Audit Des Systemes D Informations ISF (002) UPDATES

Audit des Systèmes
d’Informations
ꢀ
IIbrahima TOBE, PhD

1
Plan de la présentation
1. Notions de base des de l ’audit des SI

2. Présentation de 3 domaines d ’Audit des SI
2.1. Audit de la fonction informatique
2.2. Audit des projets
2.3. Audit de la Sécurité
3. Conduite d ’une mission d ’audit
IIbrahima TOBE, PhD 2

Contexte des SI dans l ’entreprise
Les systèmes d ’information ont évolué depuis les années 70

pour s ’octroyer une importance cruciale dans la vie des
entreprises en tant que :
ꢁ Support à l ’outil de production qui contribue à la réalisation
de l ’objet de l ’entreprise (système de facturation, encaissement,
trésorerie, comptabilité, GPAO, GMAO ….)
ꢁRéférentiel du patrimoine de l ’entreprise et de son savoir faire
(fichier clients, processus de gestion, KM ... )
ꢁ Moyen de renforcement du contrôle et de maîtrise des
processus de gestion (contrôle informatique, workflow)
… . Ces constats génèrent un niveau de dépendance de
l ’entreprise vis à vis de son système d ’information

Contexte des SI dans l ’entreprise
Certes, le niveau d ’intégration du SI dans les processus de gestion

de l ’entreprise présente un réel tremplin pour sa croissance et son
développement ...
…mais, une telle intégration présente d ’inhérents risques de
vulnérabilité de l ’entreprise
Inadéquation
au processus
... de gestion Non conformité
aux dispositions
légales
Absence
Continuité
d ’information
d ’exploitation
décisionnel le
de l ’entreprise
Inefficience de Risques Inefficience du

la politique de informatiques Contrôle
sécurité
Manque
Absence de
d ’évolutivité de
compétences
qualifiées
Manque de l ’architecture
informatique
Fiabilité des
Accès non
traitements et Augmentatio autorisés
des données n des coûts
informatique
IIbrahima TOBE, PhD

s
4
Préoccupations des directions générales
ꢂ Le système d ’information de l ’entreprise contribue-t-il à

améliorer sa profitabilité ?
ꢂ Comment mesurer les bénéfices liés aux investissements
informatiques ?
ꢂ La stratégie informatique est-elle conforme à la stratégie de
l ’entreprise ?
ꢂ Peut-on diminuer les coûts des fonctions administratives
en dépensant plus en informatique ?
ꢂ Les données produites par les applications informatiques
permettent-elles de prendre des décisions efficaces ?
ꢂ Les applications fournissent des informations exactes,
exhaustives, authentiques ?
ꢂ Le système informatique est-il suffisamment protégé contre
les accidents, les malveillances et les erreurs ?
ꢂ ...

Problématiques du Système d ’information
Les problématiques du système d ’information se manifestent tout le long de son cycle

de vie selon une approche itérative:
ꢁ Quelle adéquation avec les orientations stratégiques et le
plan de développement du SI ?
ꢁ Comment faire évoluer le SI actuel vers le SI cible ?
Choix et orientation du ꢁ Quels choix technologiques retenir ?
système d ’information ꢁ Quelle organisation pour le pilotage des projets
informatiques ?
ꢁ ….
ꢁ Quelle choix pour la mise en œuvre du plan de

développement du SI : Choix de progiciel,
développement spécifique, solutions interfacées
Mise en œuvre et ꢁ Quelle démarche de conduite de projet informatiques
développement du SI ꢁ Quelle organisation et compétences pour la conduite
des projets informatiques
ꢁ ...
ꢁ Quelle adéquation entre les applications en exploitation et

les besoins des utilisateurs
ꢁ Quelles sont les mesures de contrôles et de sécurité prises
Exploitation du SI en compte dans les applications informatiques
ꢁ Quelles sont les procédures d ’exploitation du SI
ꢁ ...

Périmètre des missions d ’audit des systèmes d’information
Mise en œuvre et
Choix et orientation du Exploitation
développement
système d ’information du SI
du SI
REVUE DES CONTRÖLES GENERAUX INFORMATIQUES
URBANISATION DU SYSTEME D ’INFORMATION

Démarche d ’audit
• Objectif :
ꢂ S ’assurer que tout se passe bien conformément aux règles et
aux usages professionnels
ꢂ Pour toutes les faiblesses importantes détectées, évaluer et
justifier les risques, et
ꢂ Proposer des actions correctives
• Moyens
ꢂ Observer, analyser et juger des faits
ꢂ Evaluer l ’adéquation et le fonctionnement des activités par
comparaison avec un référentiel
ꢂ Appliquer des démarches cohérentes
• Domaines
ꢂ Toutes les fonctions de l ’entreprise peuvent être auditées

Ne pas confondre audit, expertise et conseil
ꢂ Audit
– Démarche de généraliste
– Collecte de faits
– Analyse de processus
– Recommandations
ꢂ Expertise
– Spécialiste d ’un domaine
– Approche technique
– Mesures de performances
– Recherche de solutions
ꢂ Conseil
– Connaissance d ’un domaine
– Approche généraliste
– Axes d ’amélioration
– Pilotage du changement
Trois grands types d ’audits
ꢂ L ’audit de conformité (audit de régularité)

– Vérification de l ’existence de normes
– La direction générale fixe des règles et des procédures
– S ’assurer qu ’elles sont effectivement appliquées
– Comparaison par rapport à un référentiel
ꢂ L ’audit d ’efficacité (audit de progrès)
– Appréciation de la qualité des règles et des procédures par rapport
aux objectifs
– Vérification de l ’impact de ces règles
– Recommandation d ’améliorations
– Etablir un plan d ’action

Trois grands types d ’audits
ꢂ L ’audit d ’efficience (audit économique)
– Analyser les moyens affectés aux opérations
– Apprécier l ’utilisation des ressources
– Proposer des moyens d ’optimiser ces moyens
ꢂ Attitude réservée face aux audits sanctions

