Chapitre 3 Système d’information comptable 1 Chapitre 3 Système d’information comptable 2

Introduction
ACADEMIE ARABE POUR LES Le département de la comptabilité ou plus encore la direction financière est la
division de l’entreprise qui recueille des données très sensibles car ces
SCIENCESBANCAIRES ET dernières sont de nature purement financière. Ces informations sont stockées
généralement après leur traitement dans les disques durs de l’ordinateur et,
FINANCIERES pour les sécuriser, les entreprises mettent en place un ensemble de moyens
de protection contre les attaques qui pourraient provenir de l’extérieur comme
à l’intérieur. Toutes les entreprises ne sont pas exposées aux menaces au
même niveau. Celles qui utilisent des progiciels de gestion intégrés (PGI) sont
les plus menacées car ces derniers fonctionnent uniquement avec les réseaux
Internet. On appelle une attaque provenant de l’Internet : une
cybercriminalité.

La cybercriminalité touche aujourd’hui massivement les entreprises de toute

taille (peu importe leur zone géographique). Une cyberattaque est « une
attaque de pirates informatiques (hackeurs) sur internet afin de bloquer
un site ou de voler des données ». Un hacker est une personne qui, par jeu,
Chapitre 3 goût du défi ou souci de notoriété, cherche à contourner les protections d’un
logiciel, à s’introduire frauduleusement dans un système ou un réseau
informatique.

Les données financières constituent une ressource vitale pour les

organisations. Elles sont traitées par les acteurs du département de
La sécurité du système comptabilité ou de la direction financière à l’aide des moyens technologiques
(logiciels et ordinateurs) et ensuite les informations financières obtenues sont

d’information comptable essentielles pour la prise de décision stratégique et pour la gestion de ses
processus internes. Pour protéger ces données, les entreprises doivent mettre
en place toute une direction du système d’information (DSI) qui veillera à
la sécurité des données financières et qui sensibilisera les utilisateurs (c’est- à-
dire les salariés du département comptable) dans leur rôle face aux risques,
menaces et vulnérabilités qui peuvent affecter ces données sensibles. Le rôle
du facteur humain dans la sécurité du système d’information est primordial,
notamment dans la mise en place d’outils et de procédures de protection, de
sauvegarde et de restauration de données.

