THEME

Désacraliser les Systèmes

d’Information
Objectifs du séminaire
 Connaître les concepts et le vocabulaire essentiel
 Identifier les principaux risques liés au déploiement et à l'utilisation
des systèmes d'informations
 Améliorer l'efficacité de l'audit en incluant les aspects liés aux
systèmes d'informations dans le périmètre d'audit
 Collaborer plus efficacement avec les informaticiens et les
auditeurs spécialisés en informatique
Sommaire
 Enjeux des Systèmes d'information
 Infrastructure technologique
 Architectures des Systèmes d'informations
 Les réseaux
 Internet et le Web

 Les bases de données

 Progiciels ERP
 L'organisation d'une Direction des Systèmes d'Informations

 Le processus de développement logiciel

 Risques et contrôles en environnement informatisé
 Le rôle de l’auditeur
 Enjeux des Systèmes
d’Informations
• Le Système d’Information a pour objectif de recueillir, de stocker, et de
diffuser l’information de l’environnement d’une organisation et des
opérations internes pour soutenir les fonctions de l’entreprise, la prise de
décision, les communications, la coordination, le contrôle, l’analyse et la
visualisation.

• Les systèmes d’information transforment des données brutes en

informations utiles au moyen de trois activités essentielles : l’entrée, le
traitement et la sortie.
 Concepts associé
 • Processus : ensemble d’activités liées, qui transforment des
éléments entrants en éléments sortants (ISO 9000 : 2000)
 • Logiciel : ensemble des programmes, des procédures et de la
documentation et des données éventuellement associées(ISO
12207)
 • Cartographie Applicative : schéma représentant l’ensemble
des applications informatiques, et leurs relations, supportant les
processus de l’entreprise
Modèle d’entreprise
Pilotage: concerne la direction
stratégique et la gestion de
l'ensemble du SI

Réalisation: l implémentation
et la mise en place des
composants du si

support: maintien en bon état ,

le dépannage et le support
technique pour garantir le bon
fonctionnement du si
Modèle d’entreprise et SI
 Les flux, les traitements
 Les flux
– les données : éléments bruts
– les informations : éléments significatifs et utiles à l’entreprise
 Les traitements
– Collecter
– Classer
– Calculer
– Comparer
– Stocke
Syst. d’Information // Informatique
SI : 4 perspectives
La manière dont le processus métier est
prise en compte pour si
Les fonctions spécifique dont le si doit
accomplir pour répondre au besoin de
en/se

Examine les logiciels et les apps

informatiques qui sont utilisés

Concerne les infrastructures

technologique: serveur ,pc, BD
Infrastructure technologique
L’ordinateur : détails
Unité d'entrée: clavier, souris, écran
tactile, scanner, microphone

Unité de sortie:
Ecran(moniteur),imprimante, haut
parleur, casque audio, cle usb,
Disque dur externe

Unité de communication: carte

reseau, routeur, switch
 Les programmes : détail
 Un code source C’est ce qu‘un développeur écrit pour
– ensemble d’instructions rédigées dans crée un logicien
un langage informatique

 • Un exécutable
– compilation / interprétation du code C’est un fichier informatique
source en langage machine afin qu’il soit contenant un programme prêt à être
exécuté par le processeur exécuter sur un pc
L’infrastructure technologique
 • Un ensemble de composants c'est l’ensemble des composants
– les plates-formes techniques matériels, réseaux, et ressources
– les télécommunications nécessaire au fonctionnement du si.
– la gestion des données
– les applications Ex: serveur, pc, logiciel, BD, reseaux,
 • Un ensemble de services les pare-feu…
– la gestion de l’infrastructure
– les normes relatives à l’infrastructure
– la formation
– la veille
Infrastructure : les composants
Infrastructure : les composants
 Infrastructure : des normes

 • Le code ASCII - 1958  ASCII :American Standard Code for

 • Le COBOL - 1959 Information Interchange(Code Américain
normalisé pour l'échange d'info)
 • Unix - 1969 à 1975 Le COBOL: COmmon Business-Oriented Langage.
 • Ethernet – 1973  • Unix: est un SE
 • TCP / IP - 1974  • Ethernet : c'est un réseau local
 • Web - 1989 à 1993  • TCP / IP :
 • E-commerce - 2000
Besoins et types de logiciels

Niveau stratégique(tableau de bord): -

besoin: besoin stratégiques de collecte, synthèse et la
présentation des donnés clé pour les dirigeant
-Type de log: logiciel de business intelligence

Niveau décisionnel (data warehouse):

-besoin: consiste a stocker, organiser et gérer d’enorme
volume de données qui sont des BD
-type de log: un logiciel de gestion datawarehouse pour
concevoir et gérer des entrepôt de donnée