1. Notions de base de l ’audit des SI

Méthodologie d’Analyse et d’Audit
du Système d’Information
1. Analyse Stratégique
2. Analyse des Processus
3. Analyse Fonctionnelle
4. Analyse Applicative
5. Analyse des Données
6. Analyse de l’Infrastructure
7. Analyse des Évolutions
Technologiques
1, L’Analyse de Processus
La Modélisation des Processus
Le Diagramme Événement-Résultat permet de modéliser les processus.modelisation-

processus
Business Process Modeling (BPM)

Le rengineering des processus est une étape clé de la modification de l’activité. Il consiste à
revoir un ou plusieurs processus pour s’adapter aux nouvelles exigences de la Direction
Générale définies lors de l’application de la stratégie.
Audit de la fonction informatique
• Plan
ꢂ Questions usuelles de la direction générale concernant la
fonction informatique
ꢂ Positionnement et structure de la fonction informatique
ꢂ Les bonnes pratiques concernant la fonction informatique
ꢂ Les points de contrôles
ꢂ Exemples de mission d ’audit

• Questions usuelles de la direction générale
ꢂ Est-ce que les utilisateurs sont satisfaits des prestations
informatiques ?
ꢂ Est-ce que l ’informatique perturbe vraiment le fonctionnement
des services ?
ꢂ Est-ce que l ’informatique est correctement pilotée ? Y-a-t il un
comité de direction chargé de l ’informatique ?
ꢂ Quel doit être le positionnement du responsable informatique ?
ꢂ Combien ça coûte réellement ? Et combien ça rapporte ?
ꢂ Faut-il décentraliser l ’informatique dans les unités ? Que doit-
on garder en central ?
ꢂ Comment piloter de manière efficace les projets informatiques ?
ꢂ Est-ce que les personnes travaillant au sein du service
informatique sont compétences ?

• Positionnement et structure de la fonction informatique

ꢂ Le comité de planification ou de pilotage de l ’informatique
ꢂ Position des services informatiques dans l ’organisation &
Séparation des tâches
ꢂ Intervention de l ’informatique dans l ’organisation et les
processus
ꢂ Responsabilité de l ’assurance qualité
ꢂ Responsable de la sécurité Propriété des données et des
applications
ꢂ Gestion du personnel informatique et des sous-traitants

• Les bonnes pratiques concernant la fonction informatique

ꢂ Les relations entre la direction générale et les utilisateurs
ꢂ La clarté des structures et des responsabilités
ꢂ L ’existence de dispositifs de mesures
ꢂ Compétence et qualification du personnel
17
• Les relations entre la direction générale et les

utilisateurs
ꢂ La mission de la direction informatique doit être clairement
définie et un document écrit doit la décrire.
ꢂ Les objectifs et les règles de fonctionnement de l ’informatique
doivent être connus des décideurs et des utilisateurs.
ꢂ Un comité de direction doit prendre des décisions concernant
l ’informatique et des comptes-rendus doivent être publiés.
ꢂ La direction de la fonction informatique doit périodiquement
faire réviser les plans concernant l ’informatique
18
• La clarté des structures et des

responsabilités
ꢂ Les responsables opérationnels doivent avoir une relation de
partenariat avec la fonction informatique
ꢂ La fonction informatique doit avoir la responsabilité de
l ’architecture du système informatique
ꢂ La fonction informatique doit avoir la responsabilité de
l ’assurance qualité du système informatique
ꢂ La fonction informatique doit avoir la responsabilité de la
sécurité physique et logique des actifs informationnels
19
• L ’existence de dispositifs de mesures

ꢂ C ’est un vaste programme
ꢂ Un suivi économique est nécessaire mais n ’est pas suffisant.
Généralement c ’est un suivi budgétaire mais cela peut être aussi
un mécanisme de refacturation
ꢂ Il faut que l ’informatique rend des comptes aux différents
partenaires de l ’informatique.
ꢂ Mais la réalité montre que ce n ’est pas facile à faire et on parle
souvent du « manque de transparence de l ’informatique ».
20
• L ’existence de dispositifs de mesures

ꢂ Il est nécessaire de mieux communiquer sur les objectifs, les
politiques mises en oeuvre, les ressources affectées et leur
utilisation
ꢂ Et surtout il est nécessaire de contrôler l ’activité informatique :
gestion de projet, CAE, gestion des investissements,...
21
• Compétences et qualification du
personnel
ꢂ Les besoins en personnel informatiques doivent périodiquement
être évalués (au moins une fois par an).
ꢂ Une supervision effective du personnel informatique doit être
faite notamment pour juger s ’il dispose des moyens pour faire
son travail et s ’il est performant.
ꢂ Tous les postes doivent disposer d ’une description de poste
mettant en avant les compétences et l ’expérience nécessaire.
ꢂ Il doit exister une claire séparation des tâches notamment entre
la maintenance des applications et l ’exploitation.
22
• Compétences et qualification du
personnel
ꢂ Le personnel clé doit être identifié
ꢂ Le personnel sous contrat doit faire l ’objet d ’un contrôle
particulier notamment pour s ’assurer que les actifs
informationnels sont garantis.
23
• Les points de contrôles

ꢂ Rôle des directions dans le système d ’information
ꢂ Existence de politique, de normes et de procédures
ꢂ Responsabilité du service informatique : relations maîtrise
d ’oeuvre-maîtrise d ’ouvrage
ꢂ Existence de dispositifs de contrôle interne
24
• Rôle des directions dans le système d

’information
ꢂ Il doit exister un comité informatique
ꢂ Il peut avoir différents noms : commission informatique, comité
de pilotage,...
ꢂ Il est rattaché au directeur général
ꢂ Les principaux décideurs de l ’entreprise doivent y participer
ꢂ Il doit se réunir régulièrement
ꢂ L ’essentiel des orientations informatiques doit être débattu au
sein de ce comité
25
• Rôle des directions dans le système d ’information

