LES CONCEPTS DE L’AUDIT

INFORMATIQUE

Célestin MBINA
11/04/2018
 SOMMAIRE

• Introduction
• Définition de l’audit informatique
• Les différents types d’audit informatique
• Les acteurs de l’audit informatique
• La démarche de l’audit informatique
• Les référentiels de l’audit informatique
 Introduction
L’informatique est au cœur de toutes les fonctions
d’une entreprise. Sa fiabilité et sa sécurité sont
essentielles pour le bon fonctionnement de l’entreprise.

Des menaces peuvent venir de l’extérieur avec

l’utilisation importante d’Internet au quotidien et/ou de
l’externalisation de certains services (e-mail, stockage,
hébergement…) comme de l’intérieur avec l’entrée (ou
la sortie) de données importées sur les postes clients et
les serveurs par les utilisateurs.
 Introduction
En tant que Chef d’entreprise, vous devez vous poser
certaines questions :

 Est-ce que je contrôle totalement le flux de données

entrant et sortant de mon entreprise ?
 Ai-je une totale confiance dans mon matériel, leurs
systèmes d’exploitation et mes logiciels ?
 Mes serveurs sont-ils capables de contrer n’importe
quelle attaque réseau ?
 Mon infrastructure est-elle bien conçue et dimensionnée
pour répondre à mes besoins actuels ?
 Quelles conséquences une panne aurait-t-elle sur ma
production ?
 Introduction
Afin de répondre positivement à ces questions, des audit de SI
doivent être effectués régulièrement afin d’évaluer les risques et
d’identifier la vulnérabilité du système d’informations pour
asseoir une véritable politique de sécurité

Mais la démarche de l’audit informatique demande de

nombreuses connaissances et pour cela il est souvent nécessaire
de faire appel à des consultants extérieurs de confiance afin
d’auditer la sécurité des systèmes d’information.
 Définition de l’audit informatique
L'audit informatique (en anglais Information Technology
Audit ou IT Audit) a pour objectif d’identifier et d’évaluer
les risques (opérationnels, financiers, de réputation
notamment) associés aux activités informatiques d'une
entreprise ou d'une administration.

À cette fin, l’audit va se baser sur le cadre réglementaire

du secteur d’activité du pays concerné (exemple le CRBF
97-02 pour une banque française), sur les référentiels de
bonnes pratiques existants (exemple le référentiel CobiT),
sur les benchmarks à disposition et sur l’expérience
professionnelle des auditeurs impliqués.
 Différents types d'audit informatique
La démarche d'audit informatique est générale et s'applique à
différents domaines comme la fonction informatique, les études
informatiques, les projets informatiques, l'exploitation, la
planification de l'informatique, les réseaux et les
télécommunications, la sécurité informatique, les achats
informatiques, l'informatique locale ou l'informatique
décentralisée, la qualité de service, l'externalisation, la gestion
de parc, les applications opérationnelles

Audit de la fonction informatique

Le but de l'audit de la fonction informatique est de répondre aux
préoccupations de la direction générale ou de la direction
informatique concernant l'organisation de la fonction
informatique, son pilotage, son positionnement dans la
structure, ses relations avec les utilisateurs, ses méthodes de
travail…
 Différents types d'audit informatique
Audit des études informatiques
L'audit des études informatiques est un sous-ensemble de
l'audit de la fonction informatique. Le but de cet audit est de
s'assurer que son organisation et sa structure sont efficaces, que
son pilotage est adapté, que ses différentes activités sont
maîtrisées, que ses relations avec les utilisateurs se déroulent
normalement,…

Audit de l’exploitation
L'audit de l'exploitation a pour but de s'assurer que le ou les
différents centres de production informatiques fonctionnent de
manière efficace et qu'ils sont correctement gérés. Il est pour
cela nécessaire de mettre en œuvre des outils de suivi de la
production comme Openview d'HP, de Tivoli d'IBM, Nagios.
 Les differents types d’audit
Audit des projets informatique
L'audit des projets informatiques est un audit dont le but est de
s'assurer qu'il se déroule normalement et que l'enchaînement des
opérations se fait de manière logique et efficace de façon qu'on ait de
fortes chances d'arriver à la fin de la phase de développement à une
application qui sera performante et opérationnelle.

