UNIVERSITE ALASSANE OUATTARA

UFR SCIENCES ECONOMIQUES ET DEVELOPPEMENT (SED)

DEPARTEMENT DES SCIENCES DE GESTION

SYLLABUS

AUDIT DES RISQUES DES SYSTÈMES

D’INFORMATION

MASTER II PROFESSIONNEL
COMPTABILITÉ AUDIT ET CONTRÔLE

Chargé de Cours :

Dr. Renaud GANDAHO (PhD Communication des Organisations)

Enseignant-Chercheur à l'Institut National de la Jeunesse et des Sports (INJS)
Auteur-concepteur du « Management à l’Ivoirienne »

Année académique : 2021-2022

 OBJECTIFS DU COURS

L’objectif principal de ce cours est de doter l’étudiant(e) des outils de maîtrise et de pilotage
de la sécurité des Systèmes d’Information.

D’un autre côté, les objectifs spécifiques de cet enseignement sont:

• Faire connaître à l’étudiant(e) le rôle et le fonctionnement des Systèmes d’Information

dans l’organisation ;
• Révéler à l’étudiant(e) les risques pouvant affecter l’efficacité des Systèmes
d’Information ;
• Apprendre à l’étudiant(e) les étapes pour auditer les Systèmes d’Information.

PLAN DU COURS

INTRODUCTION

I. CONCEPTION ET GOUVERNANCE DES SYSTEMES D’INFORMATION

I.1. Le Management des Projets Système d’Information

I.2. La Gouvernance des Systèmes d’Information

II. GESTION DES RISQUES DES SYSTEMES D’INFORMATION

II.1. Notion de risque et sécurité des Systèmes d’Information
II.2. La gestion des risques pour les Systèmes d’Information

CONCLUSION
BIBLIOGRAPHIE INDICATIVE

2
 INTRODUCTION

La notion de système d’information a émergé après la Deuxième Guerre Mondiale en réponse

aux besoins en gestion de l’information des organisations. L’apparition des moyens
informatiques permettant l’automatisation de la gestion de l’information a accéléré la réflexion
sur la nature et la structure du « système nerveux » de l’organisation que constituent les circuits
d’information. L’arrivée des ordinateurs a facilité le stockage et la manipulation de grandes
quantités d’informations. Les techniques informatiques ont apporté les premières solutions à sa
gestion. En même temps, elles ont largement influencé la réflexion sur l’information jusqu’à
créer parfois la confusion entre le système informatique et le système d’information.
Le système d’information constitue en quelque sorte le signe distinctif de l’organisation
qualifiée de « moderne » (par rapport à une organisation qui serait restée "archaïque"). En
d’autres termes, à défaut d’un système d’information, point d’organisation. R. Reix et F. Rowe
(2002) proposent : « Un système d’information est un ensemble d’acteurs sociaux qui
mémorisent et transforment des représentations via des technologies de l’information et des
modes opératoires. »
Un système d’information peut être défini comme l’ensemble des moyens matériels, logiciels,
organisationnels et humains visant à acquérir, stocker, traiter, diffuser ou détruire de
l’information. Ou encore on peut avancer qu’est appelé système d’information le dispositif par
lequel une entreprise ou une organisation s’informe pour son fonctionnement et son évolution.

Qu’en est-il de la notion d’audit ?

L’audit est un processus systématique et méthodique, indépendant et documenté permettant de
recueillir des informations objectives sur la situation d’une entreprise, pour déterminer dans
quelle mesure les éléments du système audité satisfont aux exigences des référentiels du
domaine concerné (logique de mise en conformité avec les dispositions initialement définies).
L’audit peut porter sur des produits, sur des processus ou sur un système. Il s’attache en
particulier à détecter les anomalies et les risques dans les organisations.
Ce bref panorama définitionnel des notions servant de substrat à notre réflexion serait carentiel
s’il n’est pas approfondi d’une démonstration apodictique.

3
1. CONCEPTION ET GOUVERNANCE DES SYSTEMES D’INFORMATION
Il est parfois utile de distinguer système d’information et système informatique:
• Le système d’information est la partie du réel constituée d’informations organisées,
d’événements ayant un effet sur ces informations et d’acteurs qui agissent sur ces informations
ou à partir de ces informations, selon des processus visant une finalité de gestion et utilisant les
technologies de l’information.
• Un système informatique est un ensemble organisé d’objets techniques - matériels, logiciels,
applications - dont la mise en œuvre réalise l’infrastructure d’un système d’information.

