Domaine 1 Cisa

FORMATION ET
PRÉPARATION À
L’EXAMEN DU CISA
MOUHAMAD LAMINE NIASSE
EXPERT CYBERSECURITE / FORMATEUR / CONSULTANT
PCI QSA, PCI PROFESSIONNAL, CISSP, CISA, CISM, OSCP,
ISO 27001 LI, ISO 27001 LA,ISO 27005 RM, ISO 37301 LI,
CHFI, CEH, Certified PECB Trainer
INTRODUCTION
Copyright © GC Mars 2022 2

▶ Cette introduction abordera :
La certification CISA
P LAN
Ø
Ø Le format du cours
Ø Le format de l'examen
Ø La présentation des participants

CISA (Certified Information Systems Auditor)
▶ Le certification professionnelle CISA:

Ø Est conçue pour le personnel chargé de l'audit et de la
révision des systèmes d'information.
Ø A pour but de garantir que les systèmes sont conçus,

développés, déployés et maintenus pour répondre aux
besoins et aux objectifs de l'entreprise.
Ø Requiert une compréhension des concepts qui sous-tendent

l'audit des systèmes d'information - pas seulement les définitions
5
Domaines de connaissances de
la pratique professionnelle CISA
Processus d’audit des systèmes d’information (21%)
Gouvernance et gestion des TI (17%)
Acquisition, développement et mise en œuvre des systèmes d’information

(12%)
Opérations des systèmes d'information et résilience des entreprises (23%)
Protection des actifs informationnels (27%)
6
QUALIFICATIONS CISA
Pour obtenir le titre du CISA, les professionnels de la sécurité de
l'information doivent :
• Passer avec succès l'examen CISA
• Soumettre une demande de certification CISA
• Avoir au moins cinq ans d'expérience professionnelle dans le domaine de
l'audit, du contrôle ou de la sécurité des systèmes d'information
(dispense de formation).
• Adhérer au code d'éthique professionnel de l'ISACA

• Adhérer à la politique de formation continue de la CISA
• Se conformer aux normes d'audit des systèmes d'information

▶ Cours et questions types, environ deux domaines
par jour
▶ Structure du domaine
▶ Objectifs d'apprentissage
Format ▶ Contenu
quotidien ▶
▶ Questions types
Veuillez noter que les informations de chaque
domaine se recoupent avec celles des autres
domaines - au cours du cours, nous introduirons
des sujets qui seront développés dans les
domaines suivants.

▶ L'examen se compose de 150 questions à choix
multiples qui couvrent les domaines de
connaissances du CISA.
L’examen ▶ Quatre heures sont allouées pour compléter
l'examen.
▶ Conditions d'éligibilité:Cinq (5) ans ou plus
d'expérience en audit, contrôle, assurance ou
sécurité des SI/TI.

Jour de l'examen
▶ Soyez à l’heure !
▶ Apportez une forme acceptable d'identification originale avec photo
(passeport, carte d'identité avec photo).
▶ Il est interdit d'apporter des notes ou des papiers à l'examen.
▶ Les résultats préliminaires seront communiqués immédiatement
après l'examen.
▶ Résultats détaillés fournis dans les dix jours.

▶ Lisez attentivement chaque question
Remplir les
Lisez TOUTES les réponses avant de choisir la
questions de
▶
MEILLEURE réponse.
l'examen
▶ Il n'y a pas de pénalité pour avoir deviné.
Répondez à toutes les questions

Notation de l'examen
▶ Les notes des candidats sont présentées sous la forme d'un barème
basé sur la conversion de la note brute d'un candidat à un examen
en une échelle commune.
▶ L'ISACA utilise et rapporte les scores sur une échelle commune
allant de 200 à 800. Un candidat doit obtenir un score de 450 ou
plus pour réussir l'examen.
▶ Bonne chance !

Domaine 1: Fournir des services d'audit SI
conformément aux normes,
Processus d’audit directives et meilleures
pratiques d'audit SI afin d'aider
l'organisation à s'assurer que
des systèmes ses systèmes informatiques et
commerciaux sont protégés et
contrôlés.
d’information

Principes et concepts fondamentaux de l’audit
Gestion des risques
Plan Planification de l'audit
Domaine 1 Réalisation de l'audit
Audit, analyse et rapport
Conclusion

Objectifs d'apprentissage
▶ Planifier un audit pour déterminer si les systèmes d'information sont

protégés, contrôlés et apportent de la valeur à l'organisation.
▶ Réaliser un audit conformément aux normes d'audit des SI et à une
stratégie d'audit des SI basée sur les risques.
▶ Communiquer l'avancement de l'audit, les conclusions, les résultats et
les recommandations aux parties prenantes.
▶ Effectuer un suivi de l'audit pour évaluer si le risque a été
suffisamment traité.