Audit des applications opérationnelles

l'audit d'applications opérationnelles couvre un domaine plus large et
s'intéresse au système d'information de l'entreprise. Ce sont des audits
du système d'information. Ce peut être l'audit de l'application
comptable, de la paie, de la facturation,…. Mais, de plus en plus
souvent, on s'intéresse à l'audit d'un processus global de l'entreprise
comme les ventes, la production, les achats, la logistique,…
 Les differents types d’audit
Audit la sécurité informatique
L'audit de la sécurité informatique a pour but de donner au
management une assurance raisonnable du niveau de risque de
l'entreprise lié à des défauts de sécurité informatique. En effet,
l'observation montre que l'informatique représente souvent un niveau
élevé de risque pour l'entreprise. On constate actuellement une
augmentation de ces risques liée au développement d'Internet.
 Les acteurs de l’audit informatique
 Le Commanditaire de l'audit : c'est lui qui décide de l'audit, de son
objectif, du contexte. C'est généralement la direction de l'entreprise, ou
un client, ou un organisme officiel (état, organisme de certification...)

 La Direction de l'audité : c'est généralement le DSI ou la direction de

l'organisme. C'est lui qui facilite l'organisation de l'audit et met en
relation les auditeurs et les audités.

 Les audités : ce sont les personnes de la DSI (ou autres services

internes à l'entreprise) qui vont apporter les éléments de réponse aux
auditeurs

 L'équipe d'audit (un ou plusieurs auditeurs) : elle collecte les

observations permettant de fournir les conclusions (rapports d'audit).

 Les experts techniques : mobilisés par l'équipe d'audit ponctuellement

et sous son contrôle pour analyser un point spécifique
 La démarche de l’audit
L'étape d'expression de besoin de l'audit
 Le commanditaire détermine le cadre de l'audit (objectif, champ,
auditeurs, référentiel, moyens à mettre en œuvre...).
 A ce stade, une étude de faisabilité (s'assurer que l'audit est
réalisable) est effectuée en concertation avec la direction de l'audité
et l'équipe d'audit.

L'étape de préparation de l'audit et audit hors site

 Revue préliminaire d'ensemble, préparation du plan d'audit global,
élaboration des documents d'audit
 Audit hors site des documents (schéma directeurs, budgets, analyse
de risques, procédure de production, guide de conception...) et
enregistrements (rapport de service, bilan d'activité, rapport
d'incidents, tableau de bord...). Dans le respect de la confidentialité et
du droit à en connaître.
 Préparation de l'audit sur site : plan d'intervention (quel sujet ? où ?
par quel auditeur ?)
 La démarche de l’audit
L'étape d'audit sur site

 Réunion d'ouverture : repréciser l'objectif de l'audit sur site, rassurer,

impliquer et mobiliser les audités.
 Examen : recueil d'observations étayée de preuves au travers d'interviews,
analyse d'informations complémentaires (documents, bases de données...),
analyse sur site (salle serveurs, équipements informatiques, sécurité
physique...), formuler les observations (positives et négatives)‫‏‬, identifier les
écarts par rapport au référentiel, classement des écarts selon leur
fréquence et leur gravité.
 Réunion de clôture : restituer aux audités une synthèse des observations,
restituer les conclusions de l'audit et s'assurer de la pertinence et
adéquation des actions correctives à mettre en œuvre.
 La démarche de l’audit
L'étape de restitution

 Le rapport d'audit : sa rédaction est soignée. Le lecteur doit pouvoir

s'approprier le rapport. Il permet de prendre les bonnes décisions.
 L'aide à la décision du commanditaire : présentation des conclusions
de l'audit de manière à permettre au commanditaire de prendre les
décisions par rapport à l'objectif de l'audit.

L'étape de suivi de l'audit

 Les observations d'audit (consignés dans le rapport) font l'objet d'un
plan d'actions sous la responsabilité de l'audité (DSI ou direction de
l'organisme).
 L'équipe d'audit s'assure de la pertinence et de l'adéquation de ce
plan d'action.
 Le suivi du plan d'action est, selon le besoin du commanditaire et/ou
de l'audité, confié à l'équipe d'audit ou à un tiers indépendant
(expert, consultant,..) ou à un responsable qualité informatique...
Quelques référentiels d'audit informatique
Il existe différents référentiels comme :

CobiT : Control Objectives for Information and related Technology.

C'est le principal référentiel des auditeurs informatiques,
Val IT permet d'évaluer la création de valeur par projet ou par
portefeuille de projets,
Risk IT a pour but d'améliorer la maîtrise des risques liés à
l'informatique (Voir page en anglais Risk IT),
CobiT and Applications Controls.
ISO 27002 qui est un code des bonnes pratiques en matière de
management de la sécurité des systèmes d'information,
CMMi : Capability Maturity Model integration qui est une
démarche d'évaluation de la qualité de la gestion de projet
informatique,
ITIL qui est un recueil des bonnes pratiques concernant les niveaux
et de support des services informatiques
FIN