Audit Des SI

2021-11-01
Université Sidi Mohamed Ben Abdellah 1

Ecole Nationale de Commerce et de
Gestion
National School of Management
Route d’Immouzar, B.P A 81
30000 FES-MAROC
AUDIT DES SYSTÈMES D’INFORMATION
Préparé par TAOUFIK EL BOUZEKRI EL IDRISSI

Ecole Nationale de Commerce et de Gestion
Université Sidi Mohamed Ben Abdellah-Fès
Taoufik_desa@hotmail.com
Année universitaire
2020/2021
« Il y a peu de différence entre un homme et un

autre, mais c'est cette différence qui est
tout. »
William James. Philosophe,

Psychologue
1
2021-11-01
Objectifs du cours:
3
Les principaux objectifs de ce cours sont d'amener les étudiants à :
 Comprendre le vocabulaire et les concepts de base associés à l’ audit des SI

 Définition des différents types d'audit;
 Maîtriser les fondamentaux et utiliser les outils essentiels à la fonction
d’audit appliqués aux systèmes d'information;
 Appréhender les méthodes et critères pouvant faciliter la gestion des
risques
 Maîtriser les référentiels associés aux systèmes d’information.
 Etre en mesure de réaliser un audit SI dans l’entreprise de la phase
planification jusqu’au suivi des actions d’amélioration;
 Comprendre et expliquer en quoi l’audit des SI peut améliorer la
compétitivité des entreprises
Sujets abordés
4
 Aperçu sur la genèse de la pratique d’audit

 L'audit des systèmes d'information (SI) : définition et enjeux
 Démarche d'audit des systèmes d’information
 Différent thèmes à analyser dans le cadre d’un audit des SI
 Typologie de l'audit des systèmes d’information
 Les référentiels d'audit des systèmes d’information
 Audit des systèmes d’information dans un cadre CAC
2
2021-11-01
Aperçu sur la genèse de la pratique d’audit

5
Audit : Définition et origines

Etymologie: Audit vient du verbe latin «audire» qui veut dire «écouter»
La théorie fondamentale de l’audit à des origines très anciennes : Sumériens,
Egyptiens, phéniciens, Grecs, Romains ....
Le besoin d’établissement d’une information objective entre les partenaires

économiques au 2ème millénaire avant JC a fait des sumériens les premiers adeptes
de la démarche de contrôle et de normalisation
•Dès le 3ème siècle avant JC, nomination de questeurs ayant pour mission de
contrôler les comptabilités par les gouverneurs romains et à cette époque qui
Historique: apparut le terme audit du latin «audire»;
•Jusqu'à la fin du 19ème siècle, la finalité d'audit était la détection des fraudes
sous la demande des pouvoirs publics, ainsi les modes de contrôle se basaient sur la
vérification détaillée et exhaustive des pièces comptables;
•Premier cabinet d'audit fut fondé au 19ème siècle à Londres;

•Au milieu du 20ème siècle, la finalité d'audit est devenue de porter un jugement sur
la validité des comptes annuels suite à la croissance de la taille des organisations
contrôlées.

6
Audit : Définition et origines (suite)
Un audit est un processus permanent ou ponctuel, par lequel une

fonction de l’entreprise est évaluée par une ou plusieurs personnes qui
n’exercent pas cette fonction dans l’entreprise
Une entreprise souhaite un audit d’une de ses fonctions parce que ses
responsables y perçoivent un dysfonctionnement ou des possibilités
d’amélioration, ou bien veulent comprendre la « vraie » réalité de
cette fonction, c'est-à-dire au-delà de ce qui en est dit ou de ce
qu'elle paraît être.
3
2021-11-01

7

8
Le contrôle Vs l’audit
 Le terme contrôle est fréquemment associé à celui d'audit; la différence

entre les deux notions peut s'expliquer par référence à la théorie des
ensembles puisque la mise en oeuvre de l'audit implique de procéder à
différents contrôles.
 L'audit englobe ainsi l'ensemble des procédures et techniques de contrôle

constituant l'examen approfondi par un professionnel et reposant sur une
méthodologie. Le contrôle se présente donc comme un outil d'audit,
néanmoins ce dernier comprend une opinion qui est le résultat des contrôles.
4
2021-11-01

9
L’audit : Pour qui? Et Pourquoi?

Pour qui ?
 Les dirigeants (qu’a-t-on fait? peut-on faire mieux? )
 Les actionnaires actuels (résultats, situation financière peut-on faire
mieux? )
 Les actionnaires potentiels (doit-on acheter? )
 Les salariés (suis-je dans une situation d’emploi précaire? )
 Les fournisseurs(puis-je traiter? serai-je payé? )
 Les clients (puis-je traiter? serai-je servi durablement? )
 L’Etat(résultat fiscal? )
Pourquoi?
 Nécessité de confirmer la validité des informations données par
l’entreprise.