Objectifs d'apprentissage (suite)
▶ Évaluer la gestion et le suivi des contrôles informatiques.

▶ Utiliser des outils d'analyse de données pour rationaliser les processus
d'audit.
▶ Fournir des services de conseil et d'orientation à l'organisation afin
d'améliorer la qualité et le contrôle des systèmes d'information.
▶ Identifier les possibilités d'amélioration des processus dans les
politiques et pratiques informatiques de l'organisation.

PRINCIPES ET
CONCEPTS
FONDAMENTAUX
DE L’AUDIT

Définition Systèmes d’Information
▶ Les Systèmes d’Information sont définis comme la combinaison

d'activités stratégiques, de gestion et d'exploitation, ainsi que les
processus associés, impliqués dans la collecte, le traitement, le
stockage, la distribution et l'utilisation de l'information et des
technologies connexes.
▶ Les Systèmes d’Information se distinguent des Technologies de

l’Information (TI) en ce sens qu'un système d'information comporte
une composante TI qui interagit avec les composantes du processus.

Définition de l'audit
Processus méthodique, independent et documenté, permettant

d’obtenir des preuves objectives et de les évaluer de manière
objective pour determiner dans quelle mesure les critères
d’audit sont satisfaits.
18
TYPES D’AUDITS
19
Audit interne et audit externe
22
Parties Impliquées
21
Audit du SI
L'audit des SI est l'examen formel et/ou le test des systèmes

d'information pour déterminer si :
▶ Les systèmes d'information sont conformes aux lois, règlements,
contrats et/ou directives industrielles applicables.
▶ Les systèmes d'information et les processus associés sont conformes
aux critères de gouvernance et aux politiques et procédures connexes
et pertinentes.
▶ Les données et les informations du SI ont des niveaux appropriés de
confidentialité, d'intégrité et de disponibilité.
▶ Les opérations du SI sont accomplies de manière efficace et les
objectifs d'efficacité sont atteints.
22
PRINCIPES D’AUDIT
DEONTOLOGIE
RESTITUTION IMPARTIALE
CONSCIENCE PROFESSIONNELLE
CONFIDENTIALITÉ
INDÉPENDANCE
Il convient que les auditeurs soient indépendants de l’activité auditée
et n’aient ni parti pris, ni conflit d’intérêt dans toute la mesure
possible. Pour les audits internes, il convient que les auditeurs soient,
si possible, indépendants de la fonction auditée.
APPROCHE FONDÉE SUR LA PREUVE
Fiabilité des preuves
Ø La fiabilité des preuves doit prendre en compte :
Ø L'indépendance du fournisseur de preuves
Ø Les qualifications du fournisseur de preuves
Ø L'objectivité de la preuve
Ø Le moment où les preuves sont fournies.

30
Ø Les preuves pertinentes doivent être identifiées
Collecte des preuves
Ø Les preuves peuvent être recueillies par :

Ø Observation
Ø Interviews
Ø Données fournies par d'autres parties
Ø Documents
Ø Résultats des tests
31
APPROCHE PAR LES RISQUES
Gestion des ressources de l'audit du SI
▶ Défis du programme d'audit

q Compétence (norme de compétence en matière d'audit)
o Compétences et connaissances nécessaires
q Formation continue
q Auditeurs spécialisés
o Outils, méthodologie
23
GESTION DES
RISQUES

Définition du risque
Ø Le risque est la combinaison de la probabilité d'un

événement et de ses conséquences (ISO 3100).
Ø Le risque pour l'informatique se concentre sur le risque

pour l'information,les systèmes d'information et les
processus :
Ø Confidentialité
Ø Intégrité
Ø Disponibilité

PROCESSUS DE GESTION DES RISQUES
Options de
traitement des
risques

▶ L'objectif de l'effort de gestion des risques est de
Risque s'assurer que tous les risques sont égaux ou
inférieurs au niveau de risque acceptable pour la
acceptable direction générale.
§ Risque résiduel