Dans ce troisième chapitre, nous nous intéresserons cette dimension qui est
devenue une priorité aujourd’hui pour les entreprises, à savoir la sécurité du
système d’information. Les objectifs de ce chapitre sont : identifier et
hiérarchiser les principaux risques liés à la sécurité du système d’information,
identifier les mesures de protection à mettre en place, appliquer les procédures
de sécurité et prendre en compte la dimension humaine dans la gestion des
risques. Dans un premier temps, nous verrons la définition et l’utilité de la
sécurité du système d’information (SI). Ensuite, nous passerons en revue les
différents critères qui évaluent le niveau de sécurité du SI. Puis, nous
aborderons les différents risques qui pèsent sur la sécurité du SI. Enfin, nous
présenterons tous les éléments qui garantissent aux entreprises une politique
de sécurité pour le SI comptable.
 Chapitre 3 Système d’information comptable
Définition, finalité et enjeux de la « sécurité du système
1 d’information »
Nous avons vu dans le chapitre 1 que le système d’information comptable
regroupe l’ensemble de moyens (humains et technologiques), des données et
de procédures au service des organisations pour recueillir, stocker, gérer et
traiter les données financières, notamment au profit des comptables.
Les objectifs de ce système sont d’assurer le plus haut niveau d’exactitude et
de sécurité des transactions financières de l’entreprise et de faciliter l’accès
aux données aux différents utilisateurs.
La sécurité est au cœur du système d’information comptable (mais aussi aux
autres sous-systèmes d’information de l’entreprise) car elle est une réponse
impérative aujourd’hui contre les éventuelles menaces que les entreprises font
face quotidiennement.
Elle est définie comme « l’ensemble des moyens techniques,
organisationnels, juridiques et humains nécessaire et mis en place pour
conserver, rétablir, et garantir la sécurité du système d'information ».
La finalité de la sécurité est de lutter contre les risques auxquels est exposé le
système d’information, qui ont pour origine des défauts de conception, de
développement, d’implémentation ou d’usage du système d’information.
Les enjeux de la sécurité du système d’information sont : la protection de la
vie privée (respect du Règlement Général sur la Protection des Données), la
protection du secret des affaires et la protection du capital intellectuel
de l’organisation (éviter l’espionnage industriel).
Attention, il ne faut pas confondre entre la sécurité du système
d’information et la sécurité du système informatique. Cette dernière
s’intéresse essentiellement à la composante technique du système
d’information et elle est définie comme « l’ensemble des règles, procédures
techniques et outils utilisés pour préserver la confidentialité, l’intégrité
et la disponibilité des données traitées par les systèmes informatiques ».
Cependant, la sécurité du système d’information s’intéresse en plus de la
composante technique aux composantes humaines et informationnelles du
système d’information.
2 Les critères d’évaluation du niveau de sécurité du
système d’information comptable
L’ensemble des décisions prises par l’entreprise reposent sur des données
collectées, traitées, stockées puis diffusées par le système d’information. Le
bon fonctionnement et la sécurisation du système d’information sont des
enjeux majeurs et vitaux pour les organisations.
3 Chapitre 3 Système d’information comptable 4
Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI) de
la France, on évalue sur quatre critères fondamentaux le niveau de sécurité
du SI : la confidentialité, la disponibilité, l’intégrité et la non-répudiation.
2.1 La confidentialité
La confidentialité s’assure que les données sont consultées ou modifiées
par les seules personnes autorisées. Ce principe doit être davantage suivi
lorsqu’il s’agit de rendre secret l’accès à des données personnelles ou pour
éviter de rendre visible des données stratégiques (exemple : fichiers de
prospects).
Exemple : Un dossier partagé sur un réseau d’entreprise, dont l’accès à la
lecture est restreint à un utilisateur en particulier, sera considéré comme d’un
bon niveau de confidentialité. À l’inverse, les données diffusées librement sur
une page web seront considérées comme un niveau faible concernant ce
critère de confidentialité.
2.2 La disponibilité
La disponibilité doit permettre de maintenir l’accès aux données sans
interruption. Ce principe doit garantir tout utilisateur de pouvoir disposer
des ressources numériques à tout moment.
Exemple : Si l’accès à des ressources sur le réseau d’une organisation est
aléatoire par ce que la bande passante du réseau est insuffisante, cela signifie
que le niveau de disponibilité est trop faible. Par contre, une entreprise peut
mettre en place un système de redondance sur un serveur web, permettant
aux utilisateur s de disposer de l’accès aux données du site hébergé même si
le serveur principal est défaillant. Garantissant ainsi, un bon niveau de
disponibilité des serveurs.
2.3 L’intégrité
Le principe d’intégrité doit assurer à l’utilisateur que ses données soient
fiables et qu’elles ne soient pas altérées pendant leur transfert, leur
traitement ou leur stockage.
Exemple : Les données contenues dans un site web dont les flux ne sont pas
protégés (utilisation du protocole HTTP) peuvent être modifiées par une tierce
personne par simple écoute du message pendant le transfert. Le niveau
d’intégrité des données est dans ce cas très faible. Par contre, sile protocole
utilisé pour le transfert des données du site est un protocole sécurisé
(utilisation du protocole HTTPS), la possibilité de modification ou d’altération
des données est très faible, augmentant ainsi le niveau d’intégrité at tendu.
 Chapitre 3 Système d’information comptable
2.4 La non-répudiation (preuve)
La sécurité du système d’information garantit aux organisations qu’une
personne ne pourra nier être l’auteur d’une action malveillante sur le système
d’information : c’est le principe de non-répudiation. Pour que cela soit
possible, il faut combiner ces trois procédés suivants :
❖ L’authentification a pour but de vérifier qu’une personne est bien celle
qu’elle prétend être : cela comprend le fait de fournir un identifiant et le