10
Types d’audit
Types d’audit Autres audits spécifiques
Audit financier Audit intégré (combinant les aspects financiers et
opérationnels);
Audit Audit administratifs (évaluation de l'efficacité
opérationnel opérationnelle /productivité);
Audit qualité Audit du système d'information;
Audit social Audit spécialisé (domaine spécifique, démarche
standardisée,...);
5
2021-11-01

11
Selon quelle démarche et avec quels outils ?

Pour auditer, il faut :
 Un besoin clairement exprimé

 Un périmètre bien défini
 Une méthode formelle
 Des outils
 Des moyens et des compétences

12
Les objectifs de l’audit

4 objectifs permanents :
Efficacité La capacité à atteindre les objectifs. Politique de DG
respectée ou non ?
Efficience Les ressources nécessaires de mise en œuvre des politiques
consommées sans gaspillage ?
Economie Les ressources pour mise en œuvre des politiques de la DG :

obtenues au moindre coût ?
Sécurité Les ressources pour mise en œuvre des politiques de la DG

sont-elles préservées.
6
2021-11-01
L'audit des systèmes d'information

13
 Le système d’information
 L’audit du système d’information

14
Un système
 Le mot système vient du bas latin systema et du grec sustêma qui signifie «
organisation, ensemble ».
 Il existe de nombreux systèmes : système nerveux, philosophique, politique,

d’information, etc.
 Cependant le terme système quel que soit le domaine dans lequel il est
employé possède plus ou moins le même sens : il s’agit d’un ensemble
d’éléments interagissant entre eux selon certains principes ou règles.
7
2021-11-01

15
Une information
 Information vient du verbe latin informare qui signifie « donner
forme ou se former une idée de ».
 Etymologiquement, l’information est donc ce qui donne forme à

l’esprit. Au sens pratique, une information peut être définie
comme toute connaissance qui peut créer un effet.

16
Un Système d’Information
 Un système d’information est un ensemble organisé de ressources

de l’entreprise qui permettent la bonne gestion de l’information
(sa collecte, son stockage, son traitement et sa distribution).
Robert Reix (2004)
 Reix et Rowe (2002, page 11) : « Un système d’information est un

ensemble d’acteurs sociaux qui mémorisent et transforment des
représentations via des technologies de l’information et des
modes opératoires. ».
8
2021-11-01
Le système d’information
17
Le système d'information d’une organisation
 Le système d'information d’une organisation est un ensemble de

RESSOURCES qui, en interaction, transforment des informations
élémentaires, préalablement saisies et stockées, en informations
élaborées.
 Ces différentes FONCTIONS de l’information permettent aux
dirigeants de prendre des décisions adaptées.
 Elles permettent également aux autres utilisateurs de contribuer au

fonctionnement de l’organisation au travers de différents ROLES.
Schéma d’un système d’information

18
9
2021-11-01

19
L'audit des systèmes d'information : Définition
L’audit informatique (aussi appelé « audit des systèmes d’information

ou de l’anglais Information Technology audit ») consiste à une
intervention réalisée par une personne indépendante et extérieure au
service audité, qui permet :
 d’analyser tout ou une partie d’une organisation informatique,

 d’établir un constat des points forts et des points faibles et,
 dégager ainsi les recommandations d’amélioration.

20
CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI)
1. Évaluation indépendante
2. Assistance du management
3. Appréciation du contrôle interne
10
2021-11-01

21
CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)
1. Activité d’évaluation indépendante

L'auditeur :
 doit être rattaché au niveau le plus haut de la hiérarchie
 ne peut pas intervenir comme opérationnel
 ni exercer un contrôle des personnes

22
2. Activité d’assistance du management

 Optimaliser le fonctionnement de l’organisation
 Le manager a une obligation de résultats
 L'auditeur a une obligation de moyens et de résultats :
 méthodologie et normes
 pas d’implication opérationnelle
11
2021-11-01

23
3. Encourager un contrôle efficace

Par des:
 enquêtes et analyses
 évaluations
 recommandations et avis
 informations

24
Les demandeurs d'un audit de l'activité informatique
Les demandeurs d'un audit de l'activité informatique
La direction de l'entreprise Pour vérifier le respect des orientations

qu‘elle a définis
Le responsable informatique L'opinion motivée de spécialistes sur sa propre
organisation
Les contrôleurs externes S’intéressent à la qualité de l'environnement
informatique
12
2021-11-01

25
Les principales questions posées par les décideurs :

Les questions posées aux auditeurs informatiques sont très variées .
Elles peuvent porter :
 Le rôle de l’informatique
 La politique informatique
 Les structures informatiques
 Les applications
 Les moyens mis en oeuvre
 Les hommes

26
Les objectifs de l’audit SI

Un audit n’a de sens que si sa finalité est définie. Les objectifs de l’audit définissent
ce qui est attendu de l’auditeur. Ces derniers peuvent comprendre ce qui suit:
 Vérifier la fiabilité de l’outil informatique et l’usage qui en est fait;
 Evaluer de l’aptitude du système d’information à assurer la conformité aux
exigences légales, réglementaires et contractuelles ;
 S’assurer de l’existence d’un plan de développement informatique à moyen
terme;
 Porter un jugement sur l’efficacité et les compétences des services
informatiques;
 Vérifier les performances des matériels et logiciels informatiques;
 Identifier les risques;
 Rechercher des moyens de réduction;
 Apporter des recommandations aux constats soulevés;
 Identifier des domaines permettant une amélioration du système d’information.
13
2021-11-01

27
Périmètre des Audits SI

L’audit informatique concerne l’examen :
 De l’organisation de la structure en charge des systèmes
d’information;
 Des aspects stratégiques : conception et planification de la mise en
oeuvre du système d’informations;
 Des procédures liées au développement;
 Des procédures liées à l’exploitation des applications informatiques;
 Des ressources informatiques mises en service;
 Des fonctions techniques;
 Des activités de contrôle sur la protection et la confidentialité des
données.

