L'Audit Des Systemes D'Information

L'AUDIT DES SYSTEMES D'INFORMATION
ESCI - Bourg en Bresse

(2005 – 2006)
Audit des Système d'Information - P2 1

Plan d'ensemble Audit des Systèmes d'Information
GENERALITES SUR L'AUDIT Î
AUDIT FONCTIONNEL OU D'APPLICATION Î
AUDIT DES FONCTIONS INFORMATIQUES Î

Généralités sur l'audit
Généralités
Généralitéssur
sur
l'Audit
l'Audit

Qu’est-ce que l’audit des systèmes d’information ?
Deux domaines principaux
La fonction Le système
informatique d’information
Audit d’une fonction Audit du support

technique du système Audit
- de la Direction Informatique
(ex : études, exploitation, système, d’information Analyse d’une application,
management ...) globale d’un projet ou
- “autour” de l’informatique (ex : architecture matérielle, d’un système
(ex : coordination informatique, assurances, logiciel, réseau)
micro-informatique)

Typologie des travaux d’audit des systèmes
d’information
Les missions d’audit des systèmes d’information sont principalement

caractérisées par :
• Leur nature.
• Les objectifs.
• Le degré d’approfondissement des travaux
• Leur caractère ponctuel ou permanent.

Deux orientations principales
Réalisation de missions
Support de missions
spécifiques d’audit des
audit/inspection “classiques”
systèmes d’information
Audit des aspects Utilisation de

Sur la fonction Sur le système
informatiques du techniques
informatique d’information
domaine étudié automatisées d’audit
Dépendance vis-à-vis du programme Programme d’intervention

d’intervention de l’audit/inspection spécifique
à l’audit informatique

Deux catégories d’objectifs
La sécurité L’efficience
Des systèmes : Des opérations : Efficacité

Evolutivité
Exhaustivité
Disponibilité Maîtrise des coûts
Validité
Intégrité
Comptabilisation
Confidentialité
Séparation des exercices
Evaluation
Présentation
De l’audit de sécurité / contrôle interne à l’audit OPERATIONNEL

Les caractéristiques de la démarche
Progressive
• Différents objectifs successifs
Modulaire
• Application en tout ou partie
Universelle
• Tous les domaines potentiellement concernés par l’audit
Opérationnelle
• Orientée vers la proposition de solutions concrètes

Fonctionnels
Contrôle Interne / Sécurité
Organisationnels
En résumé
Adéquation
aux besoins
Efficience / maîtrise des coûts
Audit des Système d'Information - P2

IAS
Contrôles des comptabilités informatisées

Conformité aux
contraintes externes
Environnement français
Audit et analyse de risques
Politique de sécurité
AUDIT INTERNE
Aspects contractuels
Sensibilisation / formation
SYSTEME D’INFORMATION
ARCHITECTURE TECHNIQUE
d’information
Outils et pilotage / tableaux de bord

Sécurité des systèmes
Mise en oeuvre de solutions (plan de

continuité, sécurité logique)
ORGANISATION DE LA FONCTION INFORMATIQUE
Contrôle interne / sécurité dans les projets
Assistance maîtrise d’ouvrage (contrôle

interne, sécurité)
projets
Qualité des
Assistance au processus de recette

9
L’audit d’application
Audit
Auditfonctionnel
fonctionnel
(ou
(oud'application)
d'application)

Sommaire Audit d'Application
Les systèmes d’information Î
La démarche d’audit d’une application Î

LES
LESSYSTEMES
SYSTEMES
D’INFORMATION
D’INFORMATION

Le système d’information dans l’entreprise
Flux physiques Flux d’information
usine
Système d’information
Flux physiques
Flux d’information
Industrialiser le
Industrialiser
traitement de
la production
l’information

Le système d’information dans l’entreprise
Gestion de production
Référencement - Nomenclatures Gestion de la force de vente
- Programme de production
fournisseurs/produits - Ordonnanement lancement / réseau de distribution
F
I
Gestion et valorisation des stocks Gestion F
C Gestion des achats I
H commerciale
C
I
H
E
FICHIER PRODUITS / TARIFS I
R
E
R
F
O Comptabilité auxiliaire
Facturation C
U fournisseurs Comptabilité L
R
- Générale I
N
- Analytique E
I
- Budgétaire N
S Gestion des Comptabilité auxiliaire T
S
E immobilisations clients / Recouvrements S
U
R Reporting Reporting
S Paie comptable Consolidation comptable Trésorerie
fiscal maison mère
STATISTIQUES / TABLEAUX DE BORD BANQUES

