Académique Documents
Professionnel Documents
Culture Documents
TRAVAUX DE RESTITUTION
Ahmed Sellami
Remerciements
Je tiens à remercier toutes les personnes qui ont contribué de près ou de loin
au succès de mes études en master SIEE et celles ui ’o t aid lo s de la
rédaction de ce rapport.
1
La Data Visualisation des travaux de restitution
Sommaire
Remerciements ....................................................................................................................................... 1
Résumé de synthèse................................................................................................................................ 5
Introduction............................................................................................................................................. 8
Chapitre 1 : Présentation du contexte .................................................................................................. 10
1- Présentation du cabinet Ernst And Young ................................................................................ 10
1.1 EY Tunisie................................................................................................................................. 10
1 .1.1 Le département ITRA (Information Technology Risk & Assurance) .............................. 10
1.1.2 La typologie des missions dans le département ITRA ...................................................... 11
. P se tatio de l’ uipe du p ojet : ....................................................................................... 12
2- Le périmètre du projet .............................................................................................................. 12
3- La data visualisatio da s la issio d’audit ............................................................................ 13
Chapitre 2 : L’i po ta e de l’ valuatio des o t ôles g au IT................................................... 16
1- Les risques informatiques ......................................................................................................... 16
2- Le rôle des contrôles généraux IT.............................................................................................. 17
2.1 Le processus de gestion des changements ............................................................................. 18
. . L’auto isatio des ha ge e ts ...................................................................................... 18
2.1.2 Les tests des changements ............................................................................................... 18
. . L’app o atio des ha ge e ts ...................................................................................... 19
2.1.4 La revue des changements ............................................................................................... 19
2.1.5 La ségrégation des tâches dans le processus de changement ......................................... 19
2.2 Le processus de Gestion des accès .......................................................................................... 19
2.2.1 Les paramètres généraux de sécurité sont en phase avec les bonnes pratiques ............ 20
2.2.2 La stratégie de mot de passe est conforme aux bonnes pratiques ................................. 20
2.2.3 Les accès privilégiés sont limités aux personnes appropriées ......................................... 20
2.2.4 L'accès aux ressources du système est limité aux personnes appropriées...................... 21
2.2.5 Les nouveaux accès au SI sont autorisés par les personnes appropriés .......................... 21
2.2.6 Les accès des utilisateurs sont revus périodiquement ..................................................... 21
2.3 La gestion de l’e ploitatio ..................................................................................................... 22
2.3.1 Le Backup.......................................................................................................................... 22
2.3.2 La sauvegarde et la restauration ...................................................................................... 22
2.3.3 Les contrôles des tâches planifiées .................................................................................. 22
2.3.4 Les incidents ..................................................................................................................... 22
2
La Data Visualisation des travaux de restitution
3
La Data Visualisation des travaux de restitution
4
La Data Visualisation des travaux de restitution
Résumé de synthèse
Aujou d’hui, la issio d’audit est e a lio atio o ti ue su tous les
iveau ue e soit su les outils ou su les liv a les. L’o je tif p i ipal de e
processus est de fournir des résultats de qualité qui décrivent les forces et les
points à améliore au sei de l’e t ep ise.
Dans le cadre de mission de commissariat aux comptes, il est important de
s’assu e de la fia ilit de l’i fo atio fournie par les applications
informatique. Pou attei d e les o lusio s d’audit, o o e e pa
l’a al se des applications du périmètre et évaluer les contrôles existants.
Le résultat des travaux est présenté au client en phase finale dans le document
de restitution.
En déposant simplement un ensemble de données dans un graphique et en
collant ce graphique da s u appo t d’audit, e tai s auditeu s pe se t u’ils
o t ussi à o u i ue uel ue hose d’i po ta t.
Trop souvent, ils ont seulement réussi à créer quelque chose qui leur semble
parfaitement logique mais ils entraînent une confusion ou un manque de
communication entre les parties prenantes qui lisent le rapport.
Cependant, un élément essentiel souvent négligé qui est la manière de
visualiser efficacement les données collectées pour conduire votre public sur le
bon chemin.