ꢂ Un suivi régulier du schéma directeur doit être fait
ꢂ Etudier le positionnement de ce comité dans la structure de
l ’entreprise
ꢂ Examiner les comptes-rendus de ce comité sur un an.
ꢂ Rencontrer quelques membres du comité.
26
• Responsabilité du service informatique (relations

maîtrise
d ’oeuvre-maîtrise d ’ouvrage)
ꢂ Les responsabilités du service informatique doivent être
clairement définies
ꢂ La position du service informatique dans l ’organigramme de
l ’entreprise doit être claire.
ꢂ Le service informatique doit avoir une autorité suffisante pour
faire appliquer les mesures nécessaires pour atteindre les
objectifs qui lui ont été fixés.
27
• Responsabilité du service informatique (relations

maîtrise
d ’oeuvre-maîtrise d ’ouvrage)
ꢂ Examiner les différents documents pour apprécier la clarté des
définitions des responsabilités
ꢂ Interroger différents responsables pour apprécier leur degré de
connaissance des responsabilités respectives
ꢂ Vérifier le respect de la séparation des tâches
28
• Existence de dispositifs de contrôle

interne
ꢂ On doit disposer d ’une stratégie formalisée du développement
du système d ’information
ꢂ Les facteurs de risques doivent être repérés
ꢂ Des priorités doivent être fixées de manière claire
ꢂ Les choix doivent être faits en tenant compte des enjeux
économiques
ꢂ Mesurer leur impact sur les performances de l ’entreprise
ꢂ Examiner les principales procédures de l ’entreprise et apprécier
l ’impact de l ’informatique
29
• Existence de dispositifs de contrôle

interne
ꢂ Analyser les missions des auditeurs internes et externes et leurs
impacts
ꢂ Evaluer l ’impact des procédures de l ’assurance qualité
• Exemples de mission d ’audit

ꢂ Evaluation de l ’efficacité d ’un service informatique
ꢂ Audit de la procédure de suivi des coûts informatiques
30
• Evaluation de l ’efficacité d ’un service

informatique
ꢂ La direction générale a des doutes sur l ’efficacité de son service
informatique
ꢂ En fait elle a des doutes sur les compétences du responsable
informatique
ꢂ Effectivement le responsable a du mal à faire son travail dans de
bonnes conditions
ꢂ Peu de contact avec la direction générale
ꢂ Mauvaises relations avec les utilisateurs
31
• Evaluation de l ’efficacité d ’un service

informatique
ꢂ Mise en place d ’un comité de direction trimestriel consacré à
l ’informatique
ꢂ Redéfinition du rattachement hiérarchique
ꢂ Rédaction des principales politiques, procédures et normes à
appliquer.
32
• Audit de la procédure de suivi des coûts

informatiques
ꢂ Il existe une comptabilité analytique permettant de suivre les
coûts informatiques
ꢂ Les résultats de cette comptabilité sont contestés par les
principaux décideurs
ꢂ L ’analyse de la méthode montre qu’elle est globalement bonne
ꢂ Ses résultats montre bien les problèmes qui se posent et
notamment les erreurs qui sont commises
ꢂ Par contre cette CAE peut être simplifiée et améliorée
33
• Audit de la procédure de suivi des coûts

informatiques
ꢂ Rédiger chaque mois une note d ’analyse des coûts
informatiques
ꢂ Simplifier les traitements les plus délicats
ꢂ Réduire le coût des opérations anormalement coûteuses
34
• Exemple de mission d ’audit : Evaluation de l ’efficacité d

’un
service informatique
ꢂ La DG a des doutes sur l ’efficacité de son service informatique
ꢂ En fait elle a des doutes sur les compétences du DSI
ꢂ Effectivement le responsable a du mal à faire son travail dans de
bonnes conditions
ꢂ Peu de contact avec la DG
ꢂ Mauvaises relations avec les utilisateurs
ꢂ Mise en place d ’un comité de direction trimestriel consacré au SI
ꢂ Redéfinition du rattachement hiérarchique
ꢂ Rédaction des principales politiques, procédures et normes à
appliquer.
35
36
Audit des projets
• Plan
ꢂ La notion de projet
ꢂ Particularités des projets informatiques
ꢂ Tenir les délais et les budgets
ꢂ Evaluation des risques liés aux projets
ꢂ Les bonnes pratiques concernant les projets informatiques
ꢂ Les points de contrôles
ꢂ Exemples de mission d ’audit
37
Audit des projets
• La notion de projet
ꢂ Un projet c ’est d ’abord une équipe
ꢂ C ’est ensuite un délai
– Une date de début
– Une date de fin
ꢂ C ’est aussi une organisation spécifique
ꢂ Et, bien entendu, un budget particulier
ꢂ Rôle clé du chef de projet dans la réussite du projet
ꢂ C ’est une activité voisine de celle du :
– Bâtiment
– Ingénierie
38
Audit des projets
• Particularités des projets

informatiques
ꢂ Le pilotage des projets informatiques est une opération
délicate
– Dérapage sur les délais
– Dérive fréquente des coûts
– Nécessité de mettre en place un pilotage rigoureux
ꢂ La qualité des applications informatiques
– Difficulté de valider la qualité d ’une application
– Aspect subjectif de la qualité
– Nécessité de mettre en place des procédures de certification de
la qualité
39
Audit des projets
• Tenir les délais et les budgets
ꢂ Gestion de projet :
– Découper
– Evaluer
– Planifier
– Animer
– Suivre
– Ajuster
ꢂ Découpage du projet en étape :
– Conception générale
– Conception détaillée
– Développement
– Test
– Installation et déploiement
– Bilan
40
Audit des projets
• Mettre en place un système de pilotage

efficace
ꢂ Un découpage en phase
ꢂ Un livrable à la fin de chaque phase
ꢂ Pilotage des phases :
– Valider les résultats en fin de phase
– Valider les objectifs de la phase suivante
– Informer le comité de pilotage
ꢂ Procédure d ’assurance qualité :
– Normes et standards
– Contrôles
– Conseils
41
Audit des projets
• Evaluation des risques liés aux projets
ꢂ Efficacité de l ’organisation de la fonction d ’études :
– Système de management
– Gestion des ressources
– Productivité des études
– Formation
ꢂ Sur un ensemble de projets rechercher les causes de dérapages :
– Les fonctions livrées
– Les coûts
– Les délais
ꢂ Efficacité de la méthode de conduite des projets :
– La gestion de projet
– Le processus de développement
– L ’assurance qualité
– Le système de pilotage
42
Audit des projets
• Les bonnes pratiques concernant les projets

informatiques
ꢂ Le respect des phases du projet
ꢂ Existence d ’une méthodologie de conduite de projets
ꢂ Conformité des projets aux objectifs généraux de l ’informatique
et à ceux de l ’entreprise
ꢂ Qualité des études amonts : expression des besoins, cahier des
charges
ꢂ Importance des tests, notamment des tests utilisateurs
43
Audit des projets
• Les points de contrôles