Les enseignements du système d’information (1/4)
Évaluation de l’architecture du système d’information
• Degré d’informatisation des processus
• Degré d’intégration des traitements
• Structuration des données (ex : unicité de la base clients)
• Cohérence des informations comptables, réglementaires et de

gestion
• Part des traitements micro-informatiques
• Part des traitements externes

Évaluation de la cohérence avec les objectifs de l’organisation
• Politique générale
• Schéma directeur
• Directives du Groupe
• Évolution des activités
• Évolutions du contexte institutionnel, légal, réglementaire
• Évolution technologique

La délimitation des domaines applicatifs : champ de l’audit
• Applications de collecte des opérations (saisie, supports

magnétiques, vidéotex...)
• Applications de traitement des opérations (gestion administrative,

comptabilité)
• Applications de restitution/diffusion des résultats (routage...)
• Gestion des données permanentes (base clients, produits)
• Applications “techniques” (interpréteur, interface de transmission

de fichiers, gestion de la confidentialité...)

La délimitation des domaines auditables
• Par activité ou processus (de l’initiation d’une catégorie

d’opérations à la comptabilisation)
• Par direction / service
• Par entité géographique
• Par environnement technique
• Définition des enjeux et des priorités
• Organisation des travaux d’audit

LA
LADEMARCHE
DEMARCHED’AUDIT
D’AUDIT
D’UNE
D’UNEAPPLICATION
APPLICATION

Présentation de la démarche
Qui peut m’aider ?

Qu’est-ce que
Est-ce légal ?
c’est ?
A quoi ça sert ?
APPLICATION 1
Est-ce que c’est

sûr ?
Est-ce que c’est APPLICATION 2
facile à utiliser ?
Comment est-ce
Est-ce que arrivé là ?
ça marche ? Combien ça
coûte ?

Présentation de la démarche
• Etapes de la démarche
• Prise de connaissance
• Evaluation des enjeux
• Evaluation fonctionnelle
• Evaluation technique
• Evaluation financière
• Evaluation de la conduite de projet
• Evaluation de la sécurité et des contrôles internes des
traitements
• Evaluation du support aux utilisateurs

Présentation de la démarche : prise de connaissance
Interlocuteurs
• Direction utilisatrice / Responsable service utilisateur
• Chef de projet études informatiques
Points clés à examiner
• Structures (connaissance de l’activité, équipe, historique, plate-

forme technologique...)
• Modes opératoires (procédures manuelles et automatisées,

règles de gestion...)
• Sécurité

Présentation de la démarche : évaluation des enjeux
Interlocuteurs
• Direction Générale
• Direction utilisatrice
• Direction informatique
• Importance du domaine applicatif pour l’organisation
• Impact potentiel de la concrétisation d’un risque grave

Présentation de la démarche : évaluation fonctionnelle
Interlocuteurs
• Direction utilisatrice / Responsable du service utilisateur
• Autres utilisateurs : tiers (réclamations), direction comptable,

contrôle de gestion, audit interne
• Adéquation fonctionnelle / État de l’art
• Adéquation fonctionnelle / Besoins utilisateurs
• Évolutivité fonctionnelle

Présentation de la démarche : évaluation technique
Interlocuteurs
• Responsable exploitation informatique
• Direction utilisatrice / Responsable du service utilisateur
• Évolutivité technique
• Qualité des résultats fournis / Normes de service
• Performance de l’outil
• Niveaux et taux de service

Présentation de la démarche : évaluation financière
Interlocuteurs
• Responsable du suivi des coûts informatiques
• Responsable du service utilisateur
• Contrôle de gestion
• Rentabilité de l’application
• Adéquation des modalités de refacturation des coûts aux

utilisateurs (le cas échéant)

Présentation de la démarche : évaluation de la conduite
de projet
Interlocuteurs
• Direction Générale, utilisatrice et informatique
• Autres membres de l’équipe de projet
• Pertinence des normes, procédures et outils de conduite de

projet mis en oeuvre
• Participation de toutes les personnes clés à la conduite du projet

Présentation de la démarche : évaluation de la sécurité et
du contrôle interne des traitements
Interlocuteurs
• Responsable de la sécurité informatique
• Correcte mise en oeuvre des contrôles généraux informatiques

dans le domaine applicatif concerné
• Mise en oeuvre de l’approche par les risques sur les principaux

processus et traitements

Présentation de la démarche : évaluation du support aux
utilisateurs
Interlocuteurs
• Responsables du support utilisateur au sein de la Direction

