M414

UNIVERSITE DE LA MANOUBA
Institut Supérieur de Comptabilité et d’Administration des Entreprises
Commission d’Expertise Comptable
MEMOIRE EN VUE DE L’OBTENTION DU DIPLOME

D’EXPERTISE COMPTABLE
INCIDENCES DE L’EVOLUTION DES TECHNOLOGIES DE

L’INFORMATION SUR LES RISQUES D’AUDIT
ET
PROPOSITION D’UNE DEMARCHE ADAPTEE DE LA
SECURITE INFORMATIQUE
PRESENTE PAR : Mme Jihed BESGHAIER EPOUSE LEHBAIEL
ENCADRE PAR : Mr Mohamed BOUATTOUR
Octobre 2006
Incidences de l’évolution des technologies de l’information sur les risques d’audit et proposition d’une
démarche adaptée de la sécurité informatique
DEDICACES
A la mémoire de ma mère;
A mon père pour son soutien ;
A mon mari pour ses encouragements, pour son soutien et son amour ;
A mon frère et à mes soeurs pour l’affection qu’ils m’ont toujours accordée;
A ma belle famille pour ses aides précieuses;
A mon ami Najeh pour sa sincere amitié, sa fidélité et son soutien moral;
A tous ceux que j’aime et qui m’aiment.
_______________________________________2________________________________
REMERCIEMENTS
J’adresse l’expression de ma très grande reconnaissance et toute ma gratitude à :
 Mon professeur et encadreur M.Mohamed BOUATTOUR pour son énorme soutien,

ses encouragements constamment prodigués, pour ses bonnes orientations et pour
l’intérêt qu’il bien voulu apporter à ce travail ;
 Messieurs les membres du jury pour avoir accepter d’évaluer ce travail ;
 Tous mes professeurs enseignants qui ont éclairé mon chemin sur la voie du savoir ;
 Et à tous ceux qui m’ont aidé dans l’élaboration de ce travail.
_______________________________________3________________________________
LISTE DES ABREVIATIONS
AFAI : l’Association Française d’Audit et de Conseil Informatique

ANSI : Agence Nationale de la Sécurité Informatique
APSAIRD : Assemblée Plénière des Sociétés d’Assurance contre l’Incendie et les
Risques Divers
BS : British Standard «Code of practice for information security management »
Cert-TCC : Computer Emergency Response Team-Tunisian Coordination Center
CLUSIF : Club de la Sécurité des Systèmes d’Information Français
CNCC : Compagnie Nationale des Commissaires aux Comptes en France
COBIT : Control Objectives for Information and Technology
DAS : Direct Attached System
DBMS : Data Base Management System
DDoS : Distributed Denial of Service
DHCP : Dynamic Host Configuration Protocol
DMZ : DeMilitarized Zone
DNS : Domain Name System
EDI : Echange de Données Informatisées
EDIFACT : Echange de Données Informatisées pour l’Administration, le Commerce et
le Transport
EFS : Encrypting File System
FAT : File Allocation Table
FTP : File Transfer Protocol
HTTP : Hypertext Transfer Protocol
HTTPS : Hypertext Transfer Protocol Secured
IAA : Institute of Internal Auditors
IAASB : International auditing and assurance standards board
IAPC : International Auditing Practices Committee
IDS : Intrusion Detection System
IFAC : International Federation of Accountants
IFACI : Institut Français de l’Audit et de Contrôle Internes
IPS : Intrusion Prevention System
IPsec : Internet Protocol Security
_______________________________________4________________________________
IPX/SPX : Internetwork Packet Exchange/Sequenced Packet Exchange