Niveau opérationnel:
-besoin: les besoins sont axés sur l'exécution quotidienne
des processus par les employés
type de log: un logiciel de gestion opérationnel pour le
bon fonctionnement du SI
 Les modes de traitement
 Production
– Transactionnel : Non planifié et immédiat, interactif, nécessite la présence d’un
utilisateur pour traiter des opérations à l’unité
– Par lots (Batch) : Planifié et répétitif, l’ordonnancement des traitements est
prédéfinie, leur déclenchement est paramétré en fonction de la survenance
d'événements déclencheurs ; ils traitent des opérations en masse

 Datawarehouse
– Le mode de mise à disposition des fonctionnalités d’analyse est similaire au
“Transactionnel” car non planifié et immédiat, il ne permet toutefois pas de
mise à jour interactive des données
 Architectures des systèmes
d’information
 Agencement et interaction des composants du
C’est la structure organisationnelle qui défini la
système informatique
manière dont les composant informatiques,
 Les choix d’agencement et d’interaction dépendront logiciel, les BD, réseaux et les processus
– des besoins (Quoi, Comment, Où, Qui, Quand, interagissent pour répondre au attentes de
Pourquoi) l'organisation
– des données
– des composants logiciels
– des composants matériels
– des réseaux
 Architectures
Les termes centralisée, décentralisée,
reparties/Distribuées et
 Centralisées local/individuel font référence à la
manière dont les ressources
 Décentralisées informatiques et données sont
 Réparties / Distribuées organisées et gérées au sein de
 Locale / Individuelle l'organisation
Le client / serveur : les principes
Client / serveur à 3 niveaux (“3-
tier”)
Architecture client-serveur
 Les réseaux
Les réseaux : pour quoi faire ?

 • Partager des informations

 • Echanger des informations
 • Mutualiser des ressources
 • Répartir les activités, les données
 • Optimiser la capacité de traitement
 • Centraliser la gestion et l’administration
 Supports de communication
 • Métallique : signal électrique
– Paire torsadée
– Câble coaxial

 • Plastique : signal optique

– Fibre optique

 • Courant porteur en ligne (CPL)