1.1. Le Management des Projets Système d’Information

Conduire un projet de conception et de développement d’un système d’information est
une opération complexe. Si tout projet comporte une part d’incertitude, la nature d’un système
d’information en accroît les risques. En grande partie immatériel, un système d’information met
en jeu des acteurs multiples et entre en interaction avec l’organisation de l’entreprise. L’analyse
des difficultés rencontrées dans la pratique montre le besoin d’un management de projet solide.
La maîtrise des délais, des coûts et de la qualité passe par la mise en œuvre de techniques, de
principes et de dispositifs spécifiques à ce type de projet.

1.1.1. Caractéristiques d’un projet système d’information

Il convient tout d’abord de rappeler que le système d’information, de par sa définition, met en
lumière son caractère complexe. De plus, son caractère immatériel augmente la difficulté quand
on veut en obtenir une description précise. Cela n’est pas sans conséquence sur les projets.
Le triplet {objectif, moyens, délai} présente, dans le domaine système d’information, trois
caractéristiques spécifiques, à savoir :
a. Il y a interaction entre l’objectif d’une part et les moyens/délais d’autre part.
b. L’objectif du projet n’est parfaitement défini qu’à l’achèvement du projet.
c. Le développement d’un système d’information ne se déroule pas dans un vide
organisationnel, mais dans une organisation, dont les particularités font partie de la
caractérisation du projet lui-même.

Le processus de développement d’un système d’information est certes un processus rationnel,

mais qui se double souvent d’un processus politique et d’un processus psychologique. Leur
prise en compte permet d’analyser certaines réactions ou certains conflits, voire de les éviter.

4
1.1.2. Les objectifs des projets systèmes d’information

Comprendre les objectifs du projet et faire émerger des réponses adéquates est de la
responsabilité du chef de projet. On rencontre souvent les grandes catégories suivantes,
qui auront des conséquences sur le management du projet système d’information. Nous
allons les esquisser :
• Productivité administrative
• Aide au management
• Efficacité opérationnelle
• Évolutivité
• Utilisation d’une nouvelle technologie

1.2. La Gouvernance des Systèmes d’Information

La gouvernance des systèmes d’information consiste à définir et manager un ensemble de

processus supportant les objectifs de la gouvernance d’entreprise.
La gouvernance passe par la formalisation des règles du jeu : de la stratégie à l’opérationnel,
de l’entreprise à la Direction Système d’Information (DSI), des directions métiers à la DSI. Il
s’agit d’un double alignement : celui des SI sur l’entreprise et celui de la DSI sur les bonnes
pratiques répertoriées.
Le SI est un enjeu d’efficience des organisations aujourd’hui et c’est toute une socio-économie
qui s’est construite autour de lui. Ainsi, l’impact des SI se trouve directement
dépendant du degré d’alignement avec la stratégie et la structure organisationnelle de
l’entreprise et suggère que le développement de la stratégie et des systèmes d’information se situe
autour de deux axes à savoir la cohérence stratégique entre les dimensions externes et
internes de l’entreprise et l’intégration fonctionnelle des Technologies de l’Information au
sein de l’entreprise.
Ces deux axes s’articulent autour de quatre dimensions essentielles:
• la stratégie d’entreprise ;
• la stratégie des systèmes d’information ;
• les processus d’organisation ;
• le management et l’infrastructure Technologies de l’Information.
Subséquemment, la contribution des SI à la performance de l’entreprise peut se résumer comme
suit :
Performance de l’entreprise = Alignement (Stratégie de l’entreprise & Stratégie des SI)
+ Performance des SI.