Informatique
• Qualité de l’aide documentaire disponible (manuels, en ligne)
• Support fonctionnel
• Support technique
• Qualité de l’assistance fournie en cas d’incidents

L’audit de fonctions informatiques
Audit
Auditdes
desFonctions
Fonctions
Informatiques
Informatiques

Sommaire Audit des Fonctions Informatiques
Sécurité des systèmes d’information Î
Procédures d’exploitation Î

SECURITE
SECURITEDES
DES
SYSTEMES
SYSTEMES
D’INFORMATION
D’INFORMATION

2000 2001 2002
45%
57%
62%
26% 24%
31%
24%
17% 14%
Accidents Erreurs Malveillance
Source : CLUSIF

Volontaire : E
M H Volontaire :
malveillance N M
E
U malveillance vol
V
I
E
M vol sabotage I
N A sabotage détournements de
R
N N
O
A
I vol d’information ressources N T
E
A
N copie illicite DISPONIBILITE INTEGRITE N
C E E R C
N
Involontaire : M
E
S DISSUASION PREVENTION
destruction du E E E
S Involontaire : matériel par erreur
N
T
S
Biens matériels
erreur d’exploitation équipements
réseaux
erreur d’utilisation Panne :
Biens
locaux
dysfonctionnement
P
Ressources
L N
immatériels
logiciels
humaines
matériel E H
O
données
N
O N
Panne :
procédures
V Y
I
G dysfonctionnement Accidents :
R E S
H logiciel incendie X
I U
DETECTION PROTECTION inondation
O
N T I
orage, foudre E
Q M CONFIDENTIALITE avalanche
N
E R Q
A
U I
Accident : pollution, vibrations M N
E
U
E
N incendie entraînant perturbations E
E E l’altération des électriques ou
N
T
S S ressources électromagnétiques S

Audit de l’organisation de la sécurité
Objectifs :
• s’assurer que la sécurité du système d’information est une

préoccupation permanente de la direction de l’entreprise et que
dans ce cadre, il existe une politique, formellement définie au
niveau de l’entreprise, connue de tous les acteurs et appliquée
• vérifier que l’organisation mise en place permet d’appliquer de

façon efficace les orientations fixées par la direction
Approche d’audit :
• appréciation de la politique de l’entreprise
• appréciation de l’organisation générale
• contrôle de l’organisation opérationnelle
• contrôle de l’existence des procédures

Schéma directeur sécurité
SCHEMA
SCHEMADIRECTEUR
DIRECTEURSECURITE
SECURITE
Document
Documentde
dedécision
décisionet
etd'orientation
d'orientationpour
pourla
la
Direction
DirectionGénérale
Généraleet
etles
lesprincipales
principalesdirections
directionsconcernées
concernées
Proposition
Proposition
Analyse
Analyseetet Analyse
Analyseetet cohérente
cohérenteetet Prévision
Prévisiondede
hiérarchisation
hiérarchisation hiérarchisation
hiérarchisation adéquate
adéquatedede résultats
résultats
des
desenjeux
enjeux desdesvulnérabilités
vulnérabilités moyens
moyensdede
sécurité
sécurité

Exemple de contenu d'un schéma directeur sécurité (1/2)
Notions générales et domaine d'application
Contrôle des accès
Personnel
Matériel
Service technique
Logiciel de base
Développement du système

Exemple de contenu d'un schéma directeur sécurité (2/2)
Logiciels d'application
Sécurité des données
Traitement automatique des données
Protection contre les risques naturels
Stockage externe
Solution de secours
Assurances

Contenu-type d'un tableau de bord de sécurité informatique
SECURITE
SECURITEGENERALE
GENERALE
Suivi
Suividu
duschéma
schémadirecteur
directeursécurité,
sécurité,des
desactions
actionsde
desécurité
sécurité
Suivi
Suivide
del'évolution
l'évolutiondes
desrisques
risquesliés
liésààlalastructure
structuredu
dupersonnel
personnel
SECURITE PHYSIQUE
SECURITE PHYSIQUE
Nombre d'accès (création de badges), de vols et fraudes, ...
Nombre d'accès (création de badges), de vols et fraudes, ...
Disponibilité
Disponibilitédes
desmatériels,
matériels,interruptions,
interruptions,durée
duréede
demaintien
maintien
TABLEAU
TABLEAU SECURITE
DE SECURITELOGIQUE
LOGIQUE
DEBORD
BORD
SECURITE Gestion
Gestiondu
dulogiciel
logicielde
decontrôle
contrôle(création
(création/ /suppression
suppressiondes
desidentifiants,
identifiants,...)
...)
SECURITE
FIABILITE
FIABILITEDU
DUS.I.
S.I.
Nombre
Nombred'anomalies
d'anomaliespar
paractivité,
activité,respect
respectdu
duplanning,
planning,
Maintenance
Maintenance (nombre et durée des dépannages,...)
(nombre et durée des dépannages, ...)
CONTROLE
CONTROLE
Nombre
Nombrede
deréclamations
réclamations
Nombre
Nombrede
demots
motsde
depasse
passerefusés,
refusés,nombre
nombrede
dedéconnexions,
déconnexions,......