LES DIFFÉRENTS TYPES D’ANALYSE DE RISQUES
MESURES DE SECURITÉ
▶ Comprendre la mission, les objectifs et
les processus de l'entreprise.
▶ Comprendre les changements

dans l'activité
Étapes de la ▶ Examiner les documents de

travail antérieurs
planification ▶ Revoir les politiques,les normes et la
de l'audit structure organisationnelle
▶ Effectuer une analyse des risques
▶ Définir la portée et les objectifs de l'audit
▶ Élaborer l'approche ou la stratégie d'audit
▶ Affecter des ressources en personnel à l'audit
▶ S'occuper de la logistique de l'engagement

Planification de l'audit
Implique une planification à court et à long terme (base annuelle)

▶ Court terme
Ø Questions d'audit à couvrir au cours de l'année
▶ A long terme
Ø Changements dans l'orientation stratégique de l'organisation
Ø Impact sur l'environnement informatique de l'organisation 24
Effets des lois sur la planification des audits
L'auditeur doit s'assurer que :

▶ Les exigences réglementaires sont établies
▶ Les responsabilités sont attribuées à des entités individuelles
▶ Les fonctions d'audit informatique de soutien financier, opérationnel
et technique sont en place.
29
Principes de COBIT 5
Ø Répondre aux besoins des parties prenantes

Ø Couvrir l'entreprise de bout en bout
Ø Appliquer un cadre unique et intégré
Ø Permettre une approche holistique
Ø Séparer la gouvernance de la gestion

Réaliser un audit des SI
Ø Une planification adéquate
Ø Évaluer le risque pour les domaines et les

systèmes généraux faisant l'objet de
l'audit.
Ø Élaborer les objectifs du programme

d'audit
Ø Élaborer des procédures d'audit pour

atteindre les objectifs du programme
d'audit

Types d'audits
Ø Le CISA doit connaître les types d'audits (qui peuvent
être réalisés en tant qu'audits internes ou externes).
Ø Audit de conformité - test des contrôles pour

démontrer l'adhésion à des normes réglementaires ou
industrielles spécifiques (PCI- DSS, ISO 27001, etc).
Ø Audit financier - évaluer l'exactitude des rapports

financiers
Ø Audit opérationnel - évaluer la structure de contrôle
interne, par exemple les contrôles des applications.

Types d'audits (suite)
Ø Audit intégré - combine les audits financiers et

opérationnels - tests de conformité des contrôles et tests de
corroboration
ØAudit administratif - évaluer les questions liées
à l'efficacité de la productivité opérationnelle.
Ø Audits des SI - déterminer si les systèmes d'information
protègent adéquatement les actifs. Contrôles internes,

appliquer la CIA, soutenir la mission de l'entreprise.

Types d'audits (suite)
Ø Audits investigation - audit spécialisé dans la découverte,
la divulgation et le suivi des crimes et des fraudes.
Ø Élaboration de preuves pour l'examen par les forces de l'ordre

Ø Nécessite l'analyse des équipements informatiques et de
réseau - ordinateurs, smartphones, routeurs, etc.
Ø Il faut respecter la chaîne de conservation - les preuves manipulées

de manière inappropriée peuvent être jugées irrecevables.
Ø Image à flux binaire des disques durs

Le processus d'audit
Ø Rassembler les preuves
Ø Évaluer les forces et les faiblesses des contrôles

Ø Sur la base des preuves recueillies
Ø Préparer un rapport d'audit qui présente les problèmes d'audit

(faiblesses du contrôle avec des recommandations pour y remédier).
Ø Présenter le rapport de manière objective à la direction
49
Documents de travail d'audit
Ø Tous les plans d'audit, les programmes, les activités, les

tests, les résultats et les incidents doivent être
correctement documentés dans les documents de travail
d'audit.
Ø Maintenir l'intégrité des documents de travail et des

résultats des tests
Ø Les documents de travail appuient les faits contenus dans

le rapport final.

Matérialité
Ø Une faiblesse détectée doit être évaluée par l'auditeur

afin de déterminer l'importance de la faiblesse
conformément à l'audit basé sur les risques et aux
contrôles internes.
Ø L'auditeur doit être conscient qu'une petite erreur, lorsqu'elle est
combinée à d'autres erreurs, peut devenir une erreur significative.
Ø Le concept d'importance relative dépend du bon jugement de

l'auditeur.

