1- AVANT-PROPOS

La formation en Ingénierie des Télécommunications à l'Ecole Nationale Supérieure des

Postes, Télécommunications et TIC (SUP'PTIC) situé à Yaoundé , couvre un large champ de
connaissances diversifiées applicables aux Télécommunications et à l'Informatique. Parmi
lesquelles, le cursus de Master II comporte un cours d'introduction à l'Audit des Systèmes
d'Information. Nous avons participé à ce cours et avons dû présenter ce rapport portant sur nos
résultats obtenus lors d’un exercice d'audit en gestion des données. Cas d’étude : notre
établissement scolaire : SUP'PTIC.

1.1 Confidentialité du document

Ce document contient des informations à la fois générales et sensibles portant sur la

gestion et la manipulation des données dans la structure concernée. Les détails présentés ici sont
uniquement à des fins académiques et sous autorisation spécifique de l'école auditée. Par
conséquent, ces informations ne doivent pas être réutilisées pour une raison quelconque sans
l'autorisation de l'école et ne doivent pas non plus être diffusées à des personnes non autorisées.
La duplication, modification ou suppression d’une partie ou de la totalité de ce présent
document est également fortement interdite.

1.2 Historique des Modifications

Version Date Auteur(s) Modifications

1.0 05/01/2022  FOUEJIO Annick Aucune
 TUMETOH Mah
 2- CADRE DE LA MISSION

Cette mission d’audit a comme cadre l’audit de la gestion des données dans un système
d’information au sein de l’organisation SUP’PTIC. La présente mission d’audit est un audit
exhaustif, mettant en application la loi

Les objectifs de la mission d’audit sont les suivants :

 Présenter tous les textes législatifs et réglementaires auxquels SUP’PTIC doit se
conformer en matière de gestion de données.
 Identifier quels types de données et par qui ces données sont gérés au sein de SUP’PTIC.
 Spécifier comment les données sont partagées entre les fonctions et les organisations de
cette entreprise.
 Spécifier si les logiciels et le matériel sont conformes à des normes définies qui
favorisent l’interopérabilité pour les données, les applications et la technologie.
 Analyser les risques liés à la manipulation de ces données.
 Analyser les méthodes et procédures utilisées pour garantir la protection des données
manipulées.

Toutefois cette mission d’audit présente de nombreuses contraintes qui sont les
suivantes :
 L’absence d’une architecture du système d’information de SUP’PTIC nous empêchant
ainsi d’analyser tous les processus y afférant.
 Le manque d’expérience en manière d’audit au sein de notre structure.
 Le temps imparti pour réaliser cet audit ne nous permet pas d’explorer tous les processus
concernant la gestion des données manipulées au sein du système d’information.
 4- TERMES ET DEFINITIONS

Données : Ce qui est connu ou admis comme tel, sur lequel on peut fonder un raisonnement, qui
sert de point de départ pour une recherche.
Système d’information : ensemble de ressources et de dispositifs permettant de collecter,
stocker, traiter, et diffuser les informations nécessaires au fonctionnement d’une organisation.
Droit d’accès : Droit nécessaire à un utilisateur pour l’accès en lecture en écriture et en
exécution à des ressources (ressources, périphériques...).

3- REFERENCES

Les documents suivants ont servi dans l’élaboration et la réalisation de la présente mission
d’audit :

 Le référentiel TOGAF version 9 élaboré par The Open Group ;

 Rapport de l'Auditeur externe sur la gestion de l'information sur les bénéficiaires élaborés
par World program mondial
 Processus ITIL v4 élaboré par Yves B. DEFOSSES, Claude Y. LAPORTE

 Présentation de l’organisme audité

5-1- L’organisme audité

Nom Ecole Nationale Supérieure des Postes, des
Télécommunications et des technologies de
l’information et de la communication
Date de création 1959
Acronyme SUP’PTIC
Statut Public
Secteur d’activité Education
Catégorie Ecole d’ingénierie
Emplacement Yaoundé
Site web www.supptic.cm
Adresse et contact BP 8950 Yaoundé
Téléphone : 222 23 37 00
Missions  Offrir une formation dans le domaine
des techniques de communications
électroniques, de la sécurité des
réseaux et des systèmes
d’informations, des techniques de
gestion des entreprises de postes et des
communications électroniques, de la
réglementation et de la régulation des
secteurs de la poste et des
communications électroniques.
 L’appui techniques aux
administrations et organismes publics,
parapublics ou privées dans le
domaine des communications
électroniques et des TICs.