Pour le client, cette phase de restitution constitue un point de départ pour
connaitre « où on est » afin de savoir « où l'on veut aller ».
Donc, cette étape représente à la fois un moyen de communication et un outil
d’aide à la d isio . Pa o s ue t, u ta leau de o d pe ett a de alise
es o je tifs e plus de fa ilite la o p he sio des sultats d’audit.
Le tableau de bord doit contenir des indicateurs pertinents. Ce choix est guidé
pa les o je tifs d’audit à d o t e les zo es de fo e ai si ue les poi ts à
a lio e . Lo s de e p o essus de s le tio d’i di ateu s, j’ai hoisi des
it es à espe te d s le d ut. L’i di ateu doit i ite à l’a tio . En plus, il
doit être simple à représenter graphiquement.
Les i di ateu s de ta leau de o d so t issus de l’ valuatio des t ois
processus suivants :
5
La Data Visualisation des travaux de restitution
6
La Data Visualisation des travaux de restitution
7
La Data Visualisation des travaux de restitution
Introduction
De nos jours, le volume de données est en train d’aug e te d’u e façon
rapide. Selon International Data Corporation(IDC)1 , l’u ive s u i ue
atteindra plus de 44.000 milliard de gigaoctet en 2020 issus des objets
connectés seulement. Cette e plosio est due à l’utilisation de nouvelles
technologies permettant la génération de données telles que les objets
o e t s. E plus, il ’au a plus de apa it de sto kage li à la p se e du
cloud par exemple.
Ce changement est accompagné par le développement de nouveaux moyens
de communication tel que les réseaux sociaux ou les outils collaboratifs.. Bien
u’il ’a ette elatio d’asso iatio e t e les do es et les o e s de
communication, nous évoquons de plus en plus le problème de
communicatio . Ce p o l e est plus d li at au iveau de l’entreprise vue les
d gâts u’il ause o e les pe tes de te ps et d’a ge t ou le d se gage e t
des e plo s. Si ous pouvo s su e les auses li es à l’e t ep ise, il s’agit
souvent de problème compréhension, de clarté ou de quantité d’i fo atio .
De retour à la définition du verbe « Communiquer » ça vient du latin
« communicare ». Il signifie "mettre en commun". Cette présentation montre
ue l’o je tif de la o u i atio ’est de pa tage , atti e et o vai e.
Parmi les moyens de communication les plus utilis s e e t ep ise, ’est la
communication directe face à un public .Cet exercice de communication doit
suivre des règles précises. Des études faites par le psychologue Albert
Mehrabian2 ont montré que :
7 % de la communication est verbale (par la signification des mots)
38 % de la communication est vocale (intonation et son de la voix)
55 % de la communication est visuelle (expressions du visage, la
présentation et du langage corporel).
1
https://www.usine-digitale.fr/article/44-zettaoctets-de-donnees-seront-generes-par-les-objets-connectes-en-
2020.N257140
2
https://www.toolshero.com/communication-skills/communication-model-mehrabian/
8
La Data Visualisation des travaux de restitution
9
La Data Visualisation des travaux de restitution
10
La Data Visualisation des travaux de restitution
11
La Data Visualisation des travaux de restitution
2- Le périmètre du projet
Le d oule e t sta da d d’u e issio d’audit o e e pa u e lett e de
issio . Cette phase pe et de o stitue l’ uipe du p ojet. Pa la suite, les
auditeurs analysent les risques et value t le o t ôle i te e de l’e t ep ise.
Ai si, l’ uipe d’audit pou a p se te les o je tifs de l’audit et oo do e a
avec le client sur les modalités pratiques de la mission.
Cette phase d le he le d ut du t avail d’i vestigatio pa la des iption des
activités, la réalisation des tests et la discussion des faits avec les
olla o ateu s o e s. E suite, l’ uipe d’audit p pa e la s th se des
faits essentiels avec les recommandations. Suite à la discussion avec la
di e tio de l’o ga isation sur les différents points, le rapport final sera
présenté à la direction générale.
