Audit IT et sécurisation des données

I. Qui suis-je ?

II. Calendrier semestriel et notation

III. Introduction

III. Les systèmes d’informations

V. La sécurité des systèmes d’informations

VI. Audit des systèmes d’informations

VII. La sécurisation des données, cheval de bataille de la

règlementation
II. Calendrier semestriel et notation
 Modèle d’apprentisage
3h COURS

1 3h COURS « CLASSE
ENCADRÉE »

2
COURS
2h PAIRAGOGIE

3
COURS
2h PAIRAGOGIE

SOUTENANCE
3h PAIRAGOGIE

4
+
1h Test individuel
sur table
Conclusion du
cours/feed back
 Les évaluations

Pour chaque cours, pour chaque élève :

1 note de groupe en pairagogie (soutenance orale avec présentation PPT,

max 6 groupes par classe).

1 note par bloques de matières complètera également le bulletin de notes

Aucun rattrapage n'est possible

Seule la scolarité peut prendre des décisions sur les évaluations.
 Retards et Absences

Les règles doivent être strictement appliquées :

. pas d'entrée en classe après l'heure de début de cours.

. 30 h d'absences non justifiées : exclusion de la formation

III. Introduction
 Audit vs Control

Le contrôle est un processus interne ou externe à l'entreprise et

continu, mis en place au sein de toutes les activités d'une entreprise.
Il ne s'agit pas d'un service ou d'une activité à part entière.

L'audit interne ou externe en revanche est une activité qui a lieu à

postériori et de façon ponctuelle.
IV. Les systèmes d’informations
 Definition
Robert Reix « Un système d’information est un ensemble organisé de
ressources : matériel, logiciel, personnel, données, procédures …
permettant d’acquérir de traiter, de stocker et diffuser des informations
dans et entre des organisations »

Frantz Rowe et al « Un système d’information est un système d’acteurs

sociaux qui mémorise et transforme des représentations des
technologies de l’information et des modes opératoires »

Daniel Alban et Philippe Eynaud « Le SI est un ensemble d’acteurs

interdépendants, interagissant sur une pluralité de territoires dans le
cadre d’un projet de gestion de l’information »
 Typologie des formes d’organisation du système d’information

Intégration interne
Processus de production de l’information
SIO SICOOP

SIG SIE

Intégration externe

Système d’information des transactions (STT)

Système d’information de gestion (SG)
Système d’information d’aide a la décision (SIAD)
Système d’information décisionnel (SID)

Ces deux typologies sont a combiner pour comprendre le SI d’une organisation.

V. Sécurité des systèmes d’informations
 L’évaluation des risques

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un

service créé par décret le 7 juillet 2009, rattaché au SG de la Défense et de la
Sécurité nationale (SGDSN).

Elle recommande l’utilisation de la méthode EBIOS Risk manager :

Exprimer un besoin et identifier des objectifs de sécurité.

• Les 4 objectifs de la sécurité selon EBIOS sont les suivants :

• La disponibilité
• La confidentialité
• L’intégrité
• La non répudiation
 Exercice: identifier des risques pour ces 4 objectifs de sécurité

Disponibilité:
Ex: Panne de serveur, Coupure internet, Vol poste de travail ,Attaque de pirate

Confidentialité
Ex: Intrusion, vol d’ID, mauvaise gestion des droits, laxisme des utilisateurs, vol poste de travail

Intégrité :
Ex: Effacement, envoi de fichier non sécurisé (mail), virus

Non répudiation
Usurpation, vol d’ID, navigation anonyme, malveillance
III. Audit du SI
 La norme ISO 19011;2018
Lignes directrices pour l'audit des systèmes de management

Un processus méthodique, indépendant et documenté, permettant d’obtenir des

preuves objectives et de les évaluer de manière objective pour déterminer dans
quelle mesure les critères d’audit sont satisfaits
 Les normes professionnelles

 Internationales :
• ISO : International organisation for standardisation
• International standard audit (ISA) sont élaborées par l’IAASB (International
Auditing and Assurance Standards Board)

 Nationales
• Les Normes d’exercices professionnels (NEP) sont adoptés par le H3C (Haut
conseil du CC). Publiées par la chambre nationale des commissaires aux
comptes (CNCC)
 Focus sur les NEP

Une norme définit les diligences que le commissaire aux comptes doit mettre en
œuvre, elle ne fixe pas les responsabilités respectives du commissaire aux comptes
et de l’entité.

Elle permet :
• D’éviter l’excès de normalisation en délimitant précisément les besoins et en
appréciant le contexte, la finalité et les enjeux;
• Appliquer le principe de proportionnalité : veiller à ce que les prescriptions
normatives n’excèdent pas l’objectif de la mission.
• Les normes tiennent compte du contexte légal français et de la pratique
internationale en matière d’audit.
IV. La sécurisation des données, cheval de
bataille de la règlementation
La sécurité des données est essentielle pour garantir la conformité aux règlementations

RGPD (pour les données relatives aux utilisateurs de l'Union

européenne)

HIPAA (pour les données relatives à la santé),

Loi Sarbanes Oxley (pour le secteur financier)

La norme PCI-DSS (pour les données relatives aux cartes de crédit et
aux paiements).

La non-conformité peut entraîner d'énormes pénalités à payer au

gouvernement, ainsi qu'une perte d'activité d'importance.
RÈGLEMENT (UE) relatif à la protection des personnes physiques à l'égard du traitement des
données à caractère personnel et à la libre circulation de ces données, et abrogeant la
directive 95/46/CE (règlement général sur la protection des données)

• Une « donnée personnelle » est « toute information se rapportant à une

personne physique identifiée ou identifiable ».