5
1.2.2. Délimitation du périmètre de gouvernance des SI

Nous pouvons distinguer cinq grands domaines de gouvernance des SI :

• l’alignement stratégique : qui passe notamment par la clarification et le positionnement du
rôle et des missions des SI mais aussi des différents protagonistes. Qui fait quoi ? Quels sont
les domaines de compétences et de responsabilités ? Quelle cohérence dans les processus de
décision concernant les SI. ;
• une gestion des risques inhérente à l’utilisation des SI et leurs impacts sur les métiers ;
• la création de valeur : c’est-à-dire la capacité contributive des SI à permettre à l’entreprise
d’optimiser la chaîne de valeur, par son aptitude à innover, à trouver de nouveaux atouts de
compétitivité, etc. ;
• une gestion optimisée des ressources et des compétences des parties prenantes, mais aussi des
tiers (politique de sous-traitance, l’externalisation, etc.) ;
• un pilotage du SI par des indicateurs (tableaux de bord, modalités de reporting, etc.) qui permet
d’apprécier la performance.

Figure 1 : Les 5 inducteurs de la gouvernance des SI

1.2.2. Les 11 commandements de la gouvernance des SI

Plus concrètement, il s’agira d’identifier un ensemble de processus de pilotage de la DSI

en s’appuyant sur de bonnes pratiques qui permettront d’atteindre les objectifs assignés ; ce qui
constitue un peu les 11 Commandements de la gouvernance.

6
Figure 2 : Les bonnes pratiques de la gouvernance des SI (Source J.L. Leignel, IGSI,2006)

7
2. GESTION DES RISQUES DES SI
2.1. Notion de risque et sécurité des SI
Le risque, terme d’utilisation courante, se teinte de considérations plus élaborées quand il s’agit
des SI. En général, le risque est l’éventualité d’un événement ne dépendant pas exclusivement
des parties et pouvant causer la perte d’un objet ou tout autre dommage ; par extension, le risque
est un événement contre la survenance duquel on s’assure.
Spécifiquement, en entreprise, Le risque est la probabilité qu'un effet spécifique se produise
dans une période donnée ou dans des circonstances déterminées. Le risque est la combinaison
de la probabilité et des conséquence(s), de la survenue d'un événement dangereux spécifié. Le
risque est la menace qu’un événement, une action, ou une inaction affecte la capacité de
l’entreprise à atteindre ses objectifs stratégiques et compromette la création de valeur.

Les mesures de sécurité répondent à des objectifs et des exigences de sécurité qui traduisent les
contraintes et les risques qui pèsent sur le système d’information. L’audit de sécurité du système
d’information est un examen méthodique d’une situation liée à la sécurité de l’information en
vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. Compte tenu du
cadre de gestion de la sécurité de l’information, les audits de sécurité peuvent adresser des
problématiques différentes comme par exemple :
•La prise en compte des contraintes,
•La politique de sécurité,
•La prise en compte de contraintes spécifiques dans la mise en œuvre d’un système
d’information particulier (problématique liée à l’audit des projets),
•La mise en œuvre de politique de sécurité,
•Les mesures de sécurité.
•L’analyse des risques.

2.2. La gestion des risques pour les SI

Le concept de gestion des risques (ou risk management) a fait son apparition à la fin des années
50 aux États-Unis dans le domaine financier, en relation avec des questions d’assurance. Par la
suite, la notion de gestion des risques a été étendue à d’autres domaines, citons notamment
l’environnement, la gestion de projet, le marketing, ainsi que la sécurité informatique, qui nous
intéresse tout particulièrement.

8
La gestion des risques est définie par l’ISO comme l’ensemble des activités coordonnées visant
à diriger et piloter un organisme vis-à-vis du risque. On dégage en général trois finalités à la
gestion des risques pour les SI :
1. Améliorer la sécurisation des systèmes d’information.
2. Justifier le budget alloué à la sécurisation du système d’information.
3. Prouver la crédibilité du système d’information à l’aide des analyses effectuées.

2.2.1. Les concepts afférents à la gestion des risques

Les assets sont définis comme étant l’ensemble des biens, actifs, ressources ayant de la valeur
pour l’organisme et nécessaires à son bon fonctionnement. On retrouve dans les assets systèmes
d’information les éléments techniques, tels les matériels, les logiciels et les réseaux, mais aussi
l’environnement du système informatique, comme les utilisateurs ou les bâtiments. C’est cet
ensemble qui forme le SI. Le but de la gestion des risques est donc d’assurer la sécurité des
assets, sécurité exprimée la plupart du temps en termes de confidentialité, intégrité et
disponibilité, constituant les objectifs de sécurité.
Ces assets à protéger sont soumis à des risques de sécurité. Le guide 73 de l’ISO définit un
risque par la combinaison de la probabilité d’un événement et de ses conséquences. Cette
définition est généralement étendue et on définit un risque à l’aide de ce que l’on nomme
« L’équation du risque » :

