l’entreprise

Les systèmes d’information soutiennent l’exploitation et la gestion des entreprises de différentes

 SI qui soutiennent l’exploitation de l’entreprise :

 SI qui soutiennent la gestion de l’entreprise :

Les SI de gestion soutiennent, en effet, l’exploitation et permettent de répondre aux besoins de la

* Les systèmes de production de rapports de gestion

* Les systèmes d’aide { la décision

Audit des systèmes d’information 2012/2013 Najat LAGHOUZAL

* Les systèmes d’information pour dirigeants

 SI et l’amélioration des processus de l’entreprise :

Les investissements en technologie de l’information rendent l’exploitation beaucoup plus effi-

En effet, les différentes fonctions de la technologie de l’information permettent d’améliorer les

 La transformation des processus non structurés et transactions programmées ;

 Diminution ou remplacement de la main d’œuvre ;

 Application des méthodes analytiques complexes à un processus ;

 Apport de grandes quantités de données détaillées sur un processus ;

 La saisie et la diffusion des connaissances et de la compétence afin d’améliorer un pro-

 Le suivi minutieux de l’état des entrées et des sorties d’un processus ;

 La liaison de deux parties au sein d’un processus en supprimant un intermédiaire.