Académique Documents
Professionnel Documents
Culture Documents
Le Manuel de Préparation À Cisa Par Mvondo Bekey Anael
Le Manuel de Préparation À Cisa Par Mvondo Bekey Anael
Contact De L’auteur :
Présentation
Présentation
Qu’est ce que cisa ?
Pourquoi cisa ?
CISA vous permet d'être reconnu, non seulement au niveau national, mais aussi au
niveau international, comme un professionnel possédant les connaissances, les
compétences et la crédibilité nécessaires pour offrir des avis et des solutions, et
pour auditer tous les domaines liés aux systèmes d'information.
Public cible
- Auditeur
- Consultant It
- Responsable It
- Responsable sécurité
Prérequis
L’etudiant doit avoir des Connaissances générales en informatique, sécurité, réseaux en
administration system et en audit
Introduction
Qu'est-ce qu'un audit informatique ?
L’audit informatique consiste à évaluer le système informatique d’une entreprise à partir
d’une base de références commune au secteur et à la région d’activité. Son objectif est
d’identifier et d’analyser les risques liés à l’environnement numérique d’une entreprise ou
d’une administration. Il est un outil de contrôle et s’assure que l’organisme répond à trois
critères : la conformité aux lois, la fiabilité des informations financières, l’optimisation des
opérations.
La démarche répond à une lettre de mission précise, rédigée par le mandant, qui
correspond à l’état des bonnes pratiques. Basé sur l’infogérance, le mandataire va alors
évaluer les observations qu’il fait d’un service et proposer des recommandations. Les
critères sont les suivants : la conformité aux lois, l’intégrité et la confidentialité des
informations et l’optimisation des opérations.
• La fonction informatique
L’audit va évaluer l’organisation de la fonction informatique au sein de l’entreprise, son
pilotage, son positionnement. Il se base ainsi sur les pratiques connues comme la clarté
des structures et des responsabilités de l’équipe, la définition des relations, l’existence
des dispositifs de mesures comme un tableau de bord, le niveau des compétences du
personnel.
Il a ainsi pour objectif de mettre en œuvre des procédures spécifiques à la fonction, de
définir ses responsabilités respectives, de suivre les coûts informatiques et de mesurer
l’impact de l’informatique sur les performances de l’entreprise.
Par ailleurs, au sein même de la fonction informatique, l’audit relève également des
• L’exploitation
On cherche également à s’assurer du bon fonctionnement et de la bonne gestion des
centre de production informatique en se basant sur l’organisation, la mesure de la qualité
des services fournis par l’exploitation informatique et la gestion des ressources et
incidents.
• La sécurité
Enfin, l’audit de la sécurité informatique donne au management d’une entreprise une
garantie du niveau de risque de l’organisme et de ses vulnérabilités. L’audit de sécurité
informatique va ainsi se baser sur le repérage des actifs informationnels de l’entreprises
afin d’adapter leur procédure de gestion, l’identification des risques, l’évaluation des
menaces, la mesure des impacts et la définition des parades.
Ce domaine définit les procédures et la méthodologie qu’un auditeur des SI doit suivre
lors de la réalisation d'un audit des systèmes d'information.
Objectif du chapitre:
A la fin de ce chapitre l apprenant doit savoir :
- Expliquer les concepts de la planification de l'audit basée sur les risques et les
techniques de gestion de projet d'audit, y compris le suivi.
La première tâche
consiste à mettre en œuvre une stratégie d'audit des SI basée sur les
risques afin de s'assurer que les zones de risque primaire sont entièrement auditées.
Ces zones de risque sont celles qui ont le plus d'impact ou d'exposition pour
l'organisation.
Ces zones se trouvent généralement autour des activités critiques de l'organisation.
L'auditeur SI doit toujours garder à l'esprit que tout n'a pas besoin d'être audité, ni
même ne peut l'être.
Et que, par conséquent, les domaines d'intérêt supérieur doivent être priorisés.
Pour ce faire, l'auditeur SI doit connaître les stratégies et les normes d'audit en vigueur.
Du point de vue de la CISA, la meilleure source est peut-être le Cadre de pratiques
professionnelles pour l'audit et la certification des SI (ITAF) qui peut être téléchargé sur
http://www.isaca.org. Bien que les questions de l'examen ne sont pas directement tirées
de l'ITAF, il couvre néanmoins toutes les normes et directives intégrées dans la CISA.
normes et directives intégrées dans l'examen CISA.
La deuxième tâche
La deuxième tâche intégrée à ce domaine consiste à formuler les plans d'audit pour des
audits spécifiques afin de déterminer si les systèmes d'information sont protégés,
contrôlés et apportent une valeur à l'organisation.