28
L’audit des systèmes d’information va se baser sur trois (3) aspects

indispensables :
 Le cadre réglementaire du secteur d’activité d’un pays donné
(exemple: LSF ; Sarbanes-Oxley Act ) ;
 Les référentiels de bonnes pratiques existants (exemple le référentiel

CobiT, ITIL, …) ;
 Les benchmarks à disposition et sur l’expérience professionnelle de

l’auditeur impliqué.
14
2021-11-01

29
Acteur l’audit SI
Tous les «grands» cabinets d’audit et de conseil ont mis en place des
démarches d’audit informatique en support à l’audit comptable
s'appuyant sur des experts généralistes et des spécialistes :
 CISA (Certified Information System Auditor)
 CISM (Certified Information Security Manager)
Les S.S.I.I. (Société de Services et d'Ingénierie en Informatique)
réalisent également des audits informatiques mais dans un cadre moins
réglementés
 expertise technique
 expertise fonctionnelle
L’audit des systèmes d’information vs l’urbanisation des SI

30
L'urbanisation du SI consiste à :
Rationaliser les moyens pour réaliser des économies d’échelle
en mutualisant les ressources matérielles et logicielles, et
pour faciliter la transformation continue du système
d’information.
 a) La vision Métier
 b) La vision fonctionnelle
 c) La vision Informatique
15
2021-11-01
L’urbanisation des SI: les différentes vues du SI

31
LES PRINCIPES DE L’URBANISATION DES (SI)

32
L’outil informatique doit s’adapter aux événements

redondants du système opérationnel pour répondre
des aux besoins de l’organisation. Ainsi, du point de vue de
événements l’urbanisation, le SI doit s’adapter aux ressources
a) La vision humaines. Le plus souvent, il s’agit d’automatiser ces
Métier traitement, sans modifier de façon radicale le
fonctionnement Métier.
Les réponses aux événements redondants se

des décomposent individuellement en une suite logique
processus d’actions répétées appelée processus. Dans une
démarche d’urbanisation, on cherchera à optimiser
ces processus, appelé Réingénierie de Processus.
16
2021-11-01

33
L’urbanisation consiste à faire évoluer son SI pour qu'il soutienne

et accompagne de manière efficace et efficiente les missions des
organisations et leurs transformations.
b) La vision L'urbanisation du SI ne fait pas table rase du passé mais
fonctionnelle tient compte de l'existant et doit permettre de mieux
anticiper les évolutions ou contraintes internes et externes
impactant le SI, et en s'appuyant le cas échéant sur des
opportunités technologiques. L'urbanisation facilite la
transformation continue du système d’information

34
Urbaniser, c’est quoi ? Au fond, il s’agit le plus souvent de

rationaliser les moyens pour réaliser des économies
c) La vision d’échelle en mutualisant les ressources matérielles et
Informatique logicielles, sans pour autant limiter ou perturber les
ressources humaines que sont les utilisateurs, acteurs
actifs de l’organisation.
17
2021-11-01
L’audit des (SI) VS La gouvernance des (SI)

35
 Les professionnels définissent la gouvernance des systèmes

d'information comme un ensemble des moyens qui concourent à un
pilotage efficient et une mise en synergie de toutes les
composantes de son SI afin d'en tirer le profit maximum.
 Sa finalité : est d’assurer aux dirigeants d’entreprise ainsi qu’aux

actionnaires que la fonction SI est parfaitement gérée.
L’audit des (SI) VS La gouvernance des (SI)

36
 L’association ISACA (Information Systems Audit and Control

Association) qui prête beaucoup d’intérêt à la gouvernance des
systèmes d’information en définit 5 piliers :
Alignement
stratégique
Mesure de la Création de
performance valeur
La
gouvernance
des SI
Gestion des Gestion des

risques ressources
18
2021-11-01
37
DEMARCHE D'AUDIT DES SYSTEMES

D’INFORMATION
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION
38
 Une mission d'audit informatique se prépare. Il convient de

déterminer un domaine d'études pour délimiter le champ
d'investigation.
 En ce sens il est conseillé d'effectuer un pré-diagnostic afin de
préciser les questions dont l'audit va traiter.
 Cela se traduit par l'établissement d'une lettre de mission
détaillant les principaux points à auditer.
Pour mener à bien l'audit informatique il est recommandé de suivre

cinq phases suivantes :
19
2021-11-01
39
Les cinq phases de l'audit des systèmes d’information
Phase 1 Le cadrage de la mission
Phase 2 La compréhension de l’environnement informatique
Phase 3 L’identification, évaluation des risques et des contrôles afférents aux

systèmes
Phase 4 Les tests des contrôles
Phase 5 La rédaction du rapport d’audit et les recommandations