ISACA : Information Systems Audit and Control Association
ISO : International Standard Organisation
LAN : Local Area Network
MAC : Medium Access Control
MAN : Metropolitan Area Network
MARION : La Méthode d’Analyse des Risques Informatiques Orientée par Niveau
MAU : Multistation Access Unit
MEHARI : Méthode Harmonisée d'Analyse de Risques
NAS : Network Attached Storage
NTFS : New Technology File System
NTIC : Nouvelles Technologies de l’Information et de la Communication
OSI : Open System Interconnexion
PME : Petite et Moyenne Entreprise
SAC Report : Systems Auditability and Control Report
SAN : Storage Area Network
SEII : Secrétariat d’Etat à l’Informatique et à l’Internet
SMTP : Simple Mail Transfer Protocol
TCP/IP : Transmission Control Protocol/Internet Protocol
UDP : user datagram protocol
VPN : Virtual Private Network
WAN : Wide Area Network
WEP : Wired Equivalent Privacy
WPA : Wi-Fi Protected Access
_______________________________________5________________________________
TABLE DES MATIERE
INTRODUCTION GENERALE
PREMIERE PARTIE : LA SECURITE INFORMATIQUE : UN IMPERATIF DU A

L’EVOLUTION DE L’ENVIRONNEMENT ET DES RISQUES DE L’ENTREPRISE 13
INTRODUCTION PREMIERE PARTIE .................................................................. 14
CHAPITRE I : EVOLUTION DE L’ENVIRONNEMENT ET DES RISQUES

INFORMATIQUES ................................................................................................. 16
SECTION 1 - MUTATION DE L’ENVIRONNEMENT INFORMATIQUE DE
L’ENTREPRISE 16
Paragraphe 1 : Aperçu sur l’evolution des materiels et logiciels informatiques………17
Paragraphe 2 : les reseaux informatiques ...................................................................... 20
Paragraphe 3 : les nouvelles technologies de l’information et de la communication 30
SECTION 2 - AMPLIFICATION DES RISQUES INFORMATIQUES ................... 35

Paragraphe 1 : Les différentes formes des risques informatiques ............................. 36
Paragraphe 2 : Les moyens de mesure des risques ....................................................... 49
CHAPITRE 2 : LA SECURITE INFORMATIQUE ................................................... 58

SECTION 1 : LA MISE EN PLACE D’UNE POLITIQUE DE SECURITE
INFORMATIQUE ................................................................................................................... 58
Paragraphe 1 : Les objectifs de la sécurité informatique 59
Paragraphe 2 : conception d’une politique de securite informatique 62
SECTION 2 : LES TECHNIQUES DE SECURITE INFORMATIQUE ........................... 67

Paragraphe 1 : Sécurité des postes de travail 68
Paragraphe 2 : Sécurité des réseaux 74
Paragraphe 3 : Sécurité des télécommunications 85
Paragraphe 4 : Sécurité des données 89
Paragraphe 5 : Sécurité des applications 92
Paragraphe 6 : Les assurances informatiques 95
CONCLUSION PREMIERE PARTIE ...................................................................... 96
_______________________________________6________________________________
DEUXIEME PARTIE : PROPOSITION D’UNE DEMARCHE D’AUDIT DE LA

SECURITE INFORMATIQUE POUR L’EXPERT COMPTABLE ............................ 98
INTRODUCTION DEUXIEME PARTIE ................................................................. 99
CHAPITRE 1 : AUDIT DE LA SECURITE INFORMATIQUE ET ROLE DE

L’EXPERT COMPTABLE .................................................................................... 101
SECTION 1 : INTRODUCTION A L’AUDIT DE LA SECURITE INFORMATIQUE 101
Paragraphe 1 : Définition et objectifs de l’audit de la sécurité informatique 101

Paragraphe 2 : Stratégie nationale en matière de sécurité informatique 105
SECTION 2 : INTERVENTION DE L’EXPERT COMPTABLE DANS LE CADRE

D’AUDIT DE LA SECURITE INFORMATIQUE ............................................................. 110
Paragraphe 1 : Rôle de l’expert comptable 110

Paragraphe 2 : Référentiels et normes d’audit en milieu informatique 117
CHAPITRE 2 : DEMARCHE D’AUDIT DE LA SECURITE INFORMATIQUE ...... 122

SECTION 1 : PHASES DE REALISAQTION DE LA MISSION .................................... 122
Paragraphe 1 : Prise de connaissance de l’environnement informatique 123