Mon projet de data visualisation des travaux de restitution se focalise sur les 3
de i es tapes de la issio d’audit. Il o e e à pa ti de l’a al se et
l’ valuation des résultats d’i vestigatio .
12
La Data Visualisation des travaux de restitution
13
La Data Visualisation des travaux de restitution
14
La Data Visualisation des travaux de restitution
15
La Data Visualisation des travaux de restitution
16
La Data Visualisation des travaux de restitution
17
La Data Visualisation des travaux de restitution
18
La Data Visualisation des travaux de restitution
19
La Data Visualisation des travaux de restitution
20
La Data Visualisation des travaux de restitution
logique qui prennent en charge les contrôles clés (les utilisateurs ayant un
accès complet au système ou un accès à la fonctionnalité d'administration de la
sécurité). Puis, on Passe à la revue des listes d'utilisateurs disposant de droits
privilégiés afin de déterminer si le nombre d'utilisateurs semble approprié.
En se basant sur le volume d'utilisateurs et la nature critique de ce contrôle, on
crée un test pour déterminer si l'accès privilégié des utilisateurs est approprié
en fonction de leur description de poste / fonction (cette liste devrait inclure
l'examen des comptes système sensibles).
2.2.4 L'accès aux ressources du système est limité aux personnes appropriées.
La première étape consiste à identifier une liste de ressources (par exemple
sécurité, schéma comptable, données transactionnelles), y compris les
utilitaires (SQL Plus) associés aux applications pertinentes qui pourraient
affecter l'exactitude des données financières. Ceci nous permettra de
déterminer si l'accès à la ressource est approprié.
2.2.5 Les nouveaux accès au SI sont autorisés par les personnes appropriés
Suite à l’o te tio de la liste des nouveaux utilisateurs ajoutés pendant la
période auditée, on Sélectionne un échantillon approprié. Ainsi, on peut
déterminer qu'il y a eu une approbation appropriée accordant l'accès au nouvel
utilisateur et que l'accès de l'utilisateur a été correctement établi selon sa
fonction et du nouveau formulaire de demande d'utilisateur.
2.2.6 Les accès des utilisateurs sont revus périodiquement
Lors de ce contrôle, on identifie les contrôles de surveillance pertinents.
Ensuite, on vérifie que les contrôles ont fonctionné comme prévu pendant la
période d'audit. Ces contrôles peuvent inclure:
· Violation ou tentative de violation de rapports et d'examen
· Examen des journaux (Accès aux utilisateurs privilégiés)
Les étapes précédentes nous permettent de conclure que les paramètres du
système sont correctement configurés pour capturer les événements et les
activités clés du système.
21
La Data Visualisation des travaux de restitution
22
La Data Visualisation des travaux de restitution
23
La Data Visualisation des travaux de restitution
24
La Data Visualisation des travaux de restitution
25
La Data Visualisation des travaux de restitution
26
La Data Visualisation des travaux de restitution
1- Le plan de projet
Dès le début du stage, la réalisation du plan de projet était un point de départ.
Le projet est divisé en trois étapes :
- L’ tude de l’e ista t : La o p he sio du p o essus d’audit hez EY
permet de mieux se positionner dans le contexte de la data visualisation.
La thodologie ad e la issio et la d a he d’ valuatio utilis e.
Par la suite, la consultation des rapports de restitution présente la
problématique et les objectifs à réaliser. Ensuite, une analyse des
différentes solutions technologiques donne une vision sur les
alternatives possibles.
- La conception : Ap s l’a al se du besoin, cette étape permet de valider
les objectifs fonctionnels du projet. Par conséquent, un plan de tableau
de bord a été proposé pour donner une idée sur la finalité du projet.
27
La Data Visualisation des travaux de restitution
2- Etude de l’exista t
2.1 La thodologie d’audit
Pou po d e au esoi s de l’audit, j’ai o e pa o p e d e la
thodologie de issio d’audit hez EY o u sous le o GAM « Global
Audit Methodology ».
