AUDIT DES SYSTÈMES

D’INFORMATION (ASI)

Master
SUPMTI

Année 2021/2022 Pr.Zineb GOTTI

MODES D’EVALUATIONS ET PONDERATIONS

1. Compte rendu des Ateliers 40%

2. Control continu 20%

3. Examen écrit 40%
 PLAN DU COURS

1. Introduction à l’audit des SI

2. Principes généraux de l’audit des SI

3. Démarche d’audit des SI

4. Les référentiels de l’audit des SI

5. Politique de sécurité des SI

 OBJECTIFS DU COURS

✓ Présenter les différentes facettes de l’audit des systèmes

d’information:
✓ démarche à suivre,
✓ le modèle à prendre en considération,
✓ la catégorie de l’audit

✓ Maitriser les normes professionnelles et les référentiels nécessaires

à la réalisation de l’audit des systèmes d’information ;
✓ Fournir les concepts relatifs aux processus de planification et
d’organisation de l’élaboration du plan de l’audit des systèmes
d’information.
 PARTIE I

INTRODUCTION À L’AUDIT DES SI

SYSTÈMES D’INFORMATION
Définitions

 Une information
 est un élément qui permet de compléter notre connaissance sur une
personne, un objet, un évènement.
 Un système d’information
 est constitué par l’ensemble des informations relatives à un domaine
bien défini
 est l'ensemble des informations circulant dans l'entreprise et des
moyens mis en œuvre pour les gérer
 représente l'ensemble des éléments participant à la gestion, au
traitement, au transport et à la diffusion de l'information au sein et à
l’extérieur de l'organisation.
SYSTÈMES D’INFORMATION
Définitions

Confusion

Données informations
Ex Dans une librairie, un client demande au vendeur si le livre "L'étranger"
(Albert Camus) est disponible en stock. Le vendeur consulte la base de
données de la librairie à l'aide de son ordinateur et confirme au client
que le livre est disponible. Le vendeur a donc donné au client
l'information que le livre est en stock. Afin de pouvoir donner cette
information, le vendeur a du consulter les données qui représentent le
stock de la librairie. Le fait de consulter le stock constitue un
traitement sur les données du stock.

Informations entrantes Informations sortantes

Système
d'information
SYSTÈMES D’INFORMATION
Définitions

 Une information
 est un bien important pour l’entreprise.
 Elle constitue un élément essentiel à son activité.
 Disponibilité
 Propriété d’être accessible et utilisable à la demande par une entité autorisée.
 Confidentialité
 Propriété selon laquelle l’information n’est pas rendue accessible ou divulguée à des
personnes, entités ou processus non autorisés
 Intégrité
 Propriété de protection de l’exactitude ( véracité )
 Traçabilité
 désigne la situation où l'on dispose de l'information nécessaire et suffisante pour
connaître la composition d'un matériau ou d'un produit du commerce tout au long de
sa chaîne de production, de transformation et de distribution.
SYSTÈMES D’INFORMATION
Rôle

 Le système d’information représente l’ensemble de moyens, de

ressources, d’éléments organisés permettant de:
 collecter,
 saisir,
 Traiter (consulter des données, ajouter des données,
supprimer de données, modifier de données)
 Stocker,
 diffuser l’information.
 L’objectif de la mise en place des systèmes d’information se
résume dans leur rôle d’aide à la conception de la stratégie de
l’entreprise, ainsi que celui de la supervision de sa réalisation.
AUDIT DES SYSTÈMES D’INFORMATION
Définition

 L’audit vient du latin audire qui signifie écouter.

 A cette époque ce terme désignait un contrôle effectué au nom de
l’empereur sur la gestion des provinces.

 L’audit des systèmes d’information, aussi appelé « audit informatique »

consiste à une intervention réalisée par: une personne indépendante et
extérieure au service audité, qui permet:
➢ d’analyser tout ou une partie d’une organisation informatique,
➢ d’établir un constat des points forts et des points faibles et dégager
ainsi les recommandations d’amélioration.
AUDIT DES SYSTÈMES D’INFORMATION
Définition

 L'audit des SI peut aussi être défini comme l'évaluation des risques des
activités informatiques, dans le but:
➢ d'apporter une diminution de ceux-ci
➢ d'améliorer la maîtrise des systèmes d'information

L'audit informatique est l'évaluation des risques et performances liée

aux activités informatiques, dans le but d'apporter une diminution des
premiers, une amélioration des seconds et globalement de mieux
maîtriser le système.
AUDIT DES SYSTÈMES D’INFORMATION
Aspects indispensables