 • Sans fil
– Bluetooth - 3G/3G+
– Wi-Fi - Wireles Fidelity
– WiMax - Worldwide Interoperability for Microwave Access
 Catégories de réseaux
 • Réseau personnel - PAN
 • Réseau local - LAN
 • Réseaux MAN, WAN
 • Réseau privé
 • Réseau public commuté - RTC
 • Réseau de stockage – SAN, NAS
 • Réseau privé virtuel - VPN
PAN: Personal Area Network
LAN: Local Area Network
MAN: Metropolitan Area Network
WAN: Wide Area Netwok
RTC: Reseau Téléphonique commuté
SAN: Storage Area Network
NAS: Network Attached Storage
VPN: Virtual Private Network
 Protocoles et équipements
 • Protocoles
– Ethernet
– IP (IPv4 vs IPv6)
– UDP / TCP
 • Équipements
– Switchs
– Routeurs
– PABX
 EDI = Electronic Data
Interchange
 • Des Normes visant à convertir des documents Échange de Données Informatisées
“papier” en un message type au format
électronique pour faciliter les échanges.
– ANSI X12 (Etats Unis) ANSI X12 :American National Standards
– UN/EDIFACT (United Nations EDI For Institute
Administration, Commerce, and Transport)
 • Des conventions sectorielles (grande
distribution, santé, automobile,
administrations...) visant à organiser les données
pour différents types d’opérations : les factures,
les déclarations fiscales
 EDI = Electronic Data
Interchange
 • Un dictionnaire de données
Il s'agit d'une méthode électronique
 • Des protocoles de transmission : Règles de permettant aux organisation d'échanger des
traitement des messages informations commerciales de manière
automatisée .
 électroniques de données (regroupement,
transmission).
 • Des méthodes de communication
– Point à point
– Réseau à Valeur Ajoutée
 Internet et le Web
-HTML:(HyperText Markup
 • Internet - Interconnected networks
Language)
– Un réseau informatique mondial
Le css: cascading style sheet
 • Navigateur - Browser
– Un logiciel conçu pour consulter les pages mises en ligne
– URL :(Uniform Resource Locator)
sur le Web et naviguer de l’une à l’autre
est une adresse qui identifie de
 • Web - World Wide Web - WWW manière unique une ressource sur
– Un système hypertexte public qui fonctionne sur Internet Internet
– Langage HTML – URL – Liens – Liens:est un élément interactif qui
permet aux utilisateurs de naviguer
– Nombreux autres services
d'une ressource à une autre.
Infrastructures : Privée /
Publique
Font référence aux types
d'environnements informatiques
dans lesquels les entreprises ou
les organisations déploient et
gèrent leurs ressources
informatiques, notamment les
serveurs, le stockage, les
réseaux et les applications.
Ubiquité des technologies
Internet
Fait référence à la présence généralisée et à l'utilisation
répandue des technologies Internet dans la conception, le
déploiement, la gestion et l'utilisation des systèmes
d'information au sein des organisations.
 Internet : des menaces
 • Parce qu’Internet n’est pas un
réseau sécurisé par nature
– Écoute des données transmises
– Usurpation d’identité ou de droits
– Modification malicieuse des données
transmises ou stockées
– Hameçonnage = phishing
– Intrusion
– Déni de service (Dos, DDoS)
Les menaces en Système d'Information (SI) liées à Internet font référence aux
risques et aux vulnérabilités auxquels les systèmes d'information sont exposés
en raison de leur utilisation d'Internet
1.Cyberattaques : Les cyberattaques, telles que les attaques par déni de service
distribué (DDoS),
2.Malwares : Les logiciels malveillants, tels que les virus, les chevaux de Troie
peuvent infecter les systèmes via Internet
3.Phishing : Le phishing implique l'envoi de courriels ou de messages
frauduleux pour tromper les utilisateurs.
4.Ingénierie sociale : Les attaques d'ingénierie sociale exploitent la
manipulation psychologique des individus pour obtenir des informations
confidentielles
5.Fuites de données : Les fuites de données, qu'elles soient causées par des
erreurs humaines.
6.Perte de confidentialité : Les informations sensibles et les communications
confidentielles peuvent être interceptées ou compromises lors de leur transit
sur Internet.
7.Déni de service : Les attaques par déni de service (DDoS) inondent un site
Web ou un serveur de trafic, le rendant inaccessible pour les utilisateurs
 Internet : des parades
 • Chiffrement
 • Authentification / Contrôle
d'accès
 • Contrôles d’intégrité
 • Authentification mutuelle
 • Routeurs filtrants et/ou pare-feu
 • Systèmes IDS et IPS (Intrusion
Prevention System)
 • Anti-virus et veille technologique
Pour protéger les systèmes d'information (SI) contre les
menaces liées à Internet, il est essentiel de mettre en
place une série de mesures de sécurité:
Pare-feu (Firewall) : Les pare-feu sont des dispositifs
logiciels ou matériels qui filtrent le trafic réseau entrant
et sortant
Systèmes de détection et de prévention des intrusions
(IDS/IPS) : Les IDS surveillent le trafic réseau pour
détecter les activités suspectes, tandis que les IPS
peuvent réagir activement en bloquant le trafic
malveillant.
Sécurité des e-mails : Utilisez des filtres anti-phishing et
anti-malwares pour bloquer les courriels malveillants
Mises à jour et correctifs : Assurez-vous que tous les
logiciels et systèmes sont régulièrement mis à jour avec
les derniers correctifs .
Authentification forte : Mise en place de
l'authentification à deux facteurs (2FA) pour renforcer la
sécurité
Sécurité des données : Chiffrez les données sensibles en
 Internet :
les mécanismes de chiffrement
 • 1 clef : une même clef pour
chiffrer et déchiffrer
– Symétrique
– DES, 3DES, AES
 • 2 clefs : une clef publique pour
chiffrer et une clef privée pour
déchiffrer ; une clef privée pour
signer et une clef publique pour
vérifier la signature
– Asymétrique
Le chiffrement est un mécanisme de sécurité essentiel utilisé pour
protéger les données en transit sur Internet. Deux types principaux de
chiffrement sont largement utilisés : le chiffrement symétrique et le
chiffrement asymétrique:
Chiffrement Symétrique :Le chiffrement symétrique, également appelé
chiffrement à clé secrète, utilise une seule et même clé pour chiffrer et
déchiffrer les données.
La même clé est utilisée à la fois par l'expéditeur pour chiffrer les données
et par le destinataire pour les déchiffrer.
(DES) Data Encryption Standard
(AES) Advanced Encryption Standard
3DES (Triple Data Encryption Standard)
Chiffrement Asymétrique :Le chiffrement asymétrique, également
appelé chiffrement à clé publique, utilise deux clés distinctes : une clé
publique et une clé privée.
La clé publique est utilisée pour chiffrer les données, tandis que la clé
 La signature électronique
 • Loi du 13 mars 2000 – décret du 30 La signature électronique est un mécanisme de
mars 2001 sécurité qui permet d'authentifier l'identité d'une
 • Certificat numérique (Standard X509) personne ou d'une entité, tout en garantissant
l'intégrité d'un document ou d'un message
– Autorité de certification
électronique.
– Cycle de vie des certificats
 • Infrastructure à clé publique : PKI
(PKI, pour Public Key Infrastructure)
 • Que faire avec ?
– Signature : intégrité
– Chiffrement : confidentialité
– Authentification : Non répudiation
 3D-Secure
 • Protocole de sécurisation des Est un protocole de sécurité utilisé
transactions de paiement par pour renforcer l'authentification des
Internet mis au point par Visa titulaires de cartes de crédit et de
 • Selon les banques, débit lors de transactions en ligne.
authentification différente du
client (code postal, date de
naissance, code envoyé par
sms...)