Tests de conformité et tests de
corroboration
Ø Test de conformité - vérifie l'adhésion (la conformité) aux

procédures et aux politiques.
Ø - Donne l'assurance qu'une procédure est suivie et qu'un contrôle

fonctionne de manière cohérente.
Ø Tests de corroboration - vérifie l'intégrité des transactions.
Ø - Validité des rapports financiers

Échantillonnage
Ø La population est l'ensemble des transactions à
examiner.
Ø L'échantillonnage permet de sélectionner un sous-ensemble
représentatif de l'ensemble de la population à examiner (gain de
temps et d'efforts).
Ø Les caractéristiques de l'échantillon sont utilisées pour déduire

les caractéristiques de la population entière.
Ø Le candidat CISA doit connaître les méthodes d'échantillonnage

et savoir quand les utiliser.

Approches générales de
l'échantillonnage
Ø Statistique - méthode objective de détermination de la
taille de l'échantillon et des critères, et utilise les lois
mathématiques des probabilités pour déterminer la taille
de l'échantillon.
Ø Non statistique - le jugement du vérificateur est utilisé pour

déterminer le nombre d'éléments à échantillonner basé sur un
jugement subjectif de risque plus élevé.

Risque d'échantillonnage
Ø Le risque est qu'un échantillon ne soit pas une véritable

indication de l'ensemble de la population.
Ø L'auditeur doit être conscient et chercher à atténuer ce risque.

Recours aux services d'autres auditeurs
ou experts
Ø Pénurie d'auditeurs expérimentés.
Ø Recours à des experts dans certaines technologies.
Ø Mise en réseau, fraude, sans fil, criminalistique (M édico-légal), etc .

Ø Nécessite la prise en compte des questions juridiques, des conditions
contractuelles, de la supervision, de la compétence professionnelle,
etc.
Ø Utiliser du personnel de confiance avec des accords de

confidentialité et de non-divulgation.
Ø Valider l'indépendance et l'objectivité.

Techniques d'audit assistées par
ordinateur
Utilisé pour la collecte et l'analyse des données

Ø Logiciel d'audit général
Ø Accès et organisation des fichiers, fonctions statistiques et fonctions arithmétiques
Ø Utilitaires
Ø Logiciels de débogage
Ø Données de test
Ø Systèmes experts

Évaluation de l'environnement de
contrôle
Ø Les opérations sont-elles bien contrôlées et efficaces.

§ Forces et faiblesses des contrôles
Ø Des contrôles compensatoires sont-ils en place
Ø Basé sur le jugement de l'auditeur
§ Importance des conclusions
§ Importance pour la direction
§ Impact sur les affaires

Structure et contenu du rapport d'audit
Ø Introduction - objectif de l'audit, portée, période de l'audit,

procédures d'audit
Ø Constatations de l'audit regroupées en fonction de

l'importance significative.
Ø Opinion de l'auditeur sur l'adéquation des contrôles
Ø Réserves ou appréciations de l'auditeur sur l'audit
Ø Rapport détaillé sur les conclusions et les recommandations

de l'audit

Constats
Tous les résultats significatifs doivent être rapportés
notamment :
Ø les constats
Ø les causes
Ø les risques
Ø les explications possibles basées sur les normes
60
REVUE QUALITÉ DE L’AUDIT
Communiquer les résultats de l'audit
Entretien de clôture
Ø S'assurer de l'exactitude des faits
Ø S'assurer que les recommandations sont réalistes
Ø Obtenir un accord sur les conclusions de l'audit et

recommandations
Ø Recommander des dates de mise en œuvre
Ø Élaborer un plan d'action

Présentation à la direction
63
Documentation d'audit
Devrait inclure :
Ø La planification et la préparation de la portée et de l'objectif de
l'audit
Ø La description des domaines d'audit
Ø Le programme d'audit
Ø Les étapes de l'audit et éléments probants recueillis
Ø L’utilisation des services d'autres auditeurs ou experts
Ø Les constats, conclusions et recommandations de l'audit
Ø La documentation de l'audit - justification des résultats

Fermeture des constatations
Programme de suivi
Ø Déterminer si la direction a entrepris des mesures correctives
appropriées
Ø Planning en fonction de la criticité des résultats
Ø Nouveau test ou examen des contrôles