Paragraphe 2 : Appréciation des risques inhérents à l’informatique 137
Paragraphe 3 : Appréciation du risque lié au contrôle 180
Paragraphe 4 : Recommandations d’audit 183
SECTION 2 : LES BONNES PRATIQUES DE SECURITE INFORMATIQUE ........... 185
Paragraphe 1 – Sécurités élémentaires 186

Paragraphe 2 – Sécurités avancées ............................................................................... 196
CONCLUSION DEUXIEME PARTIE .................................................................... 204
CONCLUSION GENERALE ................................................................................. 205
LISTE DES ANNEXES .......................................................................................... 208
BIBLIOGRAPHIE ................................................................................................ 231
_______________________________________7________________________________
IIN
NTTR
ROOD
DUUC
CTTIIO
ONNG
GEEN
NEER
RAAL
LEE
Depuis la révolution industrielle au 19ème siècle, l’Homme n’a cessé d’investir dans l’étude
du domaine de l’électromécanique, qui lui semblait prometteur pour répondre à ses objectifs
croissants d’efficacité et d’efficience dans le traitement des opérations répétitives. C’est
ainsi que se sont succédés les découvertes en passant par l’avènement de l’électronique, qui
a permis le traitement massif des données, jusqu’à l’apparition de l’informatique vers les
années soixante (1960). Cette étape s’est vu très vite relayée par l’émergence de la micro-
informatique au début des années soixante dix, qui n’a connu une véritable vulgarisation
qu’au courant des années 1980, pour atteindre vers la fin du 20ème siècle une réelle
expansion avec le développement des nouvelles technologies de l’information et de la
communication.
Corrélativement aux améliorations apportées aux entreprises en terme de rapidité de

traitement de l’information et d’allègement des charges de travail, le développement intensif
de l’informatique a donné lieu à un nouveau domaine de risques, à savoir le risque de perte
de contrôle de la cohérence et de la fiabilité des systèmes d’information.
Ces risques se sont manifestés par des sinistres informatiques d’origines diverses, dus
essentiellement aux vulnérabilités techniques des équipements, aux défaillances humaines
(incompétence, négligence ou malveillance) et à l’utilisation des nouvelles technologies de
l’information et de la communication.
Le Computer Emergency Response Team aux Etats Unis a publié des statistiques1 qui
montrent l’évolution vertigineuse des sinistres informatiques déclarés, qui sont passés de
prés de 10 000 sinistre en 1999 à plus de 140 000 en 2004 . La même étude menée en 2005,
précise que les virus informatiques occupent le premier rang en terme de nombre de sinistre
et de coûts associés pour 42 787 $ par entreprise et par année, suivi par les accès non
autorisés, les pertes de données et les malveillances internes.
1
www.cert.org
_______________________________________8________________________________
C’est Dans le cadre d’un tel contexte technologique en mutation très rapide et caractérisé
par des risques informatiques importants et évolutifs, que les entreprises tunisiennes ont vu
évoluer leur environnement vers une informatisation poussée. Une expansion informatique
qui a touché toutes les entreprises, y compris les petites et moyennes entreprises (PME), et
tout le système d’information en commençant par la bureautique rudimentaire jusqu’à
envahir les systèmes de gestion des stocks, d’approvisionnement, de facturation, de gestion
comptable, de gestion budgétaire….
Les petites et moyennes entreprises (PME), constituant la majeure partie de l’économie

tunisienne, sont exposées aux risques informatiques principalement à cause du faible degré
de perception de risques par les dirigeants, qui considèrent que les risques informatiques
“ne concernent que les grands”, alors que l’utilisation de l’Internet, de la messagerie
instantanée, du commerce électronique et des logiciels standards du marché exposent ces
entreprises, au même titre que les grandes entreprises, aux risques informatiques. Faut-il
être sinistré pour décider à s’investir en sécurité informatique (matériel, logiciel, formation
et sensibilisation)? Une procédure curative est-elle meilleure qu’une procédure préventive et
parvient–elle à couvrir les risques informatiques ?...
Se doter d’un antivirus après avoir été victime d’une attaque virale contribue certes à se
protéger contre les nouvelles attaques, mais ne couvre en aucun cas les pertes matérielles et
immatérielles subies par l’entreprise et touchant à l’intégrité et la disponibilité du matériel et
des traitements informatisées. De même, une fois la confidentialité des données de
l’entreprise compromise, l’utilisation des mots de passe et des pare-feu assure uniquement
la protection après coup.
Etant évolutifs, les risques informatiques exigent des solutions de sécurité constamment
mises à jour, et par là une politique qui assure la veille technologique en vue d’identifier les
nouvelles vulnérabilités et menaces auxquelles s’expose l’entreprise et de mettre à jour les
pratiques de sécurité qui s’imposent. De même, les vulnérabilités des systèmes sont
innombrables, laissant ainsi la voie libre à l’initiative des personnes malveillantes pour les
exploiter. L’essentiel consiste donc à identifier ces failles et mettre en place les palliatifs de
sécurité nécessaire. De ce fait, la sécurité se veut à la fois préventive et constamment à jour.
_______________________________________9________________________________
En règle générale, la sécurité informatique constitue pour toute entreprise quelque soit sa
taille, et essentiellement pour les petites et moyennes entreprises qui ne disposent pas
d’outils de défense appropriés, une nécessité absolue en vue de maîtriser les changements
d’organisation associés à l’utilisation de l’informatique, prévoir et éviter les
dysfonctionnements possibles et assurer la disponibilité, la confidentialité et l’intégrité des
traitements et données informatisées.
A cet effet, la question qui se pose est de savoir si les entreprises se sont dotées de moyens
permettant de prévenir les risques informatiques et de contrôler l’efficacité des mécanismes
de sécurité en place ? C’est-à-dire, est ce que les systèmes de contrôle interne usuels
permettent de se prémunir sinon de détecter et faire face aux risques occasionnés par
l’informatisation poussée des systèmes et par là garantir la fiabilité des informations
produites?
De même, avec le développement des technologies de l’information et l’utilisation accrue

de l’outil informatique pour le traitement et la production de l’information financière et
comptable, la dématérialisation des pièces comptables et la perte des contrôles manuels, le
besoin des utilisateurs est de plus en plus croissant pour bénéficier d’une information fiable.
Le contrôle de la fiabilité des informations et du système de contrôle interne relève de la

responsabilité de l’expert comptable, auditeur de l’entreprise. En effet, dans le cadre de sa
mission, l’auditeur aura à exprimer une opinion sur la régularité et la sincérité des états
financiers issus des traitements informatisés. Son souci d’examiner les objectifs d’un
système de contrôle interne efficace, dont notamment la production d’une information
fiable, le pousse à auditer les sécurités informatiques en évaluant le risque inhérent et le
risque de non contrôle liés à l’environnement informatique et aux mesures de sécurité mises
en place.
Egalement, son rôle de conseil auprès des entreprises, lui impose dans le cadre de réalisation
d’une mission d’audit de la sécurité informatique, de leur apporter une aide principalement
en terme de sensibilisation aux risques néfastes qui peuvent découler de l’utilisation de
l’informatique, des règles d’organisation à respecter et des mesures de sécurité qui
permettent de remédier à ces risques.
_______________________________________10________________________________
A cet effet, il y a lieu de s’interroger sur la définition de l’audit de la sécurité informatique

et sur la démarche à suivre ainsi que les techniques d’audit qui sont mises à la disposition de
l’expert comptable afin de lui permettre d’apporter un jugement sur les mesures de sécurité
utilisées.
Loin d’être un spécialiste en informatique, l’intervention de l’expert comptable a pour

objectif de contribuer à la sensibilisation des dirigeants de l’entreprise aux risques
informatiques et à l’initiation aux mesures de sécurité à mettre en place.
Or, d’un coté le domaine des technologies de l’information se caractérise par une évolution
rapide permanente et diversifiée, et d’un autre coté la formation de l’expert comptable, tout
en apportant un minimum de connaissances, ne lui permet pas de maîtriser convenablement
tous les aspects de la sécurité informatique.
A cet effet, l’objectif du présent mémoire consiste dans un premier temps de présenter à
travers l’examen de l’évolution de l’environnement et des risques informatiques un exposé
des principales connaissances techniques nécessaires à la compréhension des risques
informatiques et des mesures de sécurité appropriées, et de proposer dans une deuxième
phase une démarche d’audit de la sécurité informatique appuyée par des questionnaires de
sécurité et par l’exposé d’un ensemble de pratiques de sécurité qui contribuent à améliorer
les mesures de sécurité auprès des entreprises auditées.
Cette démarche inspirée des méthodes et normes d’audit de sécurité pourrait également
constituer une ébauche pour planifier et réaliser une mission d’audit spécifique de la
sécurité informatique qui, compte tenu de la complexité du système d’information audité,
peut nécessiter l’intervention d’un spécialiste en informatique.
Les objectifs du présent mémoire seront recherchés au travers d’une étude composée de
deux parties :
 Une première partie consacrée à l’examen de l’évolution de l’informatique et des
risques associés ainsi qu’à la présentation des techniques de sécurité à mettre en
place pour se prémunir contre ces risques ;
 Une deuxième partie dédiée à la présentation de la notion d’audit de la sécurité
informatique et à la proposition d’une démarche de déroulement de la mission de
l’expert comptable, et/ou de tout autre non spécialiste de l’informatique qui soit
confronté à des examens minimaux mais tant utiles.
_______________________________________11________________________________
Ce mémoire a été orienté vers l’audit de la sécurité informatique dans le cadre des petites et
moyennes entreprises, et occulte de ce fait les particularités des systèmes informatiques
complexes, dont l’audit nécessite des compétences informatiques avancées et le cas échéant
le recours à des spécialistes en la matière. Le questionnaire servant de base à la
concrétisation de la démarche proposée, tout en essayant d’être exhaustif en vu d’une
utilisation plus étendue, a été conçu pour répondre aux besoins des petites et moyennes
entreprises, mais reste toujours utile pour souligner l’existence de problèmes basiques même
au niveau des systèmes d’entreprises de tailles plus importantes.
De même, il convient de préciser que ce mémoire ne traite pas des aspects suivants :
 Les aspects techniques des contrôles des applications (contrôles programmés et
contrôles utilisateurs) n’ont pas été examinés avec détail du fait qu’ils relèvent de
l’audit informatique des applications;
 L’utilisation des techniques d’audit assistées par ordinateur.
_______________________________________12________________________________
PPR
REEM
MIIE
ERRE
E PPA
ARRT
TIIE
E ::
L
LAA SSE
ECCU
URRIIT
TEE IIN
NFFO
ORRM
MAAT
TIIQ
QUUE
E :: U
UNN IIM
MPPE
ERRA
ATTIIFF D
DÜÜA
A
L’’E
L EVVO
OLLU
UTTIIO
ONND
DE L’’E
EL ENNV
VIIR
ROON
NNNE
EMME
ENNT
TEET
TDDE
ESS R
RIISSQ
QUUE
ESS
D
DE L’’E
EL ENNT
TRRE
EPPR
RIISSE
E
_______________________________________13________________________________
IIN
NTTR
ROOD
DUUC
CTTIIO
ONN PPR
REEM
MIIE
ERRE
E PPA
ARRT
TIIE
E
L’économie mondiale du XXème siècle a été marquée par une révolution majeure liée à
l’apparition des nouvelles technologies de l’information et de la communication.
Dans l’entreprise, cette révolution s’est fait ressentir au niveau de la mécanisation des tâches
manuelles au moyen de l’invention et la vulgarisation des ordinateurs. L’utilisation des
premiers ordinateurs dans les années 1960 s’est accompagnée par une évolution du système
d’information de l’entreprise, en permettant une interaction de plus en plus simple et directe
entre les utilisateurs et les systèmes informatiques et en leur faisant bénéficier d’une vitesse
croissante d’exécution des machines, d’un temps de traitement plus réduit et des coûts de
matériels considérablement minimisés.
Pour bénéficier de ces avantages, les entreprises se sont lancées dans les investissements
informatiques, et on est passé des postes informatiques autonomes à des réseaux de plus en
plus complexes jusqu’à la forme de réseau la plus développée, à savoir l’Internet.
L’informatisation des entreprises se matérialise par une nouvelle répartition des fonctions et
des tâches avec en conséquence un glissement des contrôles et des responsabilités. De
même des nouveaux risques associés à l’informatique s’amplifient au fur et à mesure du
développement des technologies de l’information, les virus informatiques, les intrusions, les
piratages, l’atteinte à la confidentialité et à l’intégrité des données, …. “constituent le revers
de la médaille“ d’un progrès bénéfique mais entouré de risques.
Les risques informatiques sont d’une importance capitale, qu’ils peuvent donner lieu à des
pannes répétitives, pertes de données sensibles, arrêt de la production, coûts financiers
considérables, perte de clientèle et détérioration de l’image de marque de l’entreprise, voir
même causer une entrave à la continuité d’exploitation de l’entreprise.
_______________________________________14________________________________
Les conséquences dommageables occasionnées par la survenance d’un sinistre informatique

justifient le besoin de mettre en place une politique de sécurité informatique en vue
d’identifier les failles et mettre en place les techniques de sécurité appropriées.
Aborder le sujet de la sécurité informatique, et plus encore procéder à son audit par l’expert
comptable, nécessite des connaissances techniques avancées.
Cette première partie du mémoire se propose de mettre à la disposition de l’expert

comptable un ensemble de connaissances de base nécessaire à la compréhension des
sécurités informatiques en présentant dans un premier chapitre l’évolution de
l’environnement informatique de l’entreprise et des risques associés. Le deuxième chapitre
sera consacré à l’étude des préalables à la mise en place d’une politique de sécurité
informatique et des techniques de sécurité indispensables à une gestion optimale de
l’entreprise.
_______________________________________15________________________________
CHAPITRE I : EVOLUTION DE L’ENVIRONNEMENT ET DES

RISQUES INFORMATIQUES
SECTION 1 – MUTATION DE L’ENVIRONNEMENT INFORMATIQUE DE

L’ENTREPRISE
En 1885, fut l’invention par Herman HOLLERITH de la première machine à calculer

pouvant accepter des données sous forme de trous dans des morceaux de cartons, c’était les
premières cartes perforées2.
La première machine portant le nom d’ordinateur fut l’ENIAC (Electronic Numerical

Integrator and Computer) produit en 1946, utilisant 17.468 tubes électroniques et dont la
défaillance d’un seul d’entre eux suffisait pour causer la panne de l’ordinateur3.
L’encombrement de cette première génération était évident du fait qu’elle comprenait plus
de 17.000 tubes électroniques, pesait 30 tonnes et occupait une surface de 160 mètres carrés.
Les tubes électroniques furent remplacés dans la deuxième et troisième génération
d’ordinateurs respectivement par des circuits imprimés à transistors et par des circuits
intégrés.
A partir de cette date, on assiste à une évolution vertigineuse de l’informatique tant au

niveau hardware que software. Toutefois, il convient de signaler que la distinction n’est pas
toujours évidente entre ces deux composantes, du fait que « toute nouveauté associe
hardware et software, par exemple un scanner nouveau n’est souvent performant qu’avec un
programme de reconnaissance de forme nouveau lui aussi »4.
2
Ph.Depond - «quelques repères historique » - www.ext.impmc.jussieu.fr
3
Opt.cit.2
4
Le 60ème congrès de l’ordre et l’informatique, Revue Française de Comptabilité N°382, novembre 2005.
_______________________________________16________________________________
Cette évolution a eu un effet croissant sur l’organisation et la gestion des entreprises au fur
et à mesure de la propagation de l’informatique. C’est ainsi, qu’on va présenter dans ce qui
suit les principales évolutions de l’informatique, qui couvrent principalement :
 les matériels et logiciels informatiques ;

 les topologies de connexion des ordinateurs, en passant de l’ordinateur monoposte
à la forme la plus développée des réseaux informatiques ;
 les nouvelles technologies de l’information et de la communication.
PARAGRAPHE 1 : APERÇU SUR L’EVOLUTION DES MATERIELS ET LOGICIELS
INFORMATIQUES
Dans ce paragraphe, nous allons examiner les principaux progrès technologiques associés
aux matériels et logiciels informatiques qui ont eