Académique Documents
Professionnel Documents
Culture Documents
FICHE 01
OUVERTURE SUR LA TRANSFORMATION NUMÉRIQUE 2
FICHE 10 CYBERSÉCURITÉ______________________________________________________________25
Avertissement : La CRCC de Paris ne peut aucunement être tenue responsable de l'utilisation des modèles et documents mis en
ligne ; ceux-ci n'ont qu'un caractère indicatif et doivent être adaptés strictement en fonction de chaque contexte d'intervention et
n'ont pas pour but de traiter les aspects spécifiques de toutes les missions.
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
FICHE 01
OUVERTURE SUR LA TRANSFORMATION
NUMÉRIQUE
QUESTIONNAIRE
Enjeu / Interlocuteur
Thème / Question Réponse attendue
Risque associé concerné
OUI
Le DG,
- Mobilité
L’entreprise a-t-elle mis en place un projet de Continuité le marketing,
- Vente multi canal (clic and
transformation numérique dans les deux dernières années ? d’exploitation la DSI, la DRH, la
collect)
DAF
OUI
Les responsables opérationnels ont-ils compris les enjeux et
- Utilisation
les contraintes du numérique ? (nouveautés, changements Continuité d’activité DG
des outils collaboratifs
de relation interpersonnelles, rythme des évolutions,...)
- MOOC
OUI
L’informatique numérique dispose-t-elle de
- Méthodes agiles
ressources spécifiques, en termes de finance, de gestion de la Le DG, la DSI, Chief
Continuité d’activité - Budget d’investissement
complexité, de maitrise de l’agilité et des interactions, Digital Officer
- Pizza team
d’équipes ?
OUI
Le parcours numérique du client est-il au cœur du pilotage - Mise en place du Big Data
_ Le DG, la DSI
de la performance opérationnelle (CRM,…) ? / Analytics
OUI
L’accès, la transformation et la diffusion des données
- Application GDPR (cf.
personnelles sont-ils pris en compte dans les projets _ Le DG, la DSI
fiche données personnelles)
numériques ?
OUI
La culture de l’entreprise est-elle propice à la - Bureau dynamique
_ Le DG, la DSI
transformation numérique ? - Innovation favorisée
2
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
Enjeu /
Interlocuteur
Thème / Question Risque Réponse attendue
concerné
associé
OUI
Les évolutions numériques intègrent-elles les exigences de gestion des - Plan d’audit sur les
risques, de contrôle et d’audit en lien avec les pratiques réglementaires et _ Le DG, La DSI projets de transformation
éthiques ? numérique
OUI
- Guidage du
Les nouvelles pratiques commerciales numériques sont-elles revues
parcours clients
systématiquement en tenant compte des circuits multicanaux, de _ Le DG, La DSI
- Proposition d’achats sur
l’intégration des réseaux sociaux et du Big Data ?
les plateformes
OUI
L’entreprise dispose-t-elle d’un plan d’intégration des technologies dont - Mise en place d’API
elle aura besoin pour anticiper les évolutions de son marché et se - Schéma directeur
_ Le DG, La DSI
différencier de la concurrence (celui-ci peut passer par des start-up, des technique
équipes projets, des experts externes,….) - Open innovation
OUI
- Cartographie des
Les processus sont-ils documentés et partagés au niveau de la Direction
Le DG, processus
Générale et des décideurs opérationnels en charge de l’offre et s’ajustent- _
La DSI – approche transversale
ils avec l’environnement grâce au numérique ?
Culture projet
OUI
Le numérique développe-t-il une capacité nouvelle de suivi des objectifs de - Dashboarding
_ Le DG, la DSI
qualité, coûts, délais (agilité, vélocité …) des produits et services ? - Données de workflow
- Objets connectés
OUI
- RFID
- Géolocalisation
Le numérique améliore-t-il la gestion de la production, de la distribution
_ _ - Drive dans
et de la personnalisation de l’offre ?