LE CADRAGE DE LA MISSION
40
Les objectifs du cadrage de la mission se présentent comme suit :
 Une délimitation du périmètre d’intervention de l’équipe d’audit

informatique. Cela peut être matérialisé par une lettre de mission, une note
interne, une réunion préalable organisée entre les équipes d’audit financier
et d’audit informatique ;
 Une structure d’approche d’audit et organisation des travaux entre les deux
équipes ;
 Une définition du planning d’intervention ;
 Une définition des modes de fonctionnement et de communication.
 Lors de cette phase, l’auditeur informatique prendra connaissance du
dossier de l’équipe de l’audit financier (stratégie d’audit, rapports d’audit
interne, points d’audit soulevés au cours des précédents audits).
20
2021-11-01
LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE

41
Elle a pour but de comprendre les risques et les contrôles liés aux
systèmes informatiques et;
Elle doit permettre de déterminer comment les systèmes clés
contribuent à la production de l’information.
Elle se fait sur la base de 3 aspects notamment :
1. L’organisation de la fonction informatique
2. Les caractéristiques des systèmes informatiques
3. La cartographie des applications

42
1. L’organisation de la fonction informatique :

 Le mode de gestion et d’organisation de la fonction informatique : il
s’agit notamment de comprendre dans quelle mesure la structure
organisationnelle de la fonction informatique est adaptée aux
objectifs de l’entreprise.
 La stratégie informatique de l’entreprise : il s’agit bien d’un examen

du plan informatique, du comité directeur informatique, des tableaux
de bords etc.
21
2021-11-01

43

44
Alignement stratégique informatique

Le SI étant au cœur de l’entreprise, l’application de la stratégie
revient à adapter chaque sous-système d’information dans chaque
domaine fonctionnel, en tenant compte des stratégies déclinées pour
chaque métier : C’est l’alignement stratégique informatique fondé sur
une stratégie relationnelle.
22
2021-11-01

45
Les niveaux de l‘audit des (SI)

Stratégique Assurer la pertinence du SI, son adéquation aux objectifs de
l‘entreprise, (son alignement à ses stratégies)
Tactique Assurer la qualité des processus mis en œuvre par la fonction
informatique (exploitation quotidienne, développement de
nouvelles applications, évolution du système existant,
préparation de l‘avenir,..)
Opérationnel Assurer la sûreté du fonctionnement quotidien de
l‘informatique

46
2. Les caractéristiques des systèmes informatiques :
L’auditeur devra se focaliser sur les systèmes clés de façon à

identifier les risques et les contrôles y afférents. Ainsi, il faudrait
documenter l’architecture du matériel et du réseau en précisant:
 Les caractéristiques des systèmes hardware utilisés;
 Les caractéristiques des systèmes software.
23
2021-11-01

47
3. La cartographie des applications :

La documentation des applications clés devrait être effectuée de
préférence, conjointement par l’équipe de l’audit financier et celle de
l’audit informatique.
Les auditeurs financiers identifient les comptes significatifs compte

tenu du seuil de matérialité de la mission. Les deux équipes recensent les
processus qui alimentent ces comptes.

48
 Le Schéma Directeur
24
2021-11-01

49
Le Schéma Directeur
 Le Schéma Directeur doit présenter un existant, un point de

départ : l’étude des besoins et la définition de systèmes cibles
devront être faites après un état des lieux. De manière
objective, les forces et faiblesses de l’organisation (sur le plan
informatique) doivent être évoquées durant la phase d’Audit.
 Cette phase débouche sur une représentation « photographique »

du SI existant (architecture
technique, fonctionnelle, organisationnelle) puis sur une définition
de la cible.

50
 Évaluer les risques : Une fois l’univers d’audit défini, l’étape

suivante de la définition du programme d’audit consiste en une
évaluation systématique et uniforme des risques associés à tous les
sujets.
 L’univers du SI : Comme indiqué plus haut, les auditeurs

commenceront par dresser l’inventaire des composantes de
l’environnement informatique afin de déterminer quels domaines du
SI verront leurs risques et contrôles examinés.
25
2021-11-01

EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION
51
 L’IIA (Institute of Internal Auditors) définit le risque comme la «

possibilité que se produise un événement qui aura un impact sur la
réalisation des objectifs. Le risque se mesure en termes de
conséquences et de probabilité ».
 Il est donc absolument crucial que les organisations fassent

périodiquement l'inventaire des risques auxquels elles sont
exposées et qu’elles entreprennent les actions nécessaires pour
maintenir ces risques à un niveau acceptable.