fait de le valider (mot de passe, empreinte digitale, etc.) ;
❖ L’imputabilité désigne à conserver les preuves de toute action réalisée
sur le système d’information ;
❖ La traçabilité contribue à la sécurité du SI en conservant la date et
l’identité de l’auteur de toute action réalisée sur le système
d’information. Cela donnera la preuve des actions menées sur des
données. Ainsi, l’entreprise pourrait rechercher, en cas de problème de
sécurité, les causes et l’origine du problème.
Exemple : Un cabinet d’expertise comptable utilise le principe d’un portail
captif pour sécuriser l’accès des visiteurs à une partie de son réseau
informatique. Le portail captif mobilise les trois procédés attendus pour
l’établissement d’une preuve en cas de malveillance. En effet, le visiteur doit
s’authentifier pour accéder au réseau du cabinet et la journalisation des accès
réalisée par le portail captif, permet de tracer les actions effectuées sur le
réseau et d’imputer facilement ces actions à l’utilisateur incriminé.
Les risques liés à la sécurité du système d’information
3 comptable
3.1 Définition
On peut définir le risque de sécurité des systèmes d’information (SSI) comme
une combinaison d’une menace, d’une vulnérabilité et des pertes qu’elle
peut engendrer sur le système d’information de l’entreprise.
D’après cette définition, on peut comprendre que la menace venant de
l’intérieur ou de l’extérieur de l’entreprise, la vulnérabilité et les données qui
peuvent être perdues à tout moment à cause d’un manque de protection
constituent trois facteurs importants qui font naitre le risque qui pèse à
chaque instant sur le système d’information comptable.
5 Chapitre 3 Système d’information comptable 6
PERTES
MENAC VULNERABILI DE
TE
E DONNEE
S
RISQU
E
La « « vulnérabilité est une faiblesse qui peut être exploitée par une
personne malveillante. Par exemple, le mot de passe saisi par l’utilisateur
peut être visible pendant le moment de la connexion pour faciliter sa lecture
mais constitue une vulnérabilité importante exploitable pour une personne
malveillante. Une autre vulnérabilité peut être une mauvaise manipulation
d’un utilisateur, comme une session laissée ouverte d’un poste en l’absence
de l’utilisateur.
La « menace » est un danger qui se situe dans l’environnement d’un
système d’information indépendamment de celui-ci. Ces menaces peuvent
être physiques liées à des causes naturelles (foudre, incendie, dégât des
eaux...), ou humaines (vol, destruction de matériel...). Une menace peut être
non intentionnelle, par exemple le non-respect par les utilisateurs des règles
de sécurité de l’organisation par omission. Par exemple, un employé qui désire
endommager le réseau de l’organisation après son licenciement.
La « perte » est la destruction ou l’altération de tout ou partie des données
enregistrées dans le support magnétique ou optique du matériel
informatique. Cette perte peut être causé soit par une personne malveillante,
soit la vulnérabilité du système d’information.
Il est primordial pour une organisation de mesurer les risques potentiels de
faiblesse de son système d’information afin d’adopter sa stratégie de sécurité.
Cette mesure des risques doit prendre en compte la vulnérabilité et les
menaces dirigées vers sur le système d’information.
3.2 Les différents risques liés au SIC
On peut classer les risques liés à la sécurité du SI en trois facteurs : ceux liés
à un utilisateur du système, une personne malveillante, un programme
malveillant, un sinistre.
 Chapitre 3 Système d’information comptable
3.2.1 Le risque causé par un utilisateur du système
Un utilisateur du système peut, à cause d’une fausse manipulation, perdre ou
endommager des données. Cette erreur n’est pas volontaire mais plutôt
involontaire de l’utilisateur du système informatique. Elle peut être aussi
d’une erreur venant de l’inconscience, c’est à dire des utilisateurs exécutent
des programmes sans être conscients des risques pris (en cliquant sur la pièce
jointe d’un courriel par exemple).
Une bonne politique de sauvegarde permettra de restaurer les données
perdues.
3.2.2 Le risque causé par une personne malveillante
La sécurité du système d’information peut être menacée aussi par une
personne malveillante qui est soit de l’extérieur de l’entreprise ou qui est un
salarié de cette dernière. Cette personne malveillante est appelée soit un
hacker soit un cracker. Le premier est une personne qui parvient illégalement
ou sans autorisation à accéder à un système informatique ou à une partie de
celui-ci. Par contre, le deuxième est un criminel informatique qui exploite les
failles dans une procédure d’accès pour casser un système informatique, qui
viole l’intégrité de ce système en dérobant, altérant ou détruisant de
l’information, ou qui copie frauduleusement des logiciels.
Au niveau d’Internet, le phishing ou « hameçonnage » est une manœuvre qui
vise à voler de l’argent à quelqu’un en se faisant communiquer son code
confidentiel, son mot de passe, son numéro de carte bancaire, via un mail.
3.2.3 Le risque causé par un logiciel malveillant (ou malware ou
maliciel)
Un logiciel malveillant ou maliciel, aussi dénommé logiciel nuisible ou
programme malveillant ou pourriciel est un programme développé dans le but
de nuire à un système informatique, sans le consentement de l'utilisateur dont
l'ordinateur est infecté.
Il existe plusieurs logiciels utilisés par les pirates pour infecter un ordinateur :
Un ver est un logiciel malveillant indépendant qui se transmet d’ordinateur à
ordinateur par l’internet ou tout autre réseau et perturbe le fonctionnement
des systèmes concernés en s’exécutant à l’insu des utilisateurs.
Contrairement au virus, le ver ne s’implante pas au sein d’un autre
programme. Les vers sont souvent conçus pour saturer les ressources
disponibles ou allonger la durée des traitements.
Un cheval de Troie est un logiciel apparemment inoffensif, installé ou
téléchargé et au sein duquel a été dissimulé un programme malveillant qui
7 Chapitre 3 Système d’information comptable 8
peut permettre la suppression de données, le blocage de données, la
modification de données, la copie de données, la perturbation des
performances des ordinateurs ou des réseaux informatiques…
Un espion de clavier (ou renifleur) est un petit programme de surveillance,