la grande distribution
Impression 3D
3
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
FICHE 02
GOUVERNANCE DES SYSTÈMES D’INFORMATION
RÔLES & RESPONSABILITÉS
QUESTIONNAIRE
A. ORGANISATION ET PILOTAGE
B. MANAGEMENT ET RESPONSABILITÉ
Pour chaque application, un responsable Maîtrise du fonctionnement des DAF, DSI, DG,
OUI Intérim
d’application est-il nommé ? applications et de leur évolution Direction métier
Pour chaque donnée critique, un propriétaire Maîtrise des inventaires, des flux et des DAF, DSI, DG,
OUI Intérim
de données est-il nommé ? traitements de données Direction métier
QUESTIONNAIRE
4
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
Personne en charge
Les référentiels inclus dans le Fiabilité et intégrité des données > identifier selon la taille et
OUI
périmètre de l’audit sont-ils uniques ? auditées. Ex. : fiche client en doublon l’activité de l’entreprise :
DSI, DAF, DG, autre…
Qui est habilité à créer, supprimer, • Fiabilité et intégrité des données Un nombre limité
mettre à jour les données référentielles • Risque de fraude si la SOD n’est pas d’utilisateurs fonctionnels
(création d’un nouveau fournisseur, respectée (mais pas un individu
modification d’une fiche client, etc.) ? unique)
QUESTIONNAIRE
Les autorisations d’accès font-elles l’objet de Analyse des comportements des utilisateurs dans
DSI OUI
revues qualitative et quantitative ? le cadre de la prévention des fraudes
Les demandes d’évolution sur le SI financier sont- Vérification des autorisations accordées en lien
elles tracées ? Si oui, comment ? avec chaque modification pour prévenir DSI OUI
Quel est le processus de validation ? l’introduction de biais dans les applications
5
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
QUESTIONNAIRE
• Niveau d’intégration du
système d’information
A. Composantes du SI Personne en charge > identifier
• Nombre importants
Le système d’information est-il basé sur un selon la taille et l’activité de
d’interface à contrôler OUI Intérim
ERP ? l’entreprise : DSI, DAF, DG,
• Exposition à la contagion
autre…
des anomalies en cas de
faiblesse de contrôle
A. Composantes du SI
Une dépendance forte existe entre les
• Continuité d’activité et
applications, les choix technologiques et les DSI et/ou DAF OUI Intérim
capacité d’évolution du SI
choix d’infrastructures
• Connaissance des
B. Connaissance du SI et couverture
applications sources et des
fonctionnelle.
traitements
Les flux ayant un impact sur l’information DSI et/ou DAF OUI Intérim
• Maitrise des risques liés
comptable et financière sont identifiés ?
aux évolutions du SI
6
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
C. Cohérence et évolution du SI
• Mise en place de contrôles
Si certains processus ne sont pas couverts par le
automatiques et sécurisation des DSI et/ou DAF OUI Intérim
système d’information, il est envisagé de
calculs et de l’accès aux données
l’informatiser à court ou moyen terme
7
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
FICHE 03
CONTRÔLE DES ACCÈS
QUESTIONNAIRE
Enjeux / Interlocuteur
Question Réponse attendue
Risques associés concerné
Les journaux de connexions sont-ils examinés : Détection des tentatives DSI Analyses régulières, alertes
- régulièrement ? de piratages. automatiques
8
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
Existe-t-il une politique de chiffrement des données Vol de données, accès Politique de chiffrement définie
DSI
sensibles (mots de passe, supports nomades…) ? non autorisé, fraude et respectée
9
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
FICHE 04
CONDUITE DE PROJETS
QUESTIONNAIRE
Réponse attendue
Enjeu / Interlocuteur Phase
Thème / Question ou éléments
Risque associé cible d’audit
à collecter
Ces projets ont-ils un impact sur les Impact sur la certification des Une réponse claire et
DAF Intérim
process et/ou les états financiers ? comptes argumentée
Qui valide la reprise de données et de Exhaustivité, fiabilité, intégrité Equipe comptable avec
DAF, DG Intérim
quelle manière ? des données responsabilité du DAF
Retard du projet.
Phase : cadrage DAF,
Complexité d’un démarrage Oui Intérim
Le planning est-il réaliste ? DSI
en cours d’exercice.
Détection et communication
des risques projet.
Phase : cadrage Equipe projet
Rôles et responsabilités des
Un PAQ a-t-il été écrit et validé par DAF Oui Intérim
parties prenantes.
les parties prenantes ? DSI
Arbitrage.
Gestion des litiges.
Phase : Spécifications Non respect des règles de Equipe projet Oui + demander l’accès Intérim
La définition des processus est-elle gestion, des procédures et des Utilisateurs aux
conforme au besoin ? principes de séparation des spécifications
fonctions. fonctionnelles
Non conformité
10
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
Phase : Paramétrage
Non respect des règles de
La solution est-elle utilisée dans sa DAF Proportion
gestion.
version standard ? DSI de Intérim
Difficulté de maintenance de
Sinon, quelle est la proportion de customisations
migration future.
développements spécifiques
Risque d’exhaustivité et
d’intégrité des données reprises Documentation
Phase : Reprise de données
dans le nouveau système. Equipe projet Conservation des
Nettoyage des données à reprendre.