52
 Risque: Evènement susceptible d’entraîner des dommages et/ou des pertes

pour l’entreprise concernée;
 S’exprime en fonction de la menace et de la vulnérabilité;
 Se caractérise par une probabilité et un impact.
 Menace: Tout acte, situation, événement, pouvant être à l'origine de dégâts

ou de dommages sur un bien ou à une personne physique ou morale.
 Vulnérabilité: peut concerner une faille dans:
 Une procédure, un système, le design, l'implémentation d'un contrôle qui
peut être exploitée pour abuser la sécurité ou empêcher d'atteindre les
objectifs de la société;
 Les bâtiments et les locaux, les logiciels et applications, les systèmes,…
26
2021-11-01

53
Hiérarchiser les risques :

On peut mesurer le risque et l’impact suivant trois approches :
 Estimation directe des probabilités et des pertes attendues, ou
application de probabilités à la valeur des actifs afin de déterminer
le niveau potentiel de pertes
 Facteurs de risques ou utilisation de facteurs observables ou
mesurables afin de valoriser un risque spécifique ou une classe de
risques
 Matrices pondérées ou de classification, ou utilisation de matrices «
menaces vs composantes » afin d’évaluer les conséquences et les
contrôles
Une fois ces risques recensés, l’auditeur devra évaluer les contrôles
mis en place par l’entreprise pour gérer ces risques.

54
EXEMPLES : RISQUES D’AFFAIRES … À GÉRER ET/OU IMPACT SUR

L’AUDIT
 Fraudes informatiques
 Pannes
27
2021-11-01

55
Risque: fraudes informatiques

 Détournements de fonds
 Vol d’informations confidentielles
 Piratage, virus ( externe prend le contrôle d’un système…)
 Vol de matériel informatique
Il est essentiel d’instaurer de bons contrôles!

S’il y un risque élevé au niveau des fraudes informatiques, le tout
aura un incidence pour l’auditeur externe sur le plan de la
stratégie qu’il utilisera ainsi que le type et la quantité de
travail qu’il fera.

56
Risque : panne majeure du système

 Arrêt des opérations
 Perte de revenus peut être importante
 Insatisfaction de la clientèle
 Plan d’urgence doit être existant ( à jour, opérationnel et connu de tous)
Il est essentiel d’instaurer de bons contrôles!

Le gestionnaire veut minimiser la fréquence et la durée des pannes.
S’il y un risque élevé au niveau des pannes informatiques, le tout aura
un incidence pour l’auditeur externe sur le plan de la stratégie qu’il
utilisera ainsi que le type et la quantité de travail qu’il fera.
Dépendamment de QUAND la panne est survenue ( saison forte
ou non? et LA PÉRIODE pendant laquelle la panne a durée…)
28
2021-11-01

57
Risque informatique et législation

Il y a seulement quelques années que le législateur s'est inquiété de
l'importance stratégique des systèmes d'information. Il a institué une
obligation de gérer les risques que courent le SI pour 2 motifs :
Pour sa valeur intrinsèque:
 Sarbanes-Oxley Act,
 Bâle II
Pour son rôle d'outil dans l'évaluation financière de l'entreprise et
l'obligation faite désormais au SI de remonter de manière fiable
et rapide toutes les informations permettant l'audit financier de
l'entreprise :
 Bâle II
 IAS / IFRS
 LSF
 Sarbanes-Oxley Act

LES TESTS DES CONTROLES
58
Une fois ces risques recensés, l’auditeur devra évaluer les contrôles
mis en place par l’entreprise pour gérer ces risques.
Les tests des contrôles informatiques peuvent être effectués en

utilisant aussi bien des techniques spécifiques aux environnements
informatisés (contrôles assistés par ordinateurs, revue des codes,
jeux de tests) que des techniques classiques (examen des pièces et
documents)
29
2021-11-01

59
Identification des contrôles

 Contrôles : sont des politiques, des procédures, des pratiques et des
structures organisationnelles désignées pour mettre à disposition une
assurance raisonnable que les objectifs seront atteints et que les
événements non souhaités pourront être prévenus ou détectés et corrigés.

60
L’importance des contrôles

En contexte informatique, l’importance des contrôles est accrue, à la
saisie, à la préparation et à la transmission des données.
Les contrôles assurent entre autres que :

 tout ce qui doit être enregistré l’est
 c’est enregistré correctement
 que toutes les opérations sont autorisées et révisées
 que les données demeurent intégrales lors du traitement
 que les erreurs sont détectées et corrigées…
30
2021-11-01

61
Exemples des contrôles : Entrée des données

 Mise en place de contrôles programmés:
 Validation d’accès (code d’utilisateurs et mots de passe)
 Validation de limite (politique de crédit, de rémunération)
 Validation de logique (qté négative, # document en double, date
inexistante, etc. )
 Validation d’historique, de vraisemblance (commande de 100 unités vs
1000 unités)
 Validation de séquence
 Validation d’intégralité
 Chiffre d’auto contrôle
 Demande de confirmation

62
Entrée des données

 Impacts des validations :
 Refus de la transaction
 Refus catégorique ou autorisation nécessaire.
 Autorisation nécessaire
 Ex : Si la commande dépasse la limite de crédit du client.
 Rapport d’exception
 Attention si personne ne regarde les rapports d’exception
 Rapport d’exception et mise en attente de la transaction
31
2021-11-01

63
Différents contrôles
 Coupe‐feu : pour empêcher les accès non autorisés au réseau

 Système de détection d’intrusion : au cas où quelqu’un réussirait
tout de même à pénétrer notre réseau.
 Antivirus : pour empêcher les indésirables de faire des dommages
à nos ordinateurs, réseaux, fichiers… DOIT ÊTRE À JOUR
 Encryptage : pour coder l’information lors d’un transfert et ainsi
éviter que des personnes non autorisées puissent lire le contenu.
 Validations : relatives aux entrées de données… Afin de s’assurer
de réduire au maximum les erreurs et omissions lors de l’entrée des
données.
 Etc.