La méthodologie explique la d a he d’ valuatio des t ois processus IT
utilisés lors du contrôle généraux IT : la gestion des changements, la gestion
des accès, la gestio de l’e ploitatio .
Pa la suite, j’ai o sult des appo ts de estitutio pou tudie les sultats
obtenus.
Les o lusio s d’audit so t lai es et d taill es mais elles sont souvent
ignorées par le client.
Ainsi, le faite de visualise les do es au a plus d’i pa t d’att a tio pour
o p e d e les o t ôle et les is ues au iveau du s st e d’i fo atio .
28
La Data Visualisation des travaux de restitution
3
https://www.tableau.com/fr
4
https://www.qlik.com
29
La Data Visualisation des travaux de restitution
3- La conception
3.1 La conception fonctionnelle
Lors de cette phase, on cherche à bien comprendre et décrire de façon
précise les besoins de l’auditeu . Ai si, j’ai utilis le la gage « UML » afin de
présenter notre compréhension des fonctionnalités attendues par les
auditeurs.
J’ai utilis le diag a e de as d’utilisatio pou e p i e les besoins. La
première étape consiste à identifier les applications du périmètre d’audit.
Par la suite, l’auditeu value le iveau de o t ôle de ha ue processus.
Ceci permettra de générer des visuels résumant cette évaluation des
processus IT.
Da s l’o je tif d’avoi plus de d tails su les tats de la solutio , j’ai alis
le diag a e d’a tivit . Chaque contrôle est évalué selon sa conception et
so i pl e tatio . L’ valuatio des o t ôles pe ett a de d te i e le
niveau de contrôle pour chaque processus IT.
S’il a un audit antécédent, il est possible de faire la comparaison visuelle
e t e l’a e actuelle et l’a ep de te.
30
La Data Visualisation des travaux de restitution
Définir le périmètre
d'audit
Générer le niveau de
contrôle des processus IT
S'il y a un audit
antécédent
Générer un tableau
de bord des résultat
d'audit
Générer un tableau
de bord comparatif
avec les audit
antécédent
31
La Data Visualisation des travaux de restitution
4- La réalisation et test
Fa e au is ues IT , le t avail d’auditeu o siste à value les is ues et d fi i
les contrôles nécessaires pour réduire ou éliminer les impacts sur la fiabilité de
l’i fo atio .
Co e j’ai e tio da s la pa tie p de te, ot e t avail su ette partie
se focalise sur les trois processus IT dont il faut les évaluer.
Cette évaluation se fait sur deux niveaux qui sont la conception du contrôle et
son implémentation. Pou ela , j’ai att i u u iveau pou ha ue o t ôle
comme suit :
- Effectif : Ce contrôle existe et opérationnel
- Perfectible : Le o t ôle peut s’a lio e
- Ineffectif : Le o t ôle ’est pas i pl e t
- Non testé : Nous e pouvo s pas value le o t ôle a il ’ a pas eu de
test lo s de la issio d’audit
En se basant su es iveau , j’ai i pl e t u e thode pou ua tifie
cette évaluation.
5
https://www.iaonline.theiia.org/blogs/Jim-Pelletier/2018/Pages/Five-Tips-for-Effective-Data-Visualization-in-
Internal-Audit.aspx
32
La Data Visualisation des travaux de restitution
33
La Data Visualisation des travaux de restitution
34
La Data Visualisation des travaux de restitution
35
La Data Visualisation des travaux de restitution
Conclusion
Les difficultés rencontrées
Au d ut de o stage, j’ai pe s à auto atise l’ valuatio des o t ôles.
L’id e tait d’avoi u sultat auto ati ue du iveau de is ue selo le iveau
de o t ôle. E dis uta t ave les e es de l’équipe du p ojet, j’ai o p is
ue l’ valuatio du is ue d pe d du juge e t de l’auditeu . Cette opi io
diff e d’u auditeu à u aut e. Do , il ’est pas possi le de l’auto atise .