DAF/DC éléments techniques Intérim
Transcodification des règles et
Exactitude des schémas Equipe SI temporaires (base pivot,
référentiels comptables
comptables, exhaustivité, fichiers intermédiaires)
auditabilité.
Phase : Recette
Quelle est l’organisation de la
recette en termes de : Cahier de recette
• Recetteurs
DAF, DC, responsable
• Données de recette Fiabilité des processus PV de réception Intérim
fonctionnel
• Remontée et traitement des dûment signé
anomalies (outil de ticketing)
• Formalisation de l’acceptation
Absence de sponsor
Conduite du changement
Implication insuffisante des
• Quelles sont les actions de
utilisateurs.
communication et
DG Démarche Intérim
d’accompagnement ?
Echec du projet Inadéquation
• Quelle est la répartition de ces
de la solution.
actions sur le planning projet ?
11
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
Exactitude de la
comptabilisation des coûts liés
Amortissement Détail de la
au projet (opex vs. capex).
Le projet fait-il l’objet d’un DG, DAF comptabilisation des Intérim
Run/build et risque de finir le
amortissement ? dépenses liées au projet
projet en basculant les coûts en
TMA.
Subventions
Correcte imputation En fonction de la
Le projet fait-il l’objet d’un CIR ? DG, DAF Intérim
des subventions réponse
12
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
FICHE 05
UTILISATION DES OUTILS D’AUDIT
DE DONNÉES
QUESTIONNAIRE
Enjeux Interlocuteur
Thème / Question Réponse attendue
et Risques associés concerné
Mise en œuvre des contrôles : Conclusion erronée DSI, Présenter au client la liste des
13
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
14
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
FICHE 06
PROTECTION DES DONNÉES
PERSONNELLES
QUESTIONNAIRE
Réponse
Thématique Question Interlocuteurs
et niveau de risque
Les données personnelles ont été collectées Demande d’accord expresse sur les sites
de manière loyale, licite et transparente ? Enquête de satisfaction
Gouvernance / L’objectif de la collecte et du traitement de CIL DPO DSI Localisation des Data Center en Union
déontologie la donnée est-il légitime ? Directions métiers Européenne, sinon accord de respect du
Les données sont-elles accessibles en dehors RGPD
de l’Union européenne ?
Le(s) responsable(s) des traitements ont-ils L’entreprise elle-même est désignée comme
été identifiés et peuvent être sollicités en cas responsable des traitements.
de demande par l’intéressé ?
La finalité du traitement, les catégories et Information expresse
CIL DPO DSI
Information sources de données ont-elles été portées à la Documentation des traitements et des
Directions métiers
connaissance de l’intéressé ? catégories de données
Les droits attribués à l’intéressé lui-ont-ils Réponse aux demandes d’effacement.
été communiqués (accès, rectification, Portabilité des informations au niveau des
opposition, effacement, portabilité) ? banques.
15
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
FICHE 07
LÉGISLATION FISCALE ET SI
QUESTIONNAIRE
QUESTIONS SUR LE CONTROLE DU SI – INDISPENSABLE
DSI,
Non-conformité /
La dernière mise à jour de votre Directeur
Amende et/ou rejet de la OUI
logiciel est-elle antérieure à 2016 ? comptable
comptabilité
ou DG
Non-conformité / DSI,
Est-il possible de générer le FEC Amende et/ou rejet de la Directeur
OUI
pour les périodes concernées ? comptabilité comptable
ou DG
DSI,
Non-conformité /
La conformité formelle du FEC a-t- Directeur
Amende et/ou rejet de la OUI
elle été vérifiée ? comptable
comptabilité
ou DG
16
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
Redressement fiscal
DSI,
La cohérence des dates et particulièrement de la date de et/ou rejet
Directeur OUI
validation a-t-elle été vérifiée ? de la comptabilité
comptable ou DG
OUI
Les exports du FEC et
des données
Redressement fiscal DSI, opérationnelles
La société est-elle capable d’extraire les données opérationnelles
et/ou rejet Directeur (Stocks, factures, …)
en cas de demande dans le cadre d’un CFCI ?
de la comptabilité comptable ou DG sont stockés et
sécurisés sur le
serveur de l’entreprise
OUI
Le document doit
permettre d’identifier
Redressement fiscal DSI, les clefs entre les
Une cartographie claire permet-elle d’identifier les liens entre
et/ou rejet Directeur différents fichiers afin
les fichiers ?
de la comptabilité comptable ou DG de garantir
l’intégralité de la piste
d’audit
17
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
FICHE 08
EXPLOITATION DES SYSTÈMES
D’INFORMATION
QUESTIONNAIRE
L’audit de la fonction « exploitation des systèmes d’information » peut être réalisé en phase d’intérim.