• Une personne peut être identifiée :

• directement (exemple : nom, prénom)

• indirectement (exemple : par un identifiant (n° client), un numéro (de

téléphone), une donnée biométrique, plusieurs éléments spécifiques
propres à son identité physique, physiologique, génétique, psychique,
économique, culturelle ou sociale, mais aussi la voix ou l’image).
• L’identification d’une personne physique peut être réalisée :
• à partir d’une seule donnée ;
• à partir du croisement d’un ensemble de données

• Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que

vous les données personnelles ne peuvent pas être collectés simplement.

• A chaque traitement de données doit être assigné un but, qui doit bien évidemment
être légal et légitime au regard de l’activité professionnelle.

• Un « traitement de données personnelles » est une opération, ou ensemble

d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé
La CNIL : qui est elle ? Que fait elle?
 La mise en place du RGPD dans les entreprises :

• La CNIL recommande la mise en place du RGPD en 6 étapes:

1. Designer un responsable des données personnelles ou DPO (délégué a la
protection des données)
2. Cartographier les traitements de données
3. Étudier l’impact sur la vie privée
4. Auditer les traitements de données existants
5. Effectuer un audit technique
6. Arrêter un plan d’action
[2] Cartographier les traitements de données
Comment garantir le bon respect du RGPD ?
 Code de conduite
 Mécanisme de certification
 Assurance multirisque
 Assurance cyber sécurité

Le Responsable sécurité des SI doit « définir la politique de sécurité du SI et de

l’information le cas échéant, et de veiller à son application », on parle de :
 Sécurité physique
 Sécurité logique
 Sensibilisation des utilisateurs
La loi SOX

• La loi se compose de six parties :

1. Certification des comptes : Pour mettre le directeur général et le directeur financier face à leurs responsabilités, la loi leur
impose de certifier les états financiers. Ceux-ci devant être datés et signés.
2. Contenu des rapports : La Securities and Exchange Commission (SEC) oblige les entreprises à publier des informations
complémentaires dans un souci de fiabilité et de diffusion. Ces informations complémentaires comprennent notamment les
engagements hors bilan, le rapport du commissaire aux comptes et toutes autres informations supplémentaires nécessitant
d'être précisées. Un rapport sur l'audit interne et sur le code éthique adopté par l'entreprise doivent également être rédigé par le
dirigeant.
3. Contrôle de la SEC : Cette loi précise que la SEC se chargera de vérifier le bon comportement des sociétés cotées et cette
vérification devra être effectuée au moins tous les trois ans.
4. Comité d'audit et règles d'audit : Un comité d'audit est nommé pour choisir, désigner, rémunérer et superviser les auditeurs. Il
se charge de mettre en place des procédures pour traiter les réclamations qui remettent en cause la comptabilité, les contrôles
internes et l'audit. Il doit également préserver la confidentialité des observations faites par le personnel sur les problèmes
comptables et audit de l'entreprise. De plus, la loi réglemente l'intervention des auditeurs externes. Elle précise que ceux-ci ne
peuvent intervenir dans un cadre autre que leur mission principale. L'entreprise ne peut conserver les mêmes auditeurs externes
pendant plusieurs années.
5. Création du Public Company Accounting Oversight Board (PCAOB) : C'est un nouvel organisme de réglementation et de
surveillance créé dans le but de superviser les cabinets d'audit, établir des normes, inspecter et sanctionner le cas échéant les
personnes physiques ou morales aux comportements déviants.
6. Sanctions : Cette loi précise également les sanctions pénales retenues contre les personnes ne respectant pas le cadre de la loi.
Par exemple une falsification des états financiers est passible d'une amende d'un million de dollars ou peut être punie par une
peine de dix ans de réclusion ou plus.
Cette loi oblige aussi à mettre en œuvre un contrôle interne s'appuyant sur un cadre conceptuel. En pratique le COSO est le
référentiel le plus utilisé.
Comment sécuriser les données

• 1. Contrôler les acces

• 2. Authentification
• 3. Sauvegarde
• 4. Récupération
• 5. Effacement des données
• 6. Masquage des données
• 7. Chiffrement des données
ITAC vs ITGC

Contrôles généraux informatiques (ITGC)

Les ITGC sont des contrôles généraux informatiques qui ont pour objectif de protéger les données de votre organisation
de toute utilisation, divulgation ou compromission
Les principaux points de contrôle réalisés lors d’un audit ITGC sont la :
• gestion de la sécurité logique
• gestion de la sécurité physique
• gestion des changements et évolutions applicatifs

Contrôles des applications informatiques (ITAC)

Les ITAC sont des contrôles appliqués aux traitements des transactions réalisées dans les applications.
Le but de ces contrôles est de fournir une assurance raisonnable sur la complétude, l’exactitude, la validité et la correcte
autorisation des transactions effectuées.
 Bibliographie
Vo Ha, V. (2022). DSCG 5 - Management des systèmes d’information : Tout l’entraînement 2022-
2023.

Pillou, J. F., & Caillerez, P. (2019). Tout sur les systèmes d’information : grandes, moyennes et
petites entreprises. Dunod.

Reix, R., Fallery, B., Kalika, M., & Rowe, F. (2016). Systèmes d’information et management des
organisations. Vuibert.

Laudon, K., & Laudon, J. (2013). MANAGEMENT DES SYSTEMES D’INFORMATION 11ED +
PDF DES CORRIGES (ECO GESTION) (French Edition). PEARSON.

GmbH, L. (s. d.). Audit informatique – Définition et rôle | LeanIX.

https://www.leanix.net/fr/wiki/ea/audit-informatique

Les missions | CNIL. (s. d.). https://www.cnil.fr/en/node/178