Devoir à rendre # 3

Étude de cas
Audit et Contrôles en milieu informatisé
Hiver 2023

Lors d’un séminaire portant sur l’impact des TI sur l’environnement des contrôles, auquel
vous avez participé l’an dernier, vous avez rencontré un ancien camarade de l’université,
Hamid Allali qui fait partie maintenant du service de l’audit interne d’une grande société
casablancaise. Ayant appris votre spécialisation en contrôle TI et en modèles de contrôle, il
vous propose d’étudier avec ses patrons, la possibilité de vous engager à titre de consultant,
pour les aider à faire un diagnostic de l’environnement informatique de leur société, GFM, et
de leur faire part des recommandations qui s’imposent. Une semaine plus tard, Hamid vous
informe que ses patrons de GFM sont d’accord pour vous confier le mandat.

Pour réaliser votre mandat, GFM a délégué M. Allali pour vous fournir toutes les informations
dont vous aurez besoin pour mener votre mandat. M. Allali vous fournit les informations
suivantes :

1) Le département de l’informatique est sous la responsabilité de Mme. Nabila

Raiss. Cellle-ci travaille au sein de ce service depuis le tout début. Mme
Raiss relève du contrôleur de la société

2) Le département de l’informatique est situé au troisième étage de la section

nord des bureaux de la société. Il partage ses locaux avec le service de la
recherche et le service de la comptabilité générale. Le matériel
informatique, toutefois, est séparé physiquement des autres services par
des portes vitrées;

3) Le service chargé de la préparation des produits chimiques est situé juste

au-dessous, au deuxième étage. Comme le processus de mélange des
produits chimiques peut produire des explosions, de nombreux
mécanismes de protection ont été mis en place pour parer à cette
éventualité. Au rez-de-chaussée, on trouve le service du personnel de
l’usine, diverses salles de réunion et des bureaux administratifs;

4) Tous les opérateurs connaissent bien leur travail et possèdent

les connaissances nécessaires pour modifier les procédés et les
programmes d’exploitation en cas de problème. Cela permet
d’augmenter grandement l’efficience puisque le service perd
moins de temps en raison d’arrêts des machines à la suite
d’interruptions de programme. Mme Raiss a indiqué que les
opérateurs connaissent si bien leur travail que, somme toute, il
n’a pas beaucoup de supervision à faire à ce niveau;
5) M.Allali vous informe que lors d’une discussion qu’il a eu
récemment avec Mme Raiss celle-ci lui a indiqué que « les
manuels d’exploitation à l’intention des opérateurs n’étaient pas
si indispensable que ça » et que « la préparation de tels manuels
seraient une perte de temps puisque les opérateurs connaissent
si bien les programmes et les travaux. En cas de problème,
l’opérateur peut tout simplement consulter un listage du
programme source et faire les corrections nécessaires ». Mme
Raiss a précisé aussi qu’elle « examine rarement les feuillets du
journal machine puisqu’elle fait entièrement confiance à ses
opérateurs. Elle s’est toutefois plainte du fait que les employés
du service de la comptabilité lui donnent toujours de mauvaises
données et que, par la suite, ils ne sont pas satisfaits des
sorties. « Après tout, a-t-elle précisé, la qualité des résultats est
fonction de la qualité des données à l’entrée »;

6) Au cours de votre visite de la salle d’informatique avec M. Allali, vous avez constaté qu’il
y avait une multitude de bandes, certaines munies d’étiquettes et d’autres pas, dans des
armoires, sur des tables, sur le matériel et sur le plancher, dans un coin de la salle. Dans
un autre coin, vous avez remarqué des boîtes ouvertes contenant des formules de
chèques et des formulaires divers;

7) Alors que vous vous attendiez à voir deux ou trois opérateurs dans la salle
d’informatique, vous avez vu en tout cinq ou six personnes. Mme Raiss qui vous a rejoint
pour la visite, vous dit qu’il avait lu toutes les publications relatives au contrôle de la salle
d’informatique et qu’elle était d’avis que la plupart des prétendus dangers étaient
exagérés. Elle a ajouté qu’elle faisait confiance à ses employés et que son service était
l’un des meilleurs dans le domaine. Pour ce qui est du nombre de personnes dans la
salle, Mme Raiss pense que trop de gens sont intimidés par l’ordinateur. C’est pourquoi
son service est ouvert à tout le monde, afin que les autres employés puissent venir voir à
quoi ressemble le « monstre »;

Groupe de programmation

8) Ce groupe est sous la responsabilité de Rachid Sebti. Rachid relève de Mme Raiss. Les
membres de ce groupe sont essentiellement chargés d’écrire de nouveaux programmes
et de mettre à jour les programmes existants. Environ 75 % des programmes existants
ont été écrits il y a de nombreuses années. Le service tente actuellement de réécrire
ces programmes selon un langage de base de données plus moderne et plus efficient;

9) Vous apprenez que les anciens programmes ont été écrits par Mme Raiss, Rachid et un
autre employé qui ne travaille plus pour la société. Comme Mme Raiss et Rachid sont
toujours dans le service, on n’a jamais ressenti le besoin de prépare une documentation
supplémentaire. Rachid e a toutefois fait remarquer que Mme Raiss songe à établir des
normes de documentation pour tous les programmes;
10) Vous apprenez que tous les employés peuvent obtenir sur demande un code
d’identification et un mot de passe. Mme Raiss permet à tout le monde l’accès en ligne
puisqu’elle veut encourager les utilisateurs à profiter du système informatique. Une fois
que l’utilisateur a reçu un mot de passe, c’est à lui de le changer si besoin est.

Travail à faire

- Préparez un rapport dans lequel vous discutez des lacunes et des

forces des contrôles;
- Reliez les différents contrôles aux domaines Cobit.