E se o d lieu, j’ai app is ue l’ valuatio d pe d de la o eptio du o t ôle
ai si ue de so i pl e tatio . Do , l’o je tif est de o t e ha u des
deu pla s d’ valuatio sa s ou lie la visio glo ale à p se te . L’app o he
de scoring adoptée était de faire le rapprochement entre la situation des
processus IT par rapport à un résultat ou tous les contrôles sont effectifs.
Pe da t ette d a he, j’ai p is e o pte la diff e e de iveau de
iti it e t e les o t ôles. Pou e pli ite e poi t, j’ai adopt des iveaux de
pondérations différents entre les contrôles.
Le fait que notre master soit parmi les premiers dans le classement des masters
e s st e d’i fo atio ’est pas u hasa d. C’est le f uit d’u t avail de
collaboratio e t e l’u ive sit et l’e t ep ise. Cette o fi atio vie t de
l’utilisatio de la ajo it des o aissa es a uises lo s de o passage e
aste SIEE. E effet, le faite d’utilise la od lisatio de p o essus pe et de
comprendre le fonctionnement d’e t ep ise. Pa la suite, je peu a al se si le
d oule e t du p o essus o espo d au s a io p d fi i pa l’e t ep ise.
36
La Data Visualisation des travaux de restitution
Mon intérêt pour ce sujet est dû à une prise de conscience du rôle fondamental
de la pa tie visuelle da s les issio s d’audit. Not e objectif est d’atti e le
client et le convaincre en partageant nos constats et recommandation. Donc,
nous sommes dans un contexte de prise de parole en public. Ainsi, la partie
visuelle est i po ta te. Il e suffit pas d’avoi des slides ave u o desig
mais il faut avoir la cohérence entre les informations et la présentation.
Ce ue j’ai o stat à t ave s des si ulatio s de as p ati ues pe da t o
stage, ’est u’u auditeu doit avoi d’aut es o p te es. Cette e p ie e a
t d’u e g ande valeur ajoutée pour moi vu u’o s’est is da s les
o ditio s elles d’u e issio d’audit. Au cours de nos études, nous avons eu
une idée globale sur ce métier .Cependant, rien ne vaut le côté pratique de
fréquenter des spécialistes et de poser toutes les questions sur le domaine.
Le fait de s’adapte à des o te tes diff e ts est un des atouts du métier de
l’auditeu .C’est vide t u’e plus du ôt te h i ue, il ’a des ualit s
humaines nécessaire pour devenir consultant tel que :
-l’ oute : Et e e oute a tive ave les e es de l’ uipe de p ojet tait
esse tiel pou o p e d e les o je tif du p ojet. Ai si, j’a l e es
réflexions pour synthétiser et poser les questions. Même lors de la simulation
d’e t etie da s les as p ati ues, il faut bien écouter le client pour formuler
les demandes de preuves selon les informations fournies.
-Le discours : Ta t u’il est lai et p is, l’auditeu peut a al se fa ile e t le
périmètre et répondre aux questions du client. La visualisation des données
’est pas suffisa te si elle ’est pas adapt e à l’audie e.
Pendant la présentation des travaux de restitution, le client posera des
questions auxquelles il faut s’ p pa e à l’ava e.
- La gestion du temps : Il y a toujours des imprévus ou changement du plan. Il
faut toujou s s’ adapte e d o posa t les tapes et do e la p io it au
tâches les plus importantes.
-Qualité et rigueur : à travers le stage, j’ai assi il l’i po ta e de la ualit
des livrables sur le fond et la forme .Savoir présenter et valoriser le travail est
primordiale pour réussir.
-Etre une force de proposition et autonome : Lo s u’o o fie u e tâ he à u
o sulta t ’est u’on est sûr que ça avance dans le bon sens. Le premier
o seil eçu ’est u’il e faut ja ais este lo u fa e à u e diffi ult . Ce i
37
La Data Visualisation des travaux de restitution
38
La Data Visualisation des travaux de restitution
39
La Data Visualisation des travaux de restitution
Glossaire
La datavisualisation6 : C’est est l’ tude, la s ie e ou l’a t de ep se te des
données de façon visuelle. Cela peut se concrétiser par des graphiques, des
camemberts, des diagrammes, des cartographies, des chronologies, des
infographies ou même des créations graphiques inédites ou des photos. La
présentation sous une forme illustrée rend les données plus lisibles et
compréhensibles.