installé à l’insu de l’utilisateur, qui permet d’enregistrer dans un fichier
chacune des touches frappées sur le clavier d’ordinateur, notamment les mots
de passe, pour récupération et consultation ultérieure.
Un spam (pourriel) est l’envoi d’un même message électronique à un très
grand nombre de destinataires. Il encombre les boîtes aux lettres
électroniques, il génère une attente inutile pendant leur téléchargement, leur
élimination entraîne une perte de temps… Et surtout, des virus, des hoax ou
des phishings peuvent être associés à des spams.
3.2.4 Le risque causé par un sinistre
Un vol, un incendie, une tempête, un dégât des eaux peuvent entraîner une
perte de données et/ou de matériel. Les sinistres sont accidentels (exemple :
une inondation qui détruit les données stockées dans les disques durs des
ordinateurs) ou résultent d’actes de malveillance (exemple : incendie commis
par des pyromanes).
Les conséquences liées après une attaque dans un SI
4 faiblement sécurisé
Un système d’information faiblement sécurisé peut subir à l’entreprise des
pertes importantes. Ces dernières peuvent être directes :
• les pertes matérielles dues aux frais d’expertise, frais de déblaiement,
frais de réparation ou de remplacement de matériel endommagé… ;
• les pertes non matérielles dues aux frais d’expertise et de restauration
des éléments non matériels du système atteint (SE, données,
programmes, procédures, documentation…) ;
Elles peuvent être aussi indirectes comme :
• les pertes de temps de travail (pendant que le SI est indisponible, le
personnel ne peut plus travailler) ;
• les pertes d’affaires, de clients, d’image de marque (et donc de chiffre
d’affaires) ;
• les pertes d’informations confidentielles, de savoir-faire, d’éléments non
reconstituables du système.
 Chapitre 3 Système d’information comptable
Eléments d’une politique de sécurité pour le système
5 d’information comptable
5.1 Intérêt de la mise en place d’une politique de sécurité du SI
La politique de sécurité du système d’information (PSSI) définit les objectifs
à atteindre et les moyens mobilisés pour y parvenir à la sécurité voulue
par l’entreprise. Elle doit être en conformité avec les orientations stratégiques
de l’organisation. Par ailleurs, elle fixe aussi les responsabilités des différents
intervenants : responsable du SI, utilisateurs, partenaires de l’organisation.
Cette politique est conduite par le responsable de la sécurité du système
d’information car elle est un long processus qui va être réalisé sur le long
terme. Durant la mise en œuvre de la politique de sécurité mise en place dans
l’entreprise, les dirigeants et le responsable de sécurité du SI doivent toujours
être à l’écoute des besoins des utilisateurs car ce sont eux qui alimentent en
données le système d’information et qui l’utilisent.
Une fois mise en place, les moyens de protection vont protéger les ressources
ou les données informatiques de l’organisation afin de garantir confidentialité,
intégrité et disponibilité des informations que les utilisateurs traitent
quotidiennement, dans le respect de la politique mise en place par l’entreprise.
5.2 Rôle du facteur humain dans la sécurité du SIC
Le rôle du facteur humain dans la sécurité du système d’information se situe
au niveau stratégique et tactique, dans la rédaction par le responsable du SI
de la politique de sécurité, et au niveau opérationnel dans le respect par les
utilisateurs des règles et procédures définies.
5.2.1 Rôle du responsable dans la sécurité du SI
Le responsable de la sécurité du SI (RSSI) fixe les obligations en matière de
sécurité en correspondance avec la stratégie globale de l’organisation. Il est
chargé de :
➢ évaluer les faiblesses des systèmes d’information de son entreprise
➢ élaborer une charte informatique récapitulant les mesures pratiques et
conditions d’utilisation des ressources informatiques de l’entreprise.
Elle doit être signée par les utilisateurs du système d’information
➢ sensibiliser les utilisateurs aux problèmes de sécurité et au respect des
règles juridiques,
➢ assurer la sécurité du patrimoine matériel et immatériel de
l’organisation,
➢ établir et de mettre en œuvre une politique de sauvegarde et de
restauration des données en cas de destruction volontaire ou de perte
involontaire des données informatiques,
9 Chapitre 3 Système d’information comptable 10
➢ assurer la continuité des services informatiques en cas de panne ou
d’attaque venant de l’extérieur ou de l’intérieur.
Le responsable de la sécurité du SI doit conduire une politique sur le long
terme en adéquation avec la stratégie de l’organisation mais également à
moyen et court terme être à l’écoute des besoins utilisateurs.
5.2.2 Rôle des utilisateurs dans la sécurité du SI
La sensibilisation et la responsabilisation des utilisateurs aux problèmes de
sécurité sont primordiales puisqu’ils sont les acteurs principaux du système
d’information.
Comme les utilisateurs doivent protéger les données ou les ressources
informatiques de l’entreprise, leur rôle dans la sécurité du système
d’information est :
• ne pas communiquer son mot de passe aux autres collègues et de le
changer régulièrement,
• ne jamais laisser sa session ouverte,
• signer la charte informatique et la respecter tout au long de son travail
dans l’entreprise,
• protéger ses données personnelles et celles de l’entreprise,
• se méfier des collègues indélicats qui veulent voir votre mot de passe
afin de voler vos données personnelles,
• ne pas cliquer sur des fichiers corrompus contenant des virus dans son
mail,
• Etc.
5.3 Procédés de sécurisation du système d’information comptable
Il s’agit de tous les outils et moyens permettant à l’entreprise de protéger son
système d’information comptable contre les éventuelles menaces et
vulnérabilité. L’avantage de ces procédés mis en place dans l’entreprise est
celui d’offrir une sécurité de haut niveau pour son système d’information.
Ainsi, ce dernier répondra aux quatre caractéristiques (confidentialité,
intégrité, disponibilité et la non-répudiation) qu’on recherche à un système
d’information bien sécurisé. Quant à l’inconvénient, ils peuvent être coûteux
et représentent tout un investissement.
Les procédés de sécurisation du système d’information sont :
Chapitre 3 Système d’information comptable 11