RISQUE = MENACE × VULNÉRABILITÉ × IMPACT

2.2.2. Processus de gestion des risques

Afin de mitiger ces risques et de protéger les assets, une politique de traitement des risques est
mise en place. Elle sera constituée d’exigences de sécurité permettant de répondre aux risques.
Ces exigences de sécurité vont ensuite entraîner la mise en place de contrôles (ou
contre-mesures) de sécurité à implémenter, afin de satisfaire aux exigences. Les contrôles sont de
deux types :
• Sur la menace ou la vulnérabilité, afin de limiter la cause du risque ;
• Sur l’impact, afin de limiter la conséquence du risque.

9
Le processus de gestion des risques des SI comprend donc sept étapes :
- Identification du contexte et des assets
- Détermination des objectifs de sécurité
- Définition des exigences de sécurité
- Analyse des risques
- Sélection des contrôles
- Implémentation des contrôles
- Suivi et mise en oeuvre des mesures correctives

10
 CONCLUSION

Aujourd’hui au plus haut sommet de la sphère des entreprises, la sécurité des SI est de plus en
plus abordée à l’aide d’approches basées sur les risques. Les audits des risques des SI permettent
un meilleur pilotage de l’action pour une efficacité de la clé de voûte de l’immatériel dans
l’entreprise. L’expérience montre que de telles études prospectives réduisent de manière
considérable les pertes liées aux faiblesses de sécurité des systèmes d’information.

La valeur et la performance des SI ont fait l’objet de multiples travaux au cours des trente
dernières années. Ceux-ci ont progressivement évolué d’une approche d’efficience (à travers
l’analyse de l’impact des Technologies de l’Information sur la productivité), vers une approche
plus focalisée sur les actifs complémentaires, le capital organisationnel (notamment les
processus), et les actifs immatériels. Cette dernière approche apporte un éclairage novateur et
original à la problématique générale de la valorisation des SI.

La gouvernance des SI est intimement liée à la question de la valorisation du capital immatériel.

Cette gouvernance doit se situer à deux niveaux : l’aspect stratégique et opérationnel. S’aligner
sur la stratégie de l’entreprise et des métiers suppose une acceptation et une appropriation des
parties prenantes. Elle suppose aussi un préalable : les problèmes basiques, le fonctionnement
au quotidien de l’outil informatique, ne doivent plus constituer une préoccupation majeure. La
gouvernance des SI n’est pas une simple recette de cuisine, c’est avant tout un changement de
mentalité dans la façon de manager et de faire percevoir aux dirigeants la place qui revient aux
SI dans la gouvernance d’entreprise.

11
 BIBLIOGRAPHIE INDICATIVE

1. AFITEP — Dictionnaire de management de projet, 4ème édition, Paris, Afnor, 2000.

2. AFITEP — Le Management de projet, Principes et Pratique, Paris, Afnor, 1998.
3. BOUNFOUR, A. et EPINETTE, G., Valeur et performance des SI : une nouvelle
approche du capital immatériel de l’entreprise, Paris, Dunod, 2006.
4. FERRARY M. et PESQUEUX Y., L’organisation en réseau : mythe ou réalité, PUF,
collection « La politique éclatée », Paris, 2004.
5. FERRARY, M. et PESQUEUX, Y., Management de la connaissance – Knowledge
Management et Apprentissage organisationnel et Société de la connaissance, Paris,
Économica, 2006
6. LÖNIG, H, MALLERET, V. et alii, Le Contrôle de Gestion : organisation, outils et
pratiques, 3ème édition, Paris, Dunod, 2008.
7. MORLEY, C., HUGUES, J. et LEBLANC B., UML 2 pour l’analyse d’un système
d’information, Le cahier des charges du maître d’ouvrage, Dunod, 2006.
8. MORLEY, C., Management d’un projet système d’information : principes, techniques,
mise en œuvre et outils, 6ème édition, Paris, Dunod, 2008.
9. REIX, R., « Systèmes d’information et performance de l’entreprise étendue », in
ROWE, F., Faire de la recherche en systèmes d’information, Paris, Vuibert – FNEGE,
2002.

12