L’organigramme de SUP’PTIC est donné ci-dessous dans l’annexe.

5-2 Champs audités et processus

L’audit ci présent porte sur la gestion des données dans un système d’information, comment elles
sont collectées, traitées, stockées et diffusées. Le schéma ci-dessous rassemble tous les processus
y afférent :
 5- CHAMP D’AUDIT

6.1 périmètre géographique

La présente mission d’audit porte sur la gestion des données à SUP’PTIC et engage plusieurs
services tous implantés au sein de cette organisation.

 Le service de la scolarité et des stages (SSS) : Il organise tous les aspects d’ordre
administratifs de l’organisation tels que : inscriptions, informations liées aux étudiants
(notes, certificats de scolarité, procès-verbal), liste des différents stages attribués. Il est
important pour nous de savoir comment ces données sont gérés au niveau de ce service.
 Service en charge du système d’information (SSI) : Il se charge de la coordination des
projets avec les différents services et ressources de l’entreprise. Pour cela il établit au
préalable un cahier de charge récapitulant l’ensemble des besoins des collaborateurs et
détermine les contraintes et les délais des projets. La majorité des données circulant au
sein de l’entreprise sont référés au niveau du système d’information car il est un
ensemble de ressources et de dispositifs permettant la gestion de ces données.
 Service de formation à distance (SFD) : Il est en charge de la dispensation des cours
(matières enseignées au étudiants) en ligne. Ce service traite plusieurs données en rapport
avec les étudiants, les enseignants. Nous devons savoir donc comment ces données sont
gérés.

6.2 Description des systèmes d’information

Service Application utilisée Equipement réseau Base de données

SSS GESCO Ordinateur, serveur Serveur interne, Mysql

SSI GESCO Ordinateur, routeur, Serveur interne, Mysql

serveur

SFD Trainning.e-supptic Serveur, ordinateur Serveur interne, Mysql

 6.3 Schéma synoptique de l’architecture du réseau

L’architecture réseau de données de notre infrastructure se présente comme suit :

6-

Afin de mener à bien notre mission d'audit avec minutie, notre équipe d'auditeurs a adopté la
démarche suivante composée des grandes phases ci-dessus :
6.1 Cadrage et Planification de l’Intervention d’Audit à SUP’PTIC
Nous procédons par une approche d’audit basée sur les processus. Ceci revient à identifier les
processus afférents à notre champ d’audit principal : gestion de données dans la structure
auditée. Ce champ couvre les services suivants de SUP’PTIC :
 Service de Scolarité
 Service de Système d’Information

Les méthodes de collecte de données pour l’évaluation des risques que courent les données
manipulées au niveau de chaque service sont les suivantes :
  Interview avec les responsables et personnel des services cibles
 Questionnaire soumis a l’attention des chefs des services cibles
 Observations sur le déroulement des activités dans ces différents services.

L’intervention de l’équipe auditeur dans la structure audité a été faite selon le planning suivant :
6.2 Comprendre l’environnement des Services Cibles de SUP’PTIC
Le systeme d’information de SUP’PTIC comme dans toute autre entreprise s’intègre aux autres
divisions.

Planning d’exécution de la mission d’audit

Les différentes phases de ce planning sont les suivantes :

 Phase 1 : Recueil d’information auprès des services (SSS, SSI, SFD) de
SUP’PTIC.
 Phase 2 : Evaluation approfondi du système d’information plus précisément du
mécanisme de gestion de données.
 Phase 3 : Finalisation de la mission et rendu des recommandations.
 Composant Equipe Date de Durée
Phase Objet de la sous intervenante réalisation Sur site Total
phase
Phase 1 Etablissement du FOUEJIO 27/12/2021 4 heures 3 heures
questionnaire TUMETOH
Interrogation du FOUEJIO 7/01/2022 2 heures 3 heures
personnel TUMETOH
Phase 2 Evaluation des FOUEJIO 11/01/2022 2 jours 3 jours
processus internes de
gestion de données
Correspondance de ces TUMETOH 13/01/2022 1 jour 2 jours
procédures avec les
référentiels
Etude des risques liés TUMETOH 14/01/2022 1 jour 1 jour
à la manipulation de
ces données
Phase 3 Rédaction du rapport FOUEJIO 06/01/2022 10 jours 9 jours
TUMETOH au
15/01/2022
Proposition de FOUEJIO 14/01/2022 2 heures 3 heures
recommandations à la TUMETOH
structure
Durée totale de la mission : 14 jours 8 heures 15 jours 9
heures
ANNEXES