Il faut commencer par identifier la ou les personnes en charge de l’exploitation. Dans les petites structures, les responsabilités et les tâches
liées à l’exploitation des systèmes d’information sont peu ou mal définies.
Par commodité, la personne en charge de l’exploitation est désignée “DSI” dans le questionnaire ci-dessous.
Idéalement : OUI
Interruption de services, fuite
Les procédures d’exploitation sont-elles documentées ? DG, DSI Mais rare dans les petites
de données
structures
Les changements apportés aux matériels, aux logiciels, Inadaptation des outils
aux systèmes d’exploitation sont-ils contrôlés et informatiques, achats inutiles, DG OUI
approuvés, selon une procédure formelle ? perte de temps
La prestation de services par des tiers est-elle encadrée Fraude, coûts inutiles, vol de
DG OUI
et gérée ? données
Perte de données,
Des tests de restauration sont-ils menés régulièrement ? DG, DSI Obligatoirement OUI
indisponibilité des systèmes
18
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
Vol de données,
La connexion à Internet est-elle sécurisée par un pare feu
interruption de services, DG, DSI OUI
suivi et administré ?
fraude…
NON.
Si OUI, justifier
Vol de données,
pourquoi et évaluer les
Le réseau wifi est-il connecté au réseau de production ? interruption de services, DG, DSI
mesures
fraude…
de sécurité
compensatoires.
19
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
FICHE 09
PLAN DE CONTINUITÉ D’ACTIVITÉ
Réponse
Thème / Question Enjeu / Risque Interlocuteur
attendue
Les flux entre les systèmes d’information supportant les processus ont-ils été
Opérationnel DSI Préférable
cartographiés ?
Réponse
Thème / Question Enjeu / Risque Interlocuteur
attendue
Les ressources critiques matérielles ont-elles été prises en compte ? Opérationnel DSI OUI
Réponse
Thème / Question Enjeu / Risque Interlocuteur
attendue
L’analyse des risques a-t-elle permis d’identifier ceux contre lesquels il est
Opérationnel DSI Préférable
prioritaire de se protéger ?
Les partenaires susceptibles d’être concernés par les scenarii ont-ils été Opérationnel /
DG/DSI Préférable
identifiés ? Image / Juridique
Réponse
Thème / Question Enjeu / Risque Interlocuteur
attendue
20
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
Les exigences vis à vis des partenaires ont-elles été prise en compte de Opérationnel /
DG/DSI Préférable
manière réciproque ? Image / Juridique
Réponse
Thème / Question Enjeu / Risque Interlocuteur
attendue
21
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
FICHE 10
CYBERSÉCURITÉ
Réponse
Thème / Question Enjeu / Risque Interlocuteur
attendue
Une attention suffisante est-elle aussi bien consacrée à la défense a priori contre
Opérationnel
les attaques qu’aux opérations de remise en état des systèmes a posteriori ?
Juridique DG OUI
La DG a-t-elle mis en place un reporting pour centraliser et suivre les différentes
Image
tentatives de fraude au sein de l’organisation ?
Réponse
Thème / Question Enjeu / Risque Interlocuteur
attendue
Existe-t-il des procédures d’autorisation de nouveaux matériels ou logiciels ? Opérationnel DSI OUI
Existe-t-il des procédures applicables à l’accès aux informations par des tiers ? Opérationnel DSI OUI
Les connexions à distance sont-elles réalisées de manière sécurisée ? (VPN par Opérationnel DSI OUI
22
Audit informatique : tous concernés !
10 fiches pratiques pour réussir
exemple)
Les échanges d’informations sont-ils réalisés de manière chiffrée ? Opérationnel DSI OUI
Les PC et les serveurs de l’organisation sont-ils tous protégés par un anti-virus ? Opérationnel DSI OUI
23