Le plan incorpore la portée de l'audit, c'est-à-dire ce qui est inclus et ce qui est exclu de
cet audit particulier.
la sélection des systèmes à auditer étant dérivée de l'évaluation du risque d'audit.
Le plan d'audit type comprendra l'identification des risques liés au système, des
contrôles
internes conçus pour atténuer ces risques, et de l'évaluation des risques.
internes , y compris les contrôles généraux et l'environnement des systèmes, ainsi que
les contrôles spécifiques aux systèmes conçus pour traiter les risques dans un domaine
d'application donné.
Après avoir identifié les contrôles généraux, l'auditeur
identifierait généralement les contrôles clés qui régissent la majeure partie du risque et
conçoit les tests appropriés afin d'évaluer l'efficacité et l'efficience de ces contrôles dans
l'atténuation des risques.
La troisième tâche
pour obtenir les preuves et évaluer les résultats. L'évaluation doit aboutir à la conclusion
que le contrôle est maintenu niveau adéquat pour atténuer le risque d'entreprise ou qu'il
ne l'est pas, ainsi que des niveaux adéquats et que des recommandations pour
améliorer
l'efficacité du contrôle seront nécessaires.
Ces recommandations peuvent consister à l'amélioration de l'efficacité des contrôles
existants ou, lorsqu'il existe une lacune dans la structure de contrôle.
la mise en œuvre d'un nouveau contrôle peut être requise ou peut s'avérer nécessaire.
La quatrième tâche
Une fois le travail d'audit sur le terrain terminé et les résultats évalués,
la quatrième tâche consiste à communiquer les résultats de l'audit et les
recommandations aux principales parties prenantes et aux décideurs par le biais de
réunions et de la production de rapports d'audit afin de promouvoir le changement des
structures de contrôle si nécessaire.
La valeur que l'organisation tire d'un audit dépend de l'efficacité de la communication des
résultats de l'audit.
L'étape finale
L'étape finale de l'audit est la réalisation d'un suivi. Il est essentiel
que toutes les recommandations formulées dans le rapport d'audit soient suivies
afin de déterminer si la direction a pris les mesures correctives appropriées pour
résoudre
les faiblesses du contrôle en temps opportun.
appropriées pour remédier à toute faiblesse du contrôle en temps voulu.
Il peut arriver que l'auditeur constate que la direction a accepté le risque de ne pas
prendre de mesures supplémentaires ou même qu'elle n'a pris aucune mesure.
Ce suivi débouchera lui-même sur la production d'un rapport, quoique un bref rapport,
qui, espérons-le, indiquera que toutes les questions en suspens seront surement
résolues.
Énoncés de connaissances
- Les chartes ont tendance à être communes dans leur approche, bien que les chartes
individuelles soient adaptées pour répondre aux besoins uniques de l'organisation pour
laquelle elles sont conçues.
En raison de son rôle, définir la relation et les responsabilités qui devraient exister entre
Le chef de la direction, le responsable de l'audit du SI et le comité d'audit hiérarchique.
Dans la plupart des organisations, il est généralement perçu comme le cadre de
référence du chef de l'audit.
de référence pour le responsable de la fonction d'audit et fournit à la direction générale
une mesure du niveau d'assurance concernant la fiabilité et la qualité de l'audit interne.
d'assurance concernant la fiabilité et la qualité du contrôle interne au sein de
l'organisation.
Il sert également de point de référence lorsque la structure, les plans ou les rapports de
la fonction de ou les rapports de la fonction d'audit sont examinés.
Ils peuvent s'attendre à voir des contraintes dans le corps du document, qui préservent
leurs propres droits.
document, qui préserve leurs propres droits en tant que décideurs.
décisionnaires.
- La forme, le contenu et la formulation de la charte seront normalement choisis par la
fonction d'audit elle-même.
Ils seront généralement influencés par les normes d'audit des SI et doivent
encourager les meilleures pratiques professionnelles telles que définies par les
organismes professionnels appropriés.
La charte d'audit du SI peut être une publication indépendante ou, dans le cas d'une
ancienne fonction d'audit ou, dans le cas d'une fonction d'audit informatique déjà
constituée, faire partie de la charte d'audit informatique.
d'audit du SI.
- Le document est normalement signé à la fois par le directeur général et par le président
du comité d'audit.
d'accès aux personnes, aux propriétés, aux actifs et aux dossiers, ainsi que les
les termes de référence décrivant, en détail, le rôle et les objectifs de travail du
responsable de l'audit informatique.
L'accent est mis sur le rôle de l'auditeur dans l'examen et la validation des méthodes
d'acquisition et de test du matériel pour s'assurer qu'elles sont à la fois adéquates et
suivent les meilleures pratiques de l'industrie, et s'assurer que les systèmes
promulgués par l'informatique sont à la fois fiables et permettent d'atteindre les objectifs
de l'organisation.