ꢂ Audit du processus de développement
ꢂ Existence de processus, de méthodes et de standards
ꢂ Vérification de l ’application de la méthodologie
ꢂ Analyse des causes d’échecs de projet
ꢂ Adéquation des fonctions aux besoins des utilisateurs
44
Audit des projets
• Exemple de mission d ’audit : Audit d ’un grand projet à la fin

du cahier des charges
ꢂ Les équipes de MOE et MOA ont fini de rédiger le cahier de
charges
ꢂ La direction s ’interroge sur le document ainsi produit
ꢂ L ’analyse du document montre qu’il est très complet
ꢂ Par contre, le projet sera très lourd et très complexe à
développer
ꢂ Et l ’application risque de poser des problèmes de performances
(accès aux bases de données)
ꢂ Réaliser un benchmark du système d ’interrogation d ’une
transaction simple
ꢂ Limiter l ’intégration des fonctions
ꢂ Planifier la mise en place de versions successives
45
Audit des projets
• Audit d ’un projet en

RADꢂ On a développé un projet vital pour l ’entreprise à l ’aide d ’une
approche RAD, Rapid Application Developpement
ꢂ Après la mise en place réussite d ’une partie du système, le
projet s ’enlise
ꢂ La méthode RAD permet de mettre en place rapidement une
application (3mois)
ꢂ Par contre il faut que les utilisateurs et les informaticiens soient
réellement disponibles
ꢂ L ’équipe mixte sature
ꢂ Segmenter le projet en plusieurs sous-projets
ꢂ Confier chaque sous-projet à une équipe différente
ꢂ Réaliser la partie centrale du projet de manière classique
46
47
Audit de la sécurité
• Plan
ꢂ Existence de risques importants liés aux systèmes d ’information
ꢂ Quatre notions fondamentales
ꢂ Les facteurs de limitation des risques
ꢂ Les bonnes pratiques concernant la sécurité
ꢂ Les points de contrôle
ꢂ Exemples de missions d ’audit
48
• Existence de risques importants liés aux systèmes d

’information
ꢂ Il existe en informatique des risques importants liés à la nature
même de cette activité
ꢂ Existence d ’un patrimoine important en matériel informatique
(vol, dégradation,..) et logiciel (piratage)
ꢂ Importance de la valeur des données stockées et des traitements
effectuées
ꢂ Niveau de risques importants pour l ’entreprise
ꢂ Il est nécessaire de mettre en place une organisation adaptée
avec des outils, des hommes et des méthodes
ꢂ Il doit exister une politique au niveau de l ’entreprise (sécurité
physique et sécurité logique)
ꢂ Il est nécessaire qu’il existe un responsable de la sécurité
informatique
49
• Quatre notions fondamentales

ꢂ La menace
ꢂ Le facteur de risque
ꢂ La manifestation du risque
ꢂ La maîtrise du risque
50
• La menace
ꢂ Il existe de nombreuses menaces dans le domaine de
l ’informatique :
– Les erreurs
– Les malveillances
– Les accidents
– ....
ꢂ Elles concernent :
– Les biens matériels
” Les bâtiments
” Le réseau
” Les équipements informatiques
51
• La menace
– Les biens immatériels
” des logiciels (de base, applications,...)
” des données de gestion
” des ressources humaines
52
• Le facteur de risque
ꢂ Un facteur de risque est une cause de vulnérabilité due à une
faiblesse de l ’organisation, des méthodes, des techniques des
outils ou du système de contrôle
ꢂ Les risques informatiques peuvent être accrus de différentes
manière :
– Absence de politique informatique
– Faible participation des utilisateurs
– Méthodes inadaptées aux objectifs
– Obsolescence des techniques utilisées
– Compétences insuffisantes
– Faiblesse des processus de gestion
– ...
ꢂ La médiocrité du management informatique est un facteur
accroissant le niveau de risque
53
• La manifestation du risque
ꢂ La destruction physique du centre de calcul (incendie,
inondation,...) est spectaculaire mais en fait peu fréquente
ꢂ Le vrai risque est invisible
ꢂ Il se manifeste de différentes manières :
– Pénétration du réseau par des intrus
– Vols d ’informations
– Concurrence faussée
– Falsification des données
– ...
ꢂ L ’entreprise victime d ’un concurrent risque de ne s ’en
apercevoir que lorsqu’elle va perdre des marchés et des clients
sans savoir pourquoi
54
• La maîtrise du risque
ꢂ Méthodes pour identifier les risques en terme de menace ou de
facteurs de risques (Marion)
ꢂ Identification des parades
ꢂ La sécurité physique
– Contrôle d ’accès aux locaux
– Protection incendie
– ...
ꢂ La sécurité logique
– Contrôle d ’accès aux systèmes, aux programmes, aux données
– ....
ꢂ Importance du plan de secours permettant de faire face à la
disparition totale ou partielle du système d ’information
55
• Les facteurs de limitation des

risques
les bonnes pratiques concernant la sécurité sont :
ꢂ Existence d ’une politique du système d ’information
ꢂ Implication des utilisateurs
ꢂ Méthodes de travail et outils adaptés aux objectifs
ꢂ La compétence du personnel
ꢂ Outil de gestion efficace
56
• Existence d ’une politique du système d

’information
ꢂ Une des meilleures protection contre les risques liés à la faiblesse
de la sécurité repose sur la politique du système d ’information
ꢂ Les services informatiques ayant une vision globale de leur
démarche sont les mieux protégés que les autres
ꢂ Cette politique doit notamment préciser les responsabilités des
différents intervenants sur les systèmes informatiques
ꢂ Il est en particulier très important de savoir ce qui est sous la
responsabilité des informaticiens et ce qui relève des utilisateurs
57
• Implication des utilisateurs