64
Exemples de contrôles programmés

 Contrôles de validation (accès, limite, logique, historique...)
 Contrôles de séquence : assure que les données suivent un ordre
numérique, alphabétique, chronologique ou autre.
 Contrôles d’intégralité : une transaction ne peut être acceptée si elle est
incomplète.
 Contrôles de logique : assure que les enregistrements ne contiennent pas
d’éléments d’information incompatibles
 Ex : validation de l’âge ou du sexe de la personne vs sa demande…
 Chiffre d’autocontrôle : assure l’authenticité de certains numéros.
 Demande de confirmation d’information avant acceptation : l’ordinateur
demande automatiquement de reconfirmer les informations avant de
pouvoir poursuivre…
32
2021-11-01

65
TYPES DE PROBLÈMES (FAIBLESSES) FRÉQUENTS
 Personnel
 Documentation
 Sauvegarde

66
Problèmes reliés aux opérations

Problèmes reliés aux opérations
Supporte techniquement les usagers, installe les nouveaux
Opérateur logiciels, fait le suivi des sauvegardes. L’opérateur ne peut
pas modifier les programmes, il ne fait que les utiliser. Doit
être présent tant qu’il y a des usagers.
Programmeur Développe et teste les systèmes en fonction des instructions

de l’analyste.
Analyste Analyse les besoins d’affaire, la capacité du système, le
développement nécessaire, etc. L’analyste conçoit les logiciels
en fonction des besoins des usagers.
33
2021-11-01

67
Problèmes reliés au personnel

 Personnel SI débordé, non disponible
 Personnel SI incompétent
 Personnel SI insuffisant
 Personnel ne respecte pas les consignes reliées aux SI
 Employés ne connaissent pas le système ( manque de formation)
 Employés font de nombreuses erreurs
 Réticence au changement
IMPORTANT : Tous ces problèmes doivent être gérés à l’interne et

ces situations auront aussi un impact sur l’audit (risques,
procédures)

68
Problèmes reliés à la documentation

 Documentation absente
 Documentation pas à jour ( attention si changement de système,
expansion de l’entreprise…)
 Documentation incomprise car non adaptée aux besoins des
utilisateurs concernés
 Documentation disponible pour le personnel non concerné par celle-
ci
Documentation sur:
 Programmes, matériel ( équipe technique)
 Opération du système
 Utilisation du système par l’usager de base
ATTENTION : QUI DÉVELOPPE LA DOCUMENTATION?
Il faut limiter l’accès à la documentation aux personnes concernées
34
2021-11-01

69
Problèmes reliées aux données (saisie et traitement)

 Cela peut engendrer des erreurs dans l’information pour la prise de
décision
 Quantité de travail pour corriger les erreurs peut être élevée et le
tout peut être coûteux…
 Du point de vue de l’audit, le tout augmentera la quantité de tests à
faire
 Exemples:
 Manquer de stock
 Payer un employé en trop
 Vendre un produit au mauvais prix
 Vendre à un client qui a dépassé sa limite

70
Problèmes reliés aux sauvegardes

 Absence de sauvegarde
 Sauvegardes pas assez fréquentes
 Sauvegardes conservées dans un endroit non sécuritaire
 Sauvegardes conservées à l’intérieur de l’entreprise
IMPORTANT: QUI FAIT LES SAUVEGARDES? QUAND? ET

COMMENT?+ CONSERVATION DE CELLES-CI
35
2021-11-01

LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS
71
La rédaction du rapport d'audit est un long travail qui permet de

mettre en avant des constatations faites par l'auditeur et les
recommandations qu'il propose.
La présentation et la discussion du rapport d'audit au demandeur

d'audit, au management de l'entreprise ou au management de la
fonction informatique.

72
Clés de succès de la mission d’audit

La réussite de la mission sur le point fonctionnel dépend de trois
points fondamentaux:
 La volonté et le soutien de la direction: celle-ci doit être
ouverte à toutes les suggestions et recommandations émises.
 Le profil et la qualité personnelle et professionnelle de
l’auditeur: ce dernier doit avoir les compétences requises pour
effectuer cette tâche d’audit.
 L’adhésion de tout le personnel de l’entreprise: tous le
personnel doit participer à l’élaboration du système de contrôle.
En effet, l’auditeur n’a pas toutes les informations spécifiques à
l’ensemble de l’activité de l’entreprise.
36
2021-11-01

73
Déontologie de l’audit des systèmes d’information
 Par Déontologie de l’audit informatique est l’ensemble des

règles et des devoirs qui régissent une profession, la
conduite de ceux qui l’exercent, les rapports entre ceux-ci
et leurs clients privé ou public.

