Introduction à l’audit des systèmes d’information

TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION

AUDIT DES SYSTEMES D’INFORMATION

Introduction à l’audit

Victor OYETOLA

Université d’Abomey-Calavi, Service de la Promotion des TICs

August 6, 2022

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 1 / 17

 Introduction à l’audit des systèmes d’information
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION

1 Introduction à l’audit des systèmes d’information

Définition et contexte d’études
Les modèles d’audit des SI
le modèle de l’audit de besoin

2 TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION

L’audit de la fonction informatique
L’audit des études informatiques
L’audit de l’exploitation

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 2 / 17

 Introduction à l’audit des systèmes d’information Définition et contexte d’études
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION Les modèles d’audit des SI

L’audit informatique
consiste à:
réaliser une intervention par une personne indépendante et
extérieure au service audité
analyser tout ou une partie d’une organisation informatique
établir un constat des points forts et des points faibles
évaluer les risques des activités informatiques
dégager les recommandations d’amélioration

But de l’audit
Identifier, évaluer et déterminer les risques (opérationnels, financiers,
de réputation. . . ) associés aux activités informatiques d’une entreprise
ou d’une administration.

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 3 / 17

 Introduction à l’audit des systèmes d’information Définition et contexte d’études
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION Les modèles d’audit des SI

Aspects d’un processus d’audit des SI

un processus d’audit se base sur trois (3) aspects indispensables :
1 le cadre réglementaire du secteur d’activité dans le pays donné
2 les référentiels de bonnes pratiques existants (exemple le
référentiel CobiT, ITIL, VAL IT) ;
3 les benchmarks à disposition et sur l’expérience professionnelle
de l’auditeur impliqué.

Caractéristiques de l’audit
1 Evaluation globale de toutes les entités du SI
2 Evaluation thématique (sécurité, gestion de projet...)
Ne pas confondre audit et conseil. L’audit des SI ne peut être fait que
par des connaisseurs et nécessite des connaissances informatiques
avérées!!
Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 4 / 17
 Introduction à l’audit des systèmes d’information Définition et contexte d’études
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION Les modèles d’audit des SI

Un « modèle » est une base donnée pour servir de référence. On

distingue 2 types de modèles d’audit des systèmes d’information : et
le modèle de l’audit de besoin;
le modèle de l’audit de découverte des connaissances.

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 5 / 17

 Introduction à l’audit des systèmes d’information Définition et contexte d’études
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION Les modèles d’audit des SI

le modèle de l’audit de besoin

Un besoin: Définition
un besoin c’est:
un élément nécessaire à l’existence
un état qui résulte de la privation ou d’un manque du nécessaire.

le modèle de l’audit de besoin

Le modèle de l’audit du besoin est subdivisé en 2 grandes parties :
l’analyse de l’existant
la détermination de la cible

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 6 / 17

 Introduction à l’audit des systèmes d’information Définition et contexte d’études
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION Les modèles d’audit des SI

L’analyse de l’existant
L’analyse de l’existant consiste en:
un examen (appréciation) du terrain
une formalisation des « documents-types »
des interview des acteurs sur ces documents
la création de logigrammes issus des traitements de ces
documents
la création de graphes relationnels

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 7 / 17

 Introduction à l’audit des systèmes d’information Définition et contexte d’études
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION Les modèles d’audit des SI

La détermination de la cible
Elle consiste a:
référer le mode de circulation des informations
interpréter ces informations et répérer les redondances dans les
graphes
répérer la dispersion des infrastructures les points de contrôle
effectuer les validations si nécessaire
procéder au découpage en sous zones ou modules

Ces deux processus, avec l’audit de besoin, aboutissent à une

élaboration d’un projet informatique

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 8 / 17

 Introduction à l’audit des systèmes d’information Définition et contexte d’études
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION Les modèles d’audit des SI

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 9 / 17

 Introduction à l’audit des systèmes d’information Définition et contexte d’études
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION Les modèles d’audit des SI

Le modèle d’audit de découverte des connaissances consiste a:

valoriser les données et les connaissances existantes dans
l’entreprise
présenter in fine un modèle décisionel
Il se pratique en utilisant de la manière suivante:
on travaille sur un domaine
on travaille avec une équipe intégrée (in situ)
on travaille par boucle de prototypage
on utilise des algorithmes a apprentissage et visualisation des
données
les connaissances détectées sont formalisées
la validité des connaissances est vérifiée par des tests
statistiques: (Khi deux ou kappa)