 L’audit informatique a pour objectif d’identifier et d’évaluer et

déterminer les risques (opérationnels, financiers, de réputation…)
associés aux activités informatiques d'une entreprise ou d'une
administration.
 À cette fin, pour sa mise en place effective, un processus de l’audit des
systèmes d’information va se baser sur trois aspects indispensables :
➢ la conformité aux lois et aux règlements
➢ La fiabilité des informations financières,
➢ la réalisation et l'optimisation des opérations
➢ Il est évident que l’audit des SI s’intéresse surtout au troisième objectif.
AUDIT DES SYSTÈMES D’INFORMATION
Caractéristiques

 L’audit des systèmes d’information requiert deux grandes

caractéristiques pour sa mise en place effective :

 La première caractéristique : comporte les évaluations globales d'entités

durant lesquelles toutes les activités ayant trait aux systèmes
d’informations sont évalués.
 La seconde caractéristique: correspond aux évaluations
correspondantes aux audits thématiques, ayant pour objectif la revue
d’un thème informatique au sein d’une entité
 Exemple: la gestion de projet, la sécurité.
AUDIT DES SYSTÈMES D’INFORMATION
Personnes impliquées

 La démarche d'audit informatique se définit à partir des

préoccupations du demandeur d'audit qui peut être:
 le directeur général,
 le directeur informatique,
 le directeur financier,…
 Il va pour cela mandater l'auditeur pour répondre à une liste de
questions précises qui font, plus ou moins implicitement, référence à
l'état des bonnes pratiques connues dans ce domaine.
 L’audit informatique est une mission, qui ne demande pas de simples
auditeurs, puisque ces derniers doivent avoir de fortes connaissances en
informatique.
AUDIT DE BASE DE DONNÉES
Modélisation

 Les étapes de modélisation d’un système d’information se

résumerons comme suit:
 Analyse de la situation existante et des besoins

 Création d'une série de modèles, qui permettent de

représenter tous les aspects importants

 A partir des modèles, implémentation d'une base de données

relationnelle
AUDIT DE BASE DE DONNÉES
Audit

 Il consiste à analyser l'existant d'une base de données (ou d'un

ensemble cohérent de bases de données) plus ou moins
profondément afin d'en diagnostiquer l'état et de préconiser des
améliorations, essentiellement sur le plan de la conformité et des
performances.
 Il existe différents niveaux de l'audit de base de données, citant:
 Audit de structure : Il s'agit de montrer si la structure de la base est
en adéquation avec les exigences fonctionnelles et particulièrement
adaptée à l'usage qui en est fait (requêtes).
 On vérifiera en particulier que le modèle de données a respecté des
règles de l'art :
➢ (MCD, MLD), respecte des formes normales, contraintes de
domaine, ... et correspond à la nécessité de service.
BASES DE DONNÉES RELATIONNELLES
Elaboration d’une base de données

 Pour élaborer une base de données relationnelles,

il faudra passer par les deux étapes suivantes:

1) Concevoir la base de données en utilisant une

méthode de modélisation (UML ou Merise)
2) Transformer le modèle conceptuel en modèle
logique
MODÈLE CONCEPTUEL DE DONNÉES
Définition du MCD

▪ Le Modèle Conceptuel de Données est un modèle qui nous permet de

concevoir la structure de données utilisables dans notre (SI)

▪ Il se compose de quatre concepts de base :

▪ Propriété

▪ Entité

▪ Association

▪ Cardinalité
 MODÈLE CONCEPTUEL DE DONNÉES
Propriété

▪ Est une donnée atomique que l’on perçoit sur une entité

ou association

Propriété ▪ Exemple:

Le numéro client, Nom clients et Prénom.

 Chaque propriété dispose d’un type(alphabétique,

alphanumérique, numérique, date, logique,…).
 MODÈLE CONCEPTUEL DE DONNÉES
Entité

▪ Une entité est la représentation d'un élément dans

un (SI)

L’entité ▪ Chaque entité regroupe un ensemble de propriétés.

▪ La représentation d’une entité s’appelle une

occurrence de l’entité.
MODÈLE CONCEPTUEL DE DONNÉES
Entité

Entité Occurrence
 MODÈLE CONCEPTUEL DE DONNÉES
Propriété

▪ Est une propriété qui permet de connaître de façon unique

Identifiant
et sûre les occurrences d’une entité donnée.

▪ Graphiquement les identifiants sont les attributs soulignés

Identifiant
 MODÈLE CONCEPTUEL DE DONNÉES
Association

▪ Est la liaison qui lie entre les entités du (SI)

▪ Exemple:

Association ➢ Un client peut commander des produits.

➢ Les entités de notre SI sont : Client et Produit.