ꢂ La meilleure protection du système d ’information est celle
exercée par les utilisateurs
ꢂ Ils doivent surveiller leur matériel et la sécurité des locaux
ꢂ Ils contrôlent leurs données et leurs bases de données
ꢂ Ils veillent à ce que leurs données soient régulièrement
sauvegardées
ꢂ Un système ainsi surveillé par ses utilisateurs est protégé contre
tout la plupart des risques habituellement supportés
58
• Méthodes de travail et outil adaptés aux

objectifs
ꢂ Le meilleur moyen de limiter les risques liés à l ’insuffisance de
sécurité et de dôter les services informatiques de méthodes de
travail et des outils adaptés
ꢂ Ces méthodes de travail consistent à définir les tâches à effectuer
et de définir de manière rationnelle l ’organisation du travail
ꢂ De même il est nécessaire de se doter d ’outils performants
conformes aux objectifs recherchés
ꢂ Ainsi les personnes chargés de l ’exploitation doivent pouvoir
surveiller facilement les utilisateurs présents sur le système
ꢂ Il est, en particulier, nécessaire de surveiller et d ’administrer le
réseau
59
• La compétence du personnel
ꢂ La sécurité du système d ’information dépend surtout de la
compétence du personnel
ꢂ Plus il est compétent, plus il est à même d ’intervenir rapidement
et efficacement pour limiter les risques
ꢂ Ceci concerne l ’exploitation mais aussi les études
ꢂ Il est en particulier nécessaire d ’intervenir rapidement en cas
d ’incident sans prendre de risques excessifs
ꢂ La maintenance à la suite d ’un incident peut être l ’occasion
d ’une succession de problèmes notamment si on supprime
certains contrôles ou si on ne teste pas complètement les
programmes modifiés
60
• Outil de gestion efficace

ꢂ De même il est nécessaire que des dispositifs de gestion efficaces
soient mises en place
ꢂ Ils ont pour but de repérer plus facilement les failles de la
sécurité du système d ’information (postes de travail, réseaux,
serveurs)
ꢂ Il est en effet important de s ’assurer que les risques potentiels
sont rapidement repérés de façon qu ’ils soient corrigés le plus
rapidement possible
ꢂ C ’est un aspect délicat car on manque d ’outil de gestion de ce
type . L ’offre est en train d ’évoluer mais on ne dispose pas
encore en standard, sur tous les systèmes d ’exploitation des
outils de ce type.
61
• Les points de contrôle

ꢂ Repérage des actifs de l ’entreprise
ꢂ Evaluation des menaces
ꢂ Mesurer les impacts
ꢂ Définition des parades
62
• Repérage des actifs informationnels de l ’entreprise

ꢂ La base des contrôles est constituée par les inventaires physiques
– Des matériels (postes de travail, serveurs,...)
– Des logiciels
– Des bases de données
ꢂ Dans la mesure du possible il faut chercher à avoir des contrôles
fréquents de ces inventaires
ꢂ Il existe des logiciels permettant de repérer les postes de travail,
les serveurs,....
ꢂ Apprécier les procédures de mise à jour des inventaires
ꢂ Vérifier sur quelques unités la pertinence des inventaires
63
• Evaluation des menaces

ꢂ Il ne sert à rien de se protéger contre des menaces qui n ’existent
pas
ꢂ On cherche à repérer les parties du système d ’information qui
sont les plus menacées
ꢂ Il est pour cela nécessaire de repérer :
– Les disparitions ou les destructions de matériels
– Les altérations de données ou de programmes
– La divulgation d ’informations confidentielles
ꢂ S ’assurer qu’il existe un document permettant de repérer les
menaces
ꢂ Analyser la pertinence des menaces repérer
ꢂ S ’assurer qu’on a bien repérer les menaces les plus sérieuses
64
• Mesurer les impacts

ꢂ Identifier les types de menaces et les conséquences de ces
incidents
ꢂ A partir des incidents recensés évaluer leur impact
ꢂ Etablir une cartographie du système d ’information et des
risques associés
ꢂ Il est alors possible de construire un ou plusieurs scénarios
d ’agression et d ’évaluer les points de vulnérabilité
ꢂ Apprécier l ’efficacité des dispositifs de sécurité en place
ꢂ Evaluer les impacts d ’incidents graves sur le fonctionnement de
l ’entreprise et les conséquences patrimoniales
65
• Définition des parades

ꢂ Face à chaque risque important il est nécessaire d ’identifier les
parades possibles
ꢂ C ’est un moyen très efficace de diminuer le niveau des risques
de l ’entreprise
ꢂ Type de parades possibles :
– Prévention : identification à l ’accès
– Dissuasion : piste d ’audit
– Détection : contrôle d ’accès
– Protection : plan de secours
ꢂ Mais la meilleure parade reste l ’audit
ꢂ Apprécier les différentes parades mises en oeuvre et leur impact
sur le niveau de sécurité
ꢂ Evaluer les risques qui ne sont pas ou qui sont mal couverts
66
• Exemples de missions d ’audit

ꢂ Audit de la sécurité d ’une application client-serveur
ꢂ Evaluation de la sécurité d ’un centre d ’exploitation
67
• Audit de la sécurité d ’une application client-

serveur
ꢂ La mise en place d ’une nouvelle application du type client-
serveur fait apparaître différents incidents d ’exploitation
ꢂ L ’analyse montre qu’ils ne sont pas dus à des fragilités du
logiciel de base mais au faible respect des consignes de sécurité
ꢂ L ’organisation de la sécurité laisse à désirer et notamment la
politique des mots de passe n ’est pas respectée
ꢂ Définir une politique de gestion des mots de passe et la faire
appliquer
ꢂ Mettre en place un logiciel de surveillance du réseau permettant
de suivre les incidents
ꢂ Former le personnel à l ’application des consignes de sécurité
68
• Evaluation de la sécurité d ’un centre d

’exploitation
ꢂ La direction générale demande d ’évaluer la politique de sécurité
du service d ’exploitation
ꢂ Le service est doté d ’une politique de sécurité et elle est
appliquée
ꢂ Les procédures en place sont efficaces
ꢂ Par contre les responsabilités ne sont pas clairement définies
notamment en ce qui concerne la gestion des bases de données
ꢂ Définir de manière précise les responsabilités des utilisateurs
ꢂ Elargir le domaine d ’action du responsable de la sécurité
ꢂ Nommer un administrateur de bases de données
69
70
Plan
• Les 6 phases de la mission d’audit informatique