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 10 / 17

 L’audit de la fonction informatique
Introduction à l’audit des systèmes d’information
L’audit des études informatiques
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION
L’audit de l’exploitation

Typologie de l’audit des SI

La démarche d’audit informatique est générale et s’applique à différents domaines comme:
la fonction informatique
les études informatiques
les projets informatiques
l’exploitation
la planification de l’informatique
les réseaux et les télécommunications
la sécurité informatique
les achats informatiques
l’informatique locale ou l’informatique décentralisée
la qualité de service
l’externalisation
la gestion de parc
les applications opérationnelles

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 11 / 17

 L’audit de la fonction informatique
Introduction à l’audit des systèmes d’information
L’audit des études informatiques
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION
L’audit de l’exploitation

L’audit de la fonction informatique

L’audit de la fonction informatique est de:
répondre aux préoccupations de la direction générale ou de la direction informatique,
l’organisation de la fonction informatique, son pilotage, son positionnement dans la
structure, ses relations.
Pour effectuer un audit de la fonction informatique on se base sur les bonnes pratiques connues
en matière d’organisation de la fonction informatique
La clarté des structures et des responsabilités de l’équipe informatique ;
La définition des relations entre la direction générale, les directions fonctionnelles et
opérationnelles et la fonction informatique ;
L’existence de dispositifs de mesures de l’activité et notamment d’un tableau de bord de la
fonction informatique ;
Le niveau des compétences et des qualifications du personnel de la fonction

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 12 / 17

 L’audit de la fonction informatique
Introduction à l’audit des systèmes d’information
L’audit des études informatiques
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION
L’audit de l’exploitation

L’audit des études informatiques

L’audit des études informatiques est est un sous-ensemble de l’audit de la fonction informatique.
Il a pour but de s’assurer que:
son organisation et sa structure sont efficaces
son pilotage est adapté
ses différentes activités sont maîtrisées
ses relations avec les utilisateurs se déroulent normalement
Pour effectuer un audit des études informatiques on se base sur les bonnes pratiques recensées
dans ce domaine
L’organisation de la fonction études en équipes, le choix des personnes et leur formation,
leurs responsabilités
La mise en place d’outils et de méthodes adaptés des plannings, des budgets, des
dispositifs de suivi des études, un tableau de bord
Le contrôle des différentes activités qui ne peuvent pas être planifiées comme les petits
projets, les projets urgents;
La mise sous contrôle de la maintenance des applications opérationnelles
Le suivi des activités d’études à partir de feuilles de temps

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 13 / 17

 L’audit de la fonction informatique
Introduction à l’audit des systèmes d’information
L’audit des études informatiques
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION
L’audit de l’exploitation

L’audit de l’exploitation
L’audit de l’exploitation s’assure de l’efficacité du fonctionnement des différents centres de
production. On peut utiliser des outils comme Nagios, OpenView ou Tivoli. on se base sur les
bonne pratiques suivantes:
La clarté de l’organisation de la fonction :le découpage en équipes, la définition des
responsabilités;
L’existence d’un système d’information dédié à l’exploitation pour suivre la gestion des
incidents, la gestion des ressources, la planification des travaux, les procédures
d’exploitation;
La mesure de l’efficacité et de la qualité des services fournies par l’exploitation
informatique
ceci permet de dégager les objectifs de contrôle suivants:
La qualité de la planification de la production
La gestion des ressources grâce à des outils de mesure de la charge, des simulations, et
le suivi des performances
La gestion des incidents leur repérage et leur empêchement futur;
Les procédures de sécurité et de continuité de service par un PCA ou PRA
La maîtrise des coûts de production par le service comptabilité et le calcul des coûts
complets des produits ou des services fournis.