Points à examiner (1/2)
Existence d'une fonction dédiée à l'administration de la sécurité

informatique
Position de la fonction d'administration de la sécurité informatique

dans l'organisation (rattachement au responsable de la sécurité
générale ?)
Indépendance de la fonction sécurité par rapport aux opérationnels et

par rapport à la DSI (rattachement de la fonction sécurité
informatique au responsable de la sécurité générale ?)
Qualification du responsable de la sécurité informatique

Points à examiner (2/2)
Existence d'une stratégie claire en matière de sécurité informatique

(déclinaison du schéma directeur informatique en schéma directeur
sécurité)
Cohérence de la sécurité informatique par rapport au plan de sécurité

générale
Existence d'outils de mesure du niveau de sécurité (tableaux de bord,

audits périodiques)
Existence d'un reporting sécurité à la Direction Générale,

effectivement pris en compte

La sécurité physique
Analyse critique de la sécurité des sites informatiques
Analyse critique des procédures de sauvegarde

Analyse critique de la sécurité des sites informatiques
Identification
Identificationdes
des Identification
Identificationdes
des Recensements
Recensementsdes
des Evaluation
Evaluationforces
forces/ /
sites à protéger
sites à protéger menaces
menaces mesures de protection
mesures de protection faiblesses
faiblesses
Salle machine Liées à l’environnement Sécurité des accès Adéquation mesures de

général (proximité de sites physiques protection / menaces
Locaux techniques
potentiellement
¾climatisation Incendie Fréquence et qualité des
dangereux)
¾secours électrique tests et mesures de
Dégâts des eaux
¾autocommutateur Liées à l’agencement des protection
¾têtes de lignes locaux (canalisations Alimentation électrique
Nature et ampleur des
réseau souterraines, passages de
Environnement adéquat menaces non couvertes
lignes électriques)
Locaux informatiques
¾salle console Liées au facteur humain
système (grève, émeute, sabotage)
¾bureaux exploitation
Accidentelles (incendie,
¾bureaux d’étude
dégâts des eaux)
Locaux d’archive
Catastrophes naturelles
¾bandothèque
¾documentation
études / exploitation
Locaux informatiques
répartis (informatique de
production /
départementale)

Analyse critique de la sécurité des sites informatiques (1/3)
Accès physiques
• Pour les locaux informatiques
• emplacement du site et des locaux
• protection physique des accès (blindage, etc...)
• contrôle des accès du personnel (badge, code d’accès, ...)
• système de surveillance
• Pour les accès physiques aux terminaux répartis
• installations de systèmes de clés physiques, de fixation, ...

Analyse critique de la gestion de la sécurité logique (2/3)
Stratégie de sécurité logique :
• l’identification des ressources et des données à protéger
• la classification de celles-ci
• l’appréhension des risques
• l’identification et le suivi des utilisateurs
• la mise en place du système de protection des accès
• le suivi de l’utilisation des outils

Analyse critique de la sécurité des sites informatiques (3/3)
Régulation de l’alimentation électrique
• onduleur
• groupe électrogène
Maintien d’un environnement adéquat
• température
• hygrométrie
• filtrage de l’air
• climatisation de secours

Analyse critique des procédures de sauvegarde
• Ressources sauvegardées incomplètes
• Périodicité des sauvegardes trop espacées
• Lieu de stockage non protégé
• Procédures de sauvegardes / restauration non formalisées et non

testées
• Sauvegardes non fiables

PROCEDURES
PROCEDURES
D’EXPLOITATION
D’EXPLOITATION

Attribution des responsabilités (3/3)
Le propriétaire de l’application doit :
• s’assurer que l’ensemble des éléments nécessaires au transfert

est effectivement rempli
• s’assurer que les différentes revues relatives à la sécurité, à la

protection des données ont été réalisées, que leurs résultats ont
été formalisés et qu’elles ont été transmises au responsable du
projet
• valider et établir le contrat de service final entre les utilisateurs,