➢ La relation est Commander

 MODÈLE CONCEPTUEL DE DONNÉES
Association

▪ Il y a plusieurs types d’associations: association

Association binaire, ternaire, reflexive.
 MODÈLE CONCEPTUEL DE DONNÉES
Cardinalité

▪ indiquent pour chaque entité, les nombres

Cardinalités
mini et maxi d’occurrences de l’association

pouvant exister pour une occurrence de

l’entité.
 MODÈLE CONCEPTUEL DE DONNÉES
Cardinalité

▪ La cardinalité minimale :(0 ou 1)

▪ exprime le nombre de fois minimum qu’une occurrence d’une

Cardinalités
entité participe aux occurrences d’une relation.

▪ La cardinalité maximale (1 ou n) exprime le

nombre de fois maximal qu’une occurrence d’une entité

participe aux occurrences de la relation.

MODÈLE CONCEPTUEL DE DONNÉES
Cardinalité
 Une cardinalité minimum à 0 signifie qu’il est possible
d’observer (un jour) une occurrence d’entité sans
occurrence d’association.
 Donc 4 combinaisons possibles :
0,1 au plus 1
1,1 1 et 1 seul
1,n au moins 1
0,n un nombre quelconque
AUDIT DE BASE DE DONNÉES
Règles de normalisation d’un MCD
▪ Une des étapes essentielles à l’élaboration d’un MCD
consiste à vérifier le MCD en appliquant un certain nombre
de règles dites de normalisation.

Règle 1 toute entité doit posséder un identifiant.

toutes les propriétés d’une entité ou d’une

association doivent être élémentaires
Règle 2
Exp : la propriété ADRESSE se décompose par exemple
en deux propriétés élémentaires RUE et VILLE
 AUDIT DE BASE DE DONNÉES
Règles de normalisation d’un MCD

chaque propriété ne peut prendre qu’une seule valeur (on

ne peut avoir de valeurs répétitives pour une même
Règle 3 propriété.)
Exp : nom salarie, projet1, projet2…

toutes les propriétés autres que l’identifiant doivent

dépendre directement de l’identifiant et non d’une partie
Règle 4 de celui-ci.(par une dépendance élementaire et directe)
Exp : identifiant (numdiv,nomsal), la propriété nom-div
dépend uniquement de num div
MODÈLE LOGIQUE DE DONNÉES
Définition

Le Modèle Logique des données est un ensemble de

relations qui sera traduit physiquement par une base de
données.
MODÈLE LOGIQUE DE DONNÉES
Schéma relationnel

▪ Le schéma relationnel est un ensemble de tables ou relation

sémantiquement liées.

▪ il consiste en l’écriture de la liste des tables et de leurs colonnes

associées.

Schéma relationnel

Textuel Graphique
MODÈLE LOGIQUE DE DONNÉES
Table, Enregistrement, Attribut
 La structure d’une table est comme suit:
Champs (attributs ou colonnes)

fabricant modèle fréquence

Intel Pentium 4 3000

Intel Pentium M 2000 Tuples

table (enregistrements
Intel Pentium D 3000 Ou lignes)

AMD Athlon XP 2800

AMD Athlon 64 X2 3800

LE MODELE RELATIONNEL
PASSAGE DU CONCEPTUEL AU LOGIQUE
Règles de transformation

Entité Table

Identifiant Clé primaire

Propriété Attributs/
colonne

Association Relation
PASSAGE DU CONCEPTUEL AU LOGIQUE
Règles de transformation

la clé primaire de l’entité coté n

Association (X,1)-(X,n) devient clé étrangère dans la
relation coté 1

- Soit la clé primaire de l’entité 1

Association (X,1)-(X,1) migre dans l’entité 2 ou
inversement.

- L’association devient une

nouvelle table.
Association (X,n)-(X,n) - La clé de cette nouvelle table est
composé des clés primaires des
deux tables
PASSAGE DU CONCEPTUEL AU LOGIQUE
Association 1,n

MCD

MLD
PASSAGE DU CONCEPTUEL AU LOGIQUE
Association 1,1

MCD

MLD
PASSAGE DU CONCEPTUEL AU LOGIQUE
Association n,n

MCD

MLD
EXERCICE DE SYNTHÈSE
Gestion des hôtels

Une société de gestion des hôtels lance un projet pour informatiser son mode de
travail. Chaque hôtel est composé d’au moins 1 ou plusieurs chambres. Il est
caractérisé par une adresse, nombre de pièces, nombre minimum et maximum
d’étages et une personne qui le gère. Les chambres de ces hôtels sont
composées d’au plus une salle de bain. Elles sont identifiées par un numéro, un
prix, associées à un étage, et chaque chambre a un nombre de lits selon le
besoin des clients. Bien sûr la salle de bain est associée à un étage et a un
numéro unique. Les personnes qui louent les chambres d’un hôtel représentent
les clients. On aura besoin d’enregistrer leurs cin, nom, age et sexe

1. Elaborer le MCD de ce système d’information

2. Transformer ce modèle en un MLD