ꢂ Définition de la mission : Etablissement de la lettre de mission
ꢂ La planification de la mission
ꢂ La collecte des faits, la réalisation de tests,...
ꢂ Entretiens avec les audités
ꢂ Rédaction du rapport final,
ꢂ Présentation et discussion de ce rapport
• Faut-il un rapport ?
• Le rapport d’audit : la conception, la rédaction, la
présentation
• L’établissement des recommandations opérationnelles
• Le suivi des recommandations
• Comment améliorer la qualité de la
démarche
71
Les six phases de la mission
• L’audit informatique comme tout audit se fait en six

phases :
ꢂ Définition de la mission :
– Périmètre de la mission
– Etablissement de la lettre de mission
ꢂ La planification de la mission
ꢂ La collecte des faits, la réalisation de tests,...
ꢂ Entretiens avec les audités
ꢂ Rédaction du rapport final,
ꢂ Présentation et discussion de ce rapport
• La durée de chaque phase est variable selon la nature
desquestions et leur complexité
72
1 - Définition de la mission : Périmètre de la mission
Mise en œuvre et
Choix et orientation du Exploitation
développement
système d ’information du SI
du SI
73
REVUE DES CONTRÖLES GENERAUX
INFORMATIQUES
ꢃ Objectif:
ꢄ S ’assurer que l ’informatique est sous contrôle
ꢅ Principaux objectifs de contrôle:
ꢄ Stratégie informatique : pilotage des SI, schéma directeur,orientation
stratégiques, plan à court
ꢄ Fonction informatique: positionnement, rôle, organisation et règles de
Mise en œuvre
contrôle (séparation des tâches)
Choix et orientation
ꢄ Projets informatiques: démarche de mise en œuvre, délai, planification,

et Exploitati
du système
développemen on du SI
d ’information
t du SI
pilotage des projets, relation Maîtrise d’ouvrage / maîtrise d’œuvre

ꢄ Performance du système d ’information: disponibilité, portefeuille des
bug, versioning, help desk, assistance utilisateurs
ꢄ Sécurité du système d ’information: sauvegarde, plan de continuité

ꢄ Relation avec les fournisseurs: contrats de maintenance,
ꢆ Livrable:
ꢄ Une appréciation globale du système d ’information et évaluation des
risques génériques liés à l ’environnement informatique de l ’entreprise.
ꢄ Plan de recommandation et audit des risques spécifiques accrus
74
AUDIT : ALIGNEMENT STRATEGIQUE
ꢃ Objectif:
ꢄ Auditer la coincidance de la stratégie système d ’information avec la ou les
stratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage du
SI.
Mise en œuvre
ꢄ Processus de planification stratégique a moyen et long terme: stratégie
métiers, schéma directeur informatique (projets et budget investissements)
et Exploitati
du système
d ’information
t du SI
ꢄ Évaluation du schéma directeur: suivi des réalisations, planification,

surveillance des budgets et des délais
ꢄ Pilotage et décision: organe de suivi et de contrôle, organes de décision et
d’arbitrage, système de reporting sur l ’avancement des projets
informatiques
ꢄ Orientations technologiques et architecture fonctionnelle: adéquation,
évolutivité, opportunité, niveaux de sécurité

ꢄ Choix de la solution informatique: démarché de choix (cahier des charges
et consultations), adéquation avec les besoins de
l ’entreprise,contractualisation
ꢆ Livrable:
ꢄ Identification du niveau d ’alignement du SI à la stratégie de l ’entreprise
ꢄ Mesure Plan de recommandation et audit spécifique des risques accrus
75
AUDIT : FONCTION INFORMATIQUE
ꢃ Objectif:
ꢄ Auditer la coincidance la stratégie système d ’information sur la ou les
stratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage du
SI.
ꢄ Rôle et positionnement de l ’informatique dans l ’entreprise : rattachement
à la DG,, relation avec la maîtrise d ’ouvrage, comités informatiques
Mise en œuvre
et Exploitati
ꢄ Mesure et suivi de la performance: existence d ’objectif et d ’indicateurs
du système
pertinents de mesure de la performance, existence des contrats de service

d ’information
t du SI
informatique (SLA), baromètre de satisfaction, tableaux de bord

informatiques
ꢄ Organisation et structure de la fonction informatique: séparation des
tâches, rôle et missions de chaque entités, adéquation des effectifs et des
compétences avec les besoins de l ’entreprise
ꢄ Procédures et méthodes: règles de gestion, niveau de contrôle internes,
méthodes de gestion des projets, gestion de la documentation
ꢄ Outsourcing: relation avec les prestataires de service, contrats, risque
juridique et informatiques
ꢆ Livrable:
ꢄ Une évaluation des risques potentiels liées à la fonction informatique.
ꢄ Plan de recommandation de maîtrise de la fonction informatique
76
AUDIT : PROJETS INFORMATIQUES
ꢃ Objectif:
ꢄ Auditer l ’organisation et le pilotage de la fonction informatique
ꢄ Définition des projets: objectifs du projets, le périmètre, les interactions
avec d ’autres projets, moyens humains et techniques, les délais, le budget,
ꢄ Structure de gestion des projets: maîtrise d ’ouvrage, maîtrise d ’œuvre,
Mise en œuvre
et Exploitati
organe de suivi et de pilotage du projet, efficience des organes de décision,
du système
ꢄ Planification du projet: planning directeur du projet, tableau de bord du

d ’information
t du SI
projet,plan de charge, identification des dépassements et anticipation des

blocages et des dérapages de délais
ꢄ Démarche de gestion de projet et plan d ’assurance qualité : livrables du
projets, validation des livrables, documentation
ꢄ Processus d ’homologation et de tests: plan de test, PV de validation de

tests
ꢄ Conduite de changement: évaluation des changements, plan de
communication, plan de formation,reprise des données
ꢆ Livrable:
ꢄ Identification des risques projets des causes de dysfonctionnements
ꢄ Mesures clés pour la réussite et l ’aboutissement des projets informatiques
77
AUDIT : APPLICATIONS INFORMATIQUES
ꢃ Objectif:
ꢄ Auditer l ’adéquation des applications informatiques aux exigences des
utilisateurs et au standards d ’exploitation
ꢄ Performance des applications informatiques: existence de contrats de