les études et la production

Domaine système : enjeux
Démarche
Démarche
Examen
Examendes Examen
des Examendu dudispositif
dispositif
procédures
procédures duservice
du de
service de protectiondes
protection des
système
système logiciels de base
logiciels de base
Procédures formalisées Gestion des logiciels de Maintenance des systèmes :

base (système et réseau)
Séparation des fonctions ¾changement de système
Gestion des incidents ¾nouvelles versions
Documentation
¾changement de matériels
Réalisation de
Supervision des travaux
développements Initialisation du système :
spécifiques
¾arrêt machine
¾maintenance matériel
¾maintenance logiciels de base
Maintenance des logiciels de base :
Protection des données
¾ajout de nouvelles fonctions
Protection des programmes
¾modification de paramètres
Journalisation ¾correction d'anomalies spécifiques

L'Audit Des Systemes D'Information

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

L'Audit Des Systemes D'Information

Transféré par

Droits d'auteur :

Formats disponibles

L'AUDIT DES SYSTEMES D'INFORMATION

ESCI - Bourg en Bresse

Audit des Système d'Information - P2 1

 GENERALITES SUR L'AUDIT Î

 AUDIT FONCTIONNEL OU D'APPLICATION Î

 AUDIT DES FONCTIONS INFORMATIQUES Î

Audit des Système d'Information - P2 2

Audit des Système d'Information - P2 3

Deux domaines principaux

Audit d’une fonction Audit du support

Audit des Système d'Information - P2 4

 Les missions d’audit des systèmes d’information sont principalement

• Le degré d’approfondissement des travaux

• Leur caractère ponctuel ou permanent.

Audit des Système d'Information - P2 5

Deux orientations principales

Audit des aspects Utilisation de

Dépendance vis-à-vis du programme Programme d’intervention

Audit des Système d'Information - P2 6

Deux catégories d’objectifs

Des systèmes : Des opérations : Efficacité

De l’audit de sécurité / contrôle interne à l’audit OPERATIONNEL

Audit des Système d'Information - P2 7

• Différents objectifs successifs

• Application en tout ou partie

• Tous les domaines potentiellement concernés par l’audit

• Orientée vers la proposition de solutions concrètes

Audit des Système d'Information - P2 8

Contrôle Interne / Sécurité

Efficience / maîtrise des coûts

Audit des Système d'Information - P2

Contrôles des comptabilités informatisées

Audit et analyse de risques

Outils et pilotage / tableaux de bord

Mise en oeuvre de solutions (plan de

Contrôle interne / sécurité dans les projets

Assistance maîtrise d’ouvrage (contrôle

Assistance au processus de recette

Audit des Système d'Information - P2 10

 Les systèmes d’information Î

 La démarche d’audit d’une application Î

Audit des Système d'Information - P2 11

Audit des Système d'Information - P2 12

Flux physiques Flux d’information

Audit des Système d'Information - P2 13

STATISTIQUES / TABLEAUX DE BORD BANQUES

Audit des Système d'Information - P2 14

 Évaluation de l’architecture du système d’information

• Degré d’informatisation des processus

• Degré d’intégration des traitements

• Structuration des données (ex : unicité de la base clients)

• Cohérence des informations comptables, réglementaires et de

• Part des traitements micro-informatiques

• Part des traitements externes

Audit des Système d'Information - P2 15

 Évaluation de la cohérence avec les objectifs de l’organisation

• Évolution des activités

• Évolutions du contexte institutionnel, légal, réglementaire

Audit des Système d'Information - P2 16

 La délimitation des domaines applicatifs : champ de l’audit

• Applications de collecte des opérations (saisie, supports

• Applications de traitement des opérations (gestion administrative,

• Applications de restitution/diffusion des résultats (routage...)

GENERALITES SUR L'AUDIT Î

AUDIT FONCTIONNEL OU D'APPLICATION Î

AUDIT DES FONCTIONS INFORMATIQUES Î

Les missions d’audit des systèmes d’information sont principalement

Les systèmes d’information Î

La démarche d’audit d’une application Î

Évaluation de l’architecture du système d’information

Évaluation de la cohérence avec les objectifs de l’organisation

La délimitation des domaines applicatifs : champ de l’audit

La délimitation des domaines auditables

Points clés à examiner

Points clés à examiner

Points clés à examiner

Points clés à examiner

Points clés à examiner

Points clés à examiner

Points clés à examiner

Points clés à examiner

Sécurité des systèmes d’information Î