Les objets connectés7 : Les objets connectés sont des objets électroniques
connectés sans fil, partageant des informations avec un ordinateur, une
tablette ou un smartphone... et capables de percevoir, d'analyser et d'agir
selon les contextes et notre environnement.
Les contrôles généraux informatiques : L’ valuatio du o t ôle i te e su les
trois grands domaines informatiques (gestion des changements, sécurité
logique et exploitation IT)
IT : Information Technology
KPI8 : C’est un acronyme pour (Key Performance Indicator) traduit en Français
par indicateur clé de performance.
RPA9 : (Robotic process automation) :Un thode ui p opose d’auto atise
les tâches récurrentes au niveau des fonctions corporate, à savoir front office,
a k offi e et suppo t, est desti e à joue u ôle esse tiel da s l’ volutio
des talents de demain.
Diag a e de as d’utilisatio 10 : Un cas d'utilisation représente une unité
discrète d'interaction entre un utilisateur (humain ou machine) et un système.
Il est une unité significative de travail. Dans un diagramme de cas d'utilisation,
les utilisateurs sont appelés acteurs (actors), ils interagissent avec les cas
d'utilisation (use cases).
6
https://parteja.net/la-datavisualisation-cest-quoi-4194.html
7
https://www.usine-digitale.fr/objets-connectes/
8
https://www.journalducm.com/kpi
9
https://www.insurancespeaker-wavestone.com/2017/03/robotic-process-automation-rpa-appliquee-secteur-
de-lassurance/
10
https://fr.wikipedia.org/wiki/Diagramme_des_cas_d%27utilisation
40
La Data Visualisation des travaux de restitution
11
https://fr.wikipedia.org/wiki/Diagramme_d%27activit%C3%A9
12
https://fr.wikipedia.org/wiki/UML_(informatique)
41
La Data Visualisation des travaux de restitution
Références
https://www.usine-digitale.fr/article/44-zettaoctets-de-donnees-seront-generes-par-les-objets-connectes-en-
2020.N257140
2
https://www.toolshero.com/communication-skills/communication-model-mehrabian/
3
https://www.tableau.com/fr
4
https://www.qlik.com
5
https://www.iaonline.theiia.org/blogs/Jim-Pelletier/2018/Pages/Five-Tips-for-Effective-Data-
Visualization-in-Internal-Audit.aspx
6
https://parteja.net/la-datavisualisation-cest-quoi-4194.html
7
https://www.usine-digitale.fr/objets-connectes/
8
https://www.journalducm.com/kpi
9
https://www.insurancespeaker-wavestone.com/2017/03/robotic-process-automation-rpa-appliquee-secteur-
de-lassurance/
10
https://fr.wikipedia.org/wiki/Diagramme_des_cas_d%27utilisation
11
https://fr.wikipedia.org/wiki/Diagramme_d%27activit%C3%A9
12
https://fr.wikipedia.org/wiki/UML_(informatique)
Cours
- Daniel Le Guillo (11/2016). Gouvernance des SI , Master 1 MSI— Université
Paris-Dauphine|Tunis
- Zied Chograni (11/2017). Audit des processus et Essentiel du management des
risques, Master 2 SIEE— Université Paris-Dauphine|Tunis
- Joel Le Bec(10/2017) .Les fo da e tau de l’audit et du o seil , Master 2
SIEE— Université Paris-Dauphine|Tunis
Documentation interne de EY :
42
La Data Visualisation des travaux de restitution
Bibliographie
Baron AC., Bernard F., Carvalho A. & Rosenthal-Sabroux C. (2009).
Management et gouvernance SI. Chapitre 3 : « Ecoute et communication ».
Paris : La Voisier
43