Mise en œuvre
service avec les utilisateurs, disponibilité du système, continuité de service
et Exploitati
ꢄ Conformité aux normes de sécurité et aux règles de contrôle interne:

du système
d ’information
t du SI
gestion des accès: identification et authentification,

ꢄ Help desk et assistance utilisateurs: intervention de maintenance,
indicateurs de performance ( portefeuille de bug, délai de réponse et délai
de prise en charge)
ꢄ Gestion des incidents et des demandes d’évolution: versioning, évolutivité
par rapport aux besoins des utilisateurs,
ꢆ Livrable:
ꢄ Une identification de l ’adéquation des applications aux besoins et aux
exigences d ’exploitations des utilisateurs
ꢄ Plan de recommandation et audit spécifique des risques accrus
78
ꢃ Objectifs:
ꢄ Faire converger le système d ’information avec les objectifs stratégiques de
l ’entreprise
ꢄ Assurer la gestion intégrée et cohérente du SI,
ꢄ Préparer le SI à intégrer et à maîtriser les changements progressifs qui se
Mise en œuvre
feront dans l ’entreprise
et Exploitati
ꢅ
du système
Points clés de la démarche:

d ’information
t du SI
ꢄ Formaliser les axes stratégiques de l ’entreprises: orientations métiers et SI,

alignement SI, opportunités technologique
ꢄ Établir les cartographies existantes: métiers, fonctionnelles, applicatives et
techniques du système d ’information selon un découpage Zone, quartier, ilot

ꢄ Établissement du plan de convergence: concevoir les cartographies cibles:

métiers, fonctionnelles, applicatives et techniques
ꢆ Livrable:
ꢄ Alignement stratégique métier/ SI
ꢄ cartographie existantes et cibles: Métiers, fonctionnelles, applicatives,
techniques
ꢄ Plan de convergence à mettre en œuvre
79
1 - Définition de la mission : Etablissement de la lettre de
mission
• Partir des attentes du demandeur

d’audit
• Ne pas hésiter à passer du temps à bien les
comprendre
• C’est pas toujours claire dans leur tête, c’est d’ailleurs
pour
cela qu’ils demandent un audit
• Si c’est nécessaire faire un pré-diagonstic
• Etablir une liste des questions
• Faire une lettre de mission (C’est un mandat au sens du
Code
Civil)
• Souvent il faut rédiger la lettre de
mission
80
2 - Planification de la mission :
le choix de la démarche
• Il faut dès le départ annoncer la démarche

suivie
• Pour l’auditeur externe rôle de la proposition
• Pour l’auditeur interne rôle du plan d’audit
• Il faut détailler le programme de travail
• Prévoir suffisamment à l’avance la collecte des faits et les tests
à organiser (délais souvent longs)
• Savoir limité le nombre des entretiens (c’est un très

grosconsommateur de temps et de délais)
• Une mission d’audit insuffisamment préparée est une mission

à risque
81
3 - La collecte des faits, la réalisation des tests,...
• L’auditeur ne doit prendre en compte que les faits et il doit

se méfier des opinions
• On ne peut pas se contenter des «dires» des audités, il faut
se baser sur des faits
• On s’organise pour trouver les faits dont on a
besoin :
ꢂ
ꢂ Les
Les tests,
mesuresles de
jeux d’essais,… (temps de réponses...)
performances
ꢂ Les incidents d’exploitation, les anomalies, les erreurs, les
bugs,…
ꢂ ….
• Les faits, rien que les faits, tous les faits
• La mission, toute la mission, rien que la mission
• Importance de la collecte de faits significatifs et si on a du mal
à les obtenir nécessité d’effectuer des tests
82
4 - Entretiens avec les audités
• Au contraire, spontanément les auditeurs se méfient des faits et

ils ont tendance à préférer les opinions
• Au cours des entretiens, ne pas se disperser. Cibler les

questions
• Se méfier des check-lists. Avoir une liste de thèmes
• Ne pas prendre parti dans les déclarations des audités
• Evaluer avec prudence les « dires »
• On n’instruit pas « à charge et à décharge
»
• La lettre de mission vous donne un mandat. Vous représentez
le demandeur d’audit
• Eviter les validations d’entretiens (temps, qualité,
…)
• Le nombre d’entretiens est une variable importante expliquant
la durée de l’opération et la charge de travail
83
5 - Faut-il un rapport ?
• Il existe une curieuse mode consistant à ne pas remettre

de rapport d’audit
• De nombreux arguments :
ꢂ C’est long à faire
ꢂ Les décideurs n’ont pas le temps de le lire
ꢂ Il ne sert à rien
ꢂ…
• Il serait préférable de faire une présentation
PowerPoint
• C’est une grave erreur
• Il faut les deux : le rapport et la
présentation
84
5 - Le rapport d’audit : la conception, la rédaction, la
présentation
• Le rapport d’audit est un document de
référence
• Importance de définir à qui il est destiné et comment il
seradiffusé
• Commencer à le rédiger à partir de la moitié de la mission.

Surune mission de deux mois dès la fin du 1er mois
• Le corps du rapport doit, dans la mesure du possible, être

traité
dans l’ordre des questions d’audit se trouvant dans la lettre
de
• mission
Les recommandations doivent être classées en mesures à
court
terme, à moyen terme et à long terme
• Faire une synthèse en 2 pages (plus souvent 4)
85
Quelques conseils de rédaction du rapport d’audit
• Etre pédagogique, expliquer les termes et les concepts

utilisés
• Eviter les accumulations de faits ou de remarques
sansqu’apparaisse la structure d’ensemble
• Faire des synthèses et des récapitulations