Outils ou procédés de
protection Utilité du procédé de protection

C’est un logiciel de sécurité qui procède,

automatiquement ou sur demande, à l’analyse des
fichiers et de la mémoire d’un ordinateur, soit
pour empêcher toute introduction parasite, soit
Antivirus pour détecter et éradiquer tout virus dans un
système informatique.

Exemples d’antivirus : Norton (payant), Avast

(gratuit)

C’est un logiciel qui permet de se prémunir contre

le spam. Il analyse l’adresse et le contenu du
courrier grâce à un moteur heuristique de haut
niveau. Ainsi, il va refuser toute adresse qui est
mise dans la liste noire (expéditeur refusé) et
Anti-spam
accepter celle qui se trouve dans la liste blanche
(expéditeur autorisé). Il met automatiquement à
jour les spams qu’il faut éviter.

Exemple : Emjysoft Anti-Spam

Il bloque les connexions depuis l’extérieur, ainsi

cela va permettre de bloquer les intrusions dans le
Pare feu
réseau local. Cela procure une bonne protection
du réseau

Il s’agit d’un dispositif qui protège les serveurs :

❖ des microcoupures électriques,
Onduleur ❖ des surtensions électriques,
❖ en cas de coupure, maintien d’une alimentation
le temps que le serveur s’arrête correctement.

Pour la sécurité des sites Internet que les salariés

surfent quotidiennement dans leurs ordinateurs,
Sécurité du il faut soit :
navigateur ❖ Bloquer certains sites Internet,
❖ Sensibiliser aux salariés qu’ils limitent les
cookies des sites Internet autorisés