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 14 / 17

 L’audit de la fonction informatique
Introduction à l’audit des systèmes d’information
L’audit des études informatiques
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION
L’audit de l’exploitation

L’audit des projets informatiques

Il assure que le projet suit son cours normal jusqu’à la fin. on se base sur les bonne pratiques
suivantes:
L’existence d’une méthodologie de conduite des projets ;
La conduite des projets avec le modèle cascade, V, W ou en spirale;
Le respect des étapes et des phases du projet ;
Le pilotage: rôles du chef de projet et du comité de pilotage ;
La conformité du projet aux objectifs généraux de l’entreprise ;
La qualité et la complétude des études amont : faisabilité et analyse fonctionnelle ;
La mise en place d’une note de cadrage, d’un plan de management de projet;
L’importance accordée aux tests faits par les utilisateurs.
ceci permet de dégager les objectifs de contrôle suivants:
la clarté et l’efficacité du processus de développement;
L’existence de procédures, de méthodes et de standards avec instructions claires aux
développeurs et aux utilisateurs ;
La vérification de l’application effective de la méthodologie ;
La validation du périmètre fonctionnel très tôt dans le processus de développement ;
La gestion et l’Evaluation des risques aux étapes clés du projet.
Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 15 / 17
 L’audit de la fonction informatique
Introduction à l’audit des systèmes d’information
L’audit des études informatiques
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION
L’audit de l’exploitation

L’audit des applications opérationnelles (régularité, conformité, productivité, pérennité)

Son but est de donner au management une assurance raisonnable sur son fonctionnement. Il
couvre un domaine plus large, la paie, la RH, la facturation, la vente, la production, les achats.
on s’interresse ici :
Aux contrôles en place sont-il opérationnels? suffisants? ;
Aux données saisies, stockées ou produites par des traitements, sont elles de qualité?;
Aux traitements; sont ils efficaces, donnent ils les résultats attendus?
Aux documentations; sont elles suffisantes?
Aux procédures mises en œuvre sont elles à jour et adaptées?
L’exploitation informatique de l’application se fait dans de bonnes conditions
La fonction ou le processus couvert par l’application est efficace et productif;
Les contrôles suivants sont effectués:
La conformité de l’application par rapport à la documentation utilisateur, au cahier des
charges, aux besoins des utilisateurs
La vérification des dispositifs de contrôle en place (sur les données entrées, les données
stockées, les sorties, les traitements)
L’évaluation de la fiabilité des traitements se fait grâce à l’analyse des erreurs ou des
anomalies qui surviennent dans le cadre des opérations courantes.(jeux d’essais)
La mesure des performances de l’application (le temps de réponse:intense activité)
Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 16 / 17
 L’audit de la fonction informatique
Introduction à l’audit des systèmes d’information
L’audit des études informatiques
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION
L’audit de l’exploitation

L’audit de la sécurité informatique

Son but donner au management une assurance raisonnable du niveau de risque de l’entreprise
lié à des défauts de sécurité. Les risques de sécurité se sont accrus à cause du développement
de l’internet. on dit souvent:
qu’il existe en permanence des menaces significatives concernant la sécurité informatique
de l’entreprise sur ses biens immatériels ;
que le facteur de risque est une cause de vulnérabilité due à une faiblesse de
l’organisation, des méthodes, des techniques ou du système de contrôle ;
que tôt ou tard le risque se manifeste. Il peut être physique (incendie, inondation) invisible
(la destruction des données, l’indisponibilité du service, et le détournement de trafic) ;
la maîtrise du risque(les contrôle d’accès, et l’authentification des utilisateurs)

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 17 / 17

 L’audit de la fonction informatique
Introduction à l’audit des systèmes d’information
L’audit des études informatiques
TYPOLOGIE DE L’AUDIT DES SYSTEMES D’INFORMATION
L’audit de l’exploitation

L’audit de la sécurité informatique

l’audit de sécurité se fait sur les objectifs de contrôle suivants:
Repérer les actifs informationnels de l’entreprise. Ce sont des matériels informatiques, des
logiciels et des bases de données. Il est pour cela nécessaire d’avoir des procédures de
gestion efficaces et adaptées ;
Identifier les risques. Il doit exister des dispositifs de gestion adaptés permettant de
surveiller les domaines à risque. Cette surveillance doit être assurée par un RSSI
(Responsable de la Sécurité des Systèmes d’Information) ;
Evaluer les menaces. Le RSSI a la responsabilité de repérer les principaux risques liés
aux différents domaines du système d’information. Un document doit recenser les
principales menaces ;
Mesurer les impacts. Le RSSI doit établir une cartographie des risques associés au
système d’information. Il est alors envisageable de construire des scénarios d’agression et
d’évaluer les points de vulnérabilité ;
Définir les parades. Pour diminuer le niveau des risques il est nécessaire de prévoir les
dispositifs comme des contrôles d’accès, le chiffrement des données, le plan de
secours,. . .

Victor OYETOLA AUDIT DES SYSTEMES D’INFORMATION 18 / 17