Auto-évaluation des contrôles
Ø Évaluation du contrôle effectuée par le personnel et la direction de

l'unité opérationnelle
Ø Déplacement de certaines fonctions d'audit vers les unités
opérationnelles
Ø Ne remplace pas l'audit
Ø Identification proactive des problèmes
Ø Amélioration des contrôles
Ø Motivation des employés
Ø Réduction des coûts

Inconvénients de l’auto-évaluation des
contrôles
Vu comme :
Ø Remplacement de l'audit
Ø Charges de travail supplémentaires

Ø Le fait de ne pas donner suite aux suggestions entraîne des
problèmes de moral.
Ø Absence de détection des contrôles faibles

Auto-évaluation des contrôles et
rôle de l'auditeur
Ø Facilitateur
Ø Guide
Ø Gestion des consultations
Ø Analyse des risques

Contrôle et audit continus
Ø Surveillance continue - assurée par des outils de gestion des SI basés

sur des procédures automatisées, par exemple, les anti-virus
Ø Audit continu - évaluation des contrôles et des risques sur une base
plus fréquente. Utilise des outils pour surveiller toutes les transactions.
Ø Ensemble, ils fournissent une assurance continue
Ø Plus de sécurité
Ø Moins de travail d'audit

Conclusion
Connaître:
Ø La planification de l'audit
Ø La réalisation d'un audit
Ø La restitution d’un audit
Ø Le risque lié à l'audit
Ø Les techniques d'audit continu
Ø L’éthique

FIN DOMAINE 1

Domaine 1 Cisa

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Domaine 1 Cisa

Transféré par

Droits d'auteur :

Formats disponibles

FORMATION ET

Copyright © GC Mars 2022 2

Copyright © GC Mars 2022 3

▶ Le certification professionnelle CISA:

Ø A pour but de garantir que les systèmes sont conçus,

Ø Requiert une compréhension des concepts qui sous-tendent

Gouvernance et gestion des TI (17%)

Acquisition, développement et mise en œuvre des systèmes d’information

Opérations des systèmes d'information et résilience des entreprises (23%)

Protection des actifs informationnels (27%)

• Adhérer au code d'éthique professionnel de l'ISACA

Copyright © GC Mars 2022 7

Copyright © GC Mars 2022 7

Copyright © GC Mars 2022 8

Copyright © GC Mars 2022 9

Copyright © GC Mars 2022 10

Copyright © GC Mars 2022 12

Copyright © GC Mars 2022 12

Gestion des risques

Plan Planification de l'audit

Domaine 1 Réalisation de l'audit

Audit, analyse et rapport

Copyright © GC Mars 2022 15

▶ Planifier un audit pour déterminer si les systèmes d'information sont

Copyright © GC Mars 2022 14

▶ Évaluer la gestion et le suivi des contrôles informatiques.

Copyright © GC Mars 2022 15

Copyright © GC Mars 2022 16

▶ Les Systèmes d’Information sont définis comme la combinaison

▶ Les Systèmes d’Information se distinguent des Technologies de

Copyright © GC Mars 2022 19

Processus méthodique, independent et documenté, permettant

L'audit des SI est l'examen formel et/ou le test des systèmes

Ø La fiabilité des preuves doit prendre en compte :

Ø L'indépendance du fournisseur de preuves

Ø Les qualifications du fournisseur de preuves

Ø Le moment où les preuves sont fournies.

Ø Les preuves peuvent être recueillies par :

▶ Défis du programme d'audit

Copyright © GC Mars 2022 34

Ø Le risque est la combinaison de la probabilité d'un

Ø Le risque pour l'informatique se concentre sur le risque

Copyright © GC Mars 2022 35

Copyright © GC Mars 2022 37

Copyright © GC Mars 2022 38

▶ Comprendre les changements

Étapes de la ▶ Examiner les documents de

de l'audit structure organisationnelle

▶ Effectuer une analyse des risques

▶ Définir la portée et les objectifs de l'audit

▶ Élaborer l'approche ou la stratégie d'audit

▶ Affecter des ressources en personnel à l'audit

▶ S'occuper de la logistique de l'engagement

Copyright © GC Mars 2022 28

Implique une planification à court et à long terme (base annuelle)

L'auditeur doit s'assurer que :

Ø Répondre aux besoins des parties prenantes

Copyright © GC Mars 2022 44

Ø Une planification adéquate

Ø Évaluer le risque pour les domaines et les

Ø Élaborer les objectifs du programme

Ø Élaborer des procédures d'audit pour

Copyright © GC Mars 2022 45