74
L’auditeur doit obéir une déontologie certaine. C’est ainsi qu’il doit :
 S’interdire de cumuler audit et conseil, sur une même question;
 Garantir, même implicitement par une simple acceptation d’une

tâche, qu’il a, par lui-même ou grâce à une équipe sur laquelle il peut
compter, les compétences nécessaires;
37
2021-11-01

75
 S’intéresser au système d’information dans son ensemble,
 Fournir des conclusions motivées, utiles, sur l’objet et l’aspect, ainsi

que la période de temps qui a dû être considérée, qui ont été les
éléments de sa mission.
 L’audit informatique qui suggère une quantification des faits est

inacceptables sauf éventuellement dans un contexte précis, et dans
le délai imparti et accepté.
Différent thèmes à analyser sur un audit des SI

76

1 Organisation informatique et des systèmes d’information
2 Réseaux et moyens de communication;
3 Sécurité physique de données;
4 Accès aux données et aux systèmes (logique);
5 Infrastructures et applications;
6 Sauvegarde;
7 Documentation et archivage;
8 Maintenance et suivi du parc informatique;
9 Gestion des incidents;
10 Développement et gestion des changements;
11 Plan de continuité
38
2021-11-01

Thème 1 : Organisation informatique et des systèmes d’information
77
Organisation informatique et des systèmes d’information

Connaître et apprécier:
 La structure organisationnelle chargée des systèmes
d’informations et ses composantes (entités effectifs,
Objectifs: équipements et ressources),
 Les missions, objectifs; finalités de la structure en charge
de l’informatique et des systèmes d’information,
 La conformité aux exigences légales,
 L’organigramme de la structure en charge de l’informatique
et des systèmes d’information,
Documentation  Les fiches de fonction des différents responsables
requise rattachés à la structure en charge de l’informatique et des
systèmes d’information,
 Les objectifs, politiques et orientations en matière de
systèmes d’information,
Les personnes  Les responsables informatiques et du système d’information,
à rencontrer  Les hautes instances de l’organisation,

Thème 2 : Réseaux et moyens de communication
78
Réseaux et moyens de communication

 L’architecture réseaux,
Objectifs  Les moyens de communication,
 Les interconnexions,
 L’infrastructure physique de télé communication,
 Les équipements de sécurité,
 Le schéma réseaux,
Documentation  Les contrats des providers et de maintenance,
requise  Configuration des équipements réseaux,
 Configuration serveurs réseaux (firewall, proxy, …)
 Les responsables réseaux,
Les personnes à  Les responsables sécurité,
rencontrer  Les responsables téléphonie (terminaux, pabx,...)
 Les responsables régionaux,
39
2021-11-01

Thème 3 : Sécurité physique des données
79
Sécurité physique des données

 Moyens de sécurité en oeuvre,
Objectifs  Moyen de détection,
 Moyens de notification,
 Sécurité des salles machines
 Sécurité des équipements critiques
 Liste des «dispositives» de sécurité,
 Le schéma réseaux,
Documentation  Liste des accès aux salles,
 Contrats de surveillance/gardinage,
requise
 Politique de sécurité,
 Charte informatique,
Les personnes à  Les responsables informatique
rencontrer  Les responsables sécurité,
 Les responsable Contrôle interne ou audit interne,

Thème 4 : Accès aux données et aux systèmes
80
Accès aux données et aux systèmes

Objectifs:  Adaptation des comptes aux profiles,
 Revue ou audit des comptes,
 Niveau de sécurité des applications,
 Liste des groupes et des profiles,
Documentation  Liste des accès,
requise  Politique de sécurité,
 Charte informatique,
 Rapport audit de la sécurité actualisé,
Les personnes  Les responsables informatique
à rencontrer  Les responsables sécurité,
 Les responsable Contrôle interne ou audit interne,
40
2021-11-01

Thème 5 : Infrastructures et applications
81
Infrastructures et applications
 Service rendu par les serveurs d’infrastructure,
Objectifs:  Niveau de sécurité des services,
 Adaptation au métier de l’entreprise,
 Adaptation aux orientations informatiques,
 Liste des serveurs,
Documentation  Liste des services,
requise  Politique de sécurité,
 Configurations,
 Super positions des services,
Les personnes
à rencontrer  Les responsables informatique (management,
déploiement, installation, helpdesk,…)

Thème 6: sauvegarde
82
sauvegarde
 Méthodes mise en œuvre,
Objectifs:  La gestion des sauvegardes,
 Planning des sauvegardes,

Documentation  Liste des sauvegarde,
requise  Fiches des sauvegardes, des restauration et des
tests,
 Procédure de gestion des incidents,
Les personnes
à rencontrer  Les responsables de la fonction informatique
41
2021-11-01

Thème 7 : documentation et archivage
83
documentation et archivage
 Gestion de la documentation,
Objectifs:  Gestion de l’archivage,
 Moyens de partage des connaissances,
 Sécurité des accès,
 Confidentialité des données (niveaux de sécurité),
 Procédure de gestion des documents,
Documentation  Procédure d’archivage,
requise  Echantillon représentatives des documents,
 Echantillon représentatives des archives,
Les personnes

Thème 8 : maintenance et suivi du parc informatique
84
maintenance et suivi du parc informatique

 Évaluer la qualité de la maintenance et du suivi informatiques,
Objectifs:  S’assurer de la bonne utilisation du système d’information en
général, des équipements et applications informatiques en
particulier,
 Mesurer le degré de satisfaction des utilisateurs.
 Les procédures internes de maintenance,
Documentation  Les rapports de maintenance,
requise  Les acquisitions,
 Les réclamations des utilisateurs,
 Les contrats de maintenance,
 Les résultats des enquêtes de satisfaction des utilisateurs.
 Les responsables informatiques et systèmes d’information de
Les personnes à l’organisation auditée,
rencontrer  Les hautes instances de direction,
 Un échantillon représentatif des utilisateurs et gestionnaires
concernés par l’informatique et les systèmes d’information.
42
2021-11-01

Thème 9 : gestion des incidents
85
Gestion des incidents

Objectifs:  La gestion des incidents,
Documentation requise  Liste des incidents

 Procédure de gestion des incidents
Les personnes à rencontrer  Les responsables helpdesk,

Thème 10 : développement et gestion des changements
86
Développement et gestion des changements

 La gestion des projets informatiques,
Objectifs:  Tests, validation et mise en production,
 Evolutions et paramétrage,
 Gestion des changements,
 Liste des projets informatiques,
Documentation  Liste des évolutions,
requise  Procédure de gestion des projets,
 Procédure de gestion des changements,
Les personnes
43
2021-11-01

Thème 11 : Plan de continuité
87
Plan de continuité
 Évaluer les mesure en œuvre pour assurer la continuité des
Objectifs: services,
 Analyser les Services Level Agreement (SLA),
 Evaluer les plans de reprise en cas d’incident majeur,
Documentation
requise  Procédure plan de continuité,
Les personnes
à rencontrer  Les responsables de la fonction informatique,
Merci de
votre
attention
88 Des questions?
44

Audit Des SI

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Des SI

Transféré par

Droits d'auteur :

Formats disponibles

2021-11-01

Université Sidi Mohamed Ben Abdellah 1

AUDIT DES SYSTÈMES D’INFORMATION

Préparé par TAOUFIK EL BOUZEKRI EL IDRISSI

« Il y a peu de différence entre un homme et un

William James. Philosophe,

Les principaux objectifs de ce cours sont d'amener les étudiants à :

 Comprendre le vocabulaire et les concepts de base associés à l’ audit des SI

 Aperçu sur la genèse de la pratique d’audit

Aperçu sur la genèse de la pratique d’audit

Audit : Définition et origines

Le besoin d’établissement d’une information objective entre les partenaires

•Premier cabinet d'audit fut fondé au 19ème siècle à Londres;

Aperçu sur la genèse de la pratique d’audit

Audit : Définition et origines (suite)

Un audit est un processus permanent ou ponctuel, par lequel une

Aperçu sur la genèse de la pratique d’audit

Aperçu sur la genèse de la pratique d’audit

 Le terme contrôle est fréquemment associé à celui d'audit; la différence

 L'audit englobe ainsi l'ensemble des procédures et techniques de contrôle

Aperçu sur la genèse de la pratique d’audit

L’audit : Pour qui? Et Pourquoi?

Aperçu sur la genèse de la pratique d’audit

Aperçu sur la genèse de la pratique d’audit

Selon quelle démarche et avec quels outils ?

 Un besoin clairement exprimé

Aperçu sur la genèse de la pratique d’audit

Les objectifs de l’audit

Economie Les ressources pour mise en œuvre des politiques de la DG :

Sécurité Les ressources pour mise en œuvre des politiques de la DG

L'audit des systèmes d'information

 L’audit du système d’information

L'audit des systèmes d'information

 Il existe de nombreux systèmes : système nerveux, philosophique, politique,

L'audit des systèmes d'information

 Etymologiquement, l’information est donc ce qui donne forme à

L'audit des systèmes d'information

 Un système d’information est un ensemble organisé de ressources

 Reix et Rowe (2002, page 11) : « Un système d’information est un

Le système d'information d’une organisation

 Le système d'information d’une organisation est un ensemble de

 Elles permettent également aux autres utilisateurs de contribuer au

Schéma d’un système d’information

L'audit des systèmes d'information

L'audit des systèmes d'information : Définition

L’audit informatique (aussi appelé « audit des systèmes d’information

 d’analyser tout ou une partie d’une organisation informatique,

L'audit des systèmes d'information

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI)

3. Appréciation du contrôle interne

L'audit des systèmes d'information

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)

1. Activité d’évaluation indépendante

L'audit des systèmes d'information

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)

2. Activité d’assistance du management

L'audit des systèmes d'information

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)

3. Encourager un contrôle efficace

L'audit des systèmes d'information

Les demandeurs d'un audit de l'activité informatique

Les demandeurs d'un audit de l'activité informatique

La direction de l'entreprise Pour vérifier le respect des orientations