• Ne pas porter de jugement de valeur
• L’auditeur base ses appréciations sur des référentiels
largement
reconnus
• S’il n’y a pas de référence ou si la doctrine est incertaine, il faut
le signaler et dans ce cas jouer un rôle de conseil
• Si on demande à l’auditeur des jugements de personne, on

doits'interdire de le faire par écrit
• Faite attention à la forme et au style

86
L’établissement des recommandations opérationnelles
• Il faut des mesures concrètes et faciles à mettre en

oeuvre
• Ilꢂfaut distinguer
A court terme, les recommandations
c’est-à-dire qui peuvent: être mise en place sans
délai et sans investissement
ꢂ A moyen terme, c’est-à-dire demandant des études
complémentaires
ꢂ A long terme, qui demandent des investissements lourds ou la
remise en cause des politiques antérieures
• On attend de ces recommandations des progrès significatifs
et substantiels
87
6 - Présentation et discussion du rapport
• Il faut organiser des présentations du rapport d’audit

pour
ꢂ Le (ou les demandeurs) d’audit
ꢂ Le management de l’informatique
ꢂ Le service informatique (encadrement ou toute l’équipe)
• Dix à quinze de slides pas plus (20 à 30 minutes)
• Communiquez sur l’essentiel
• Vendre les recommandations en mettant en avant 4 à
6 mesures « emblématiques »
• Ne pas « négocier» le contenu de la présentation (ni

du rapport, ni des recommandations)
88
Bâtir un plan d’action
• La liste des recommandations ne fait pas un plan

d’action
• Un certain nombre d’opérations complémentaires
sontnécessaires :
ꢂ Sélectionner les mesures et les hiérarchiser

ꢂ Approfondir et compléter les actions
ꢂ Effectuer des analyses complémentaires
ꢂ Fixer les responsabilités
ꢂ ….
• Le plan d’action doit être validé par le management
(Comité
de Direction, Comité de Pilotage,
Commission
• informatique,…)
Souvent des spécifiques moyens doivent lui être
affectés
89
Le suivi des recommandations et du plan d’action
• Il est nécessaire de mettre en place un dispositif de suivi

desrecommandations et du plan d’action
• L’expérience montre que si on ne met pas en place un suivi

des
recommandations, elles ne sont pas appliquées, ou du moins
on
applique que celles qui ne posent pas de problèmes et les
autres
• Il est donc nécessaire de mettre en place un suivi des
mesures
sont laissées à leur triste sort
choisies
• Faire un point périodique sur le degré de mise en place
desrecommandations (tous les 3 ou tous les 6 mois)
• L’efficacité des audits informatiques se joue en partie sur

la mise en place d’un suivi
90
Comment améliorer la qualité de la démarche ?
• Un ordre de mission claire identifiant le demandeur

d’audit
• Des points d’échange réguliers avec le demandeur d’audit
• Annoncer au départ la démarche qui sera suivie
• Manifester son indépendance notamment lors des
entretiens
• Refuser les tentatives d’élargissement de la mission
•• Se méfier par
Bétonner des ragots, des
des faits, bruits,
des des on-dits,
analyses…
…
• Ne pas tirer sur tout ce qui bouge
• Etre positif : dire ce qui marche,…
• Faire des recommandations professionnelles
91
Bibliographie
• www.afai.asso.fr
• www.isaca.org et surtout knet
• CobiT
• La Revue Audit et Conseil en Technologies de
l’Information (Revue de l’AFAI)
• The Information Systems Control

Journal (Revue de l’ISACA)
ISACA - Bookstore
• CISA Review Technical Information Manuel
ISACA
• Information Technology Control and Audit
(Gallegos, Manson, Allen-Senft - ISACA)
92
MERCI POUR
VOTRE
ATTENTION
93

Audit Des Systemes D Informations ISF (002) UPDATES

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Des Systemes D Informations ISF (002) UPDATES

Transféré par

Droits d'auteur :

Formats disponibles

Audit des Systèmes

IIbrahima TOBE, PhD

1. Notions de base des de l ’audit des SI

IIbrahima TOBE, PhD 2

Les systèmes d ’information ont évolué depuis les années 70

IIbrahima TOBE, PhD 3

Certes, le niveau d ’intégration du SI dans les processus de gestion

Inefficience de Risques Inefficience du

IIbrahima TOBE, PhD

ꢂ Le système d ’information de l ’entreprise contribue-t-il à

IIbrahima TOBE, PhD 5

Les problématiques du système d ’information se manifestent tout le long de son cycle

ꢁ Quelle choix pour la mise en œuvre du plan de

ꢁ Quelle adéquation entre les applications en exploitation et

IIbrahima TOBE, PhD 6

REVUE DES CONTRÖLES GENERAUX INFORMATIQUES

URBANISATION DU SYSTEME D ’INFORMATION

IIbrahima TOBE, PhD 7

IIbrahima TOBE, PhD 8

ꢂ L ’audit de conformité (audit de régularité)

IIbrahima TOBE, PhD 10

ꢂ L ’audit d ’efficience (audit économique)

– Analyser les moyens affectés aux opérations

– Apprécier l ’utilisation des ressources

– Proposer des moyens d ’optimiser ces moyens

ꢂ Attitude réservée face aux audits sanctions

IIbrahima TOBE, PhD 11

IIbrahima TOBE, PhD 13

Le Diagramme Événement-Résultat permet de modéliser les processus.modelisation-

Business Process Modeling (BPM)

IIbrahima TOBE, PhD 14

IIbrahima TOBE, PhD 15

• Positionnement et structure de la fonction informatique

IIbrahima TOBE, PhD 16

• Les bonnes pratiques concernant la fonction informatique

• Les relations entre la direction générale et les

• La clarté des structures et des

• L ’existence de dispositifs de mesures

• L ’existence de dispositifs de mesures

• Les points de contrôles

• Rôle des directions dans le système d

• Rôle des directions dans le système d ’information

• Responsabilité du service informatique (relations

• Responsabilité du service informatique (relations

• Existence de dispositifs de contrôle

• Existence de dispositifs de contrôle

• Exemples de mission d ’audit

• Evaluation de l ’efficacité d ’un service

• Evaluation de l ’efficacité d ’un service

• Audit de la procédure de suivi des coûts

• Audit de la procédure de suivi des coûts

• Exemple de mission d ’audit : Evaluation de l ’efficacité d

• Particularités des projets

• Mettre en place un système de pilotage

• Les bonnes pratiques concernant les projets

• Les points de contrôles

• Exemple de mission d ’audit : Audit d ’un grand projet à la fin

• Audit d ’un projet en

• Existence de risques importants liés aux systèmes d

• Quatre notions fondamentales

• Les facteurs de limitation des

• Existence d ’une politique du système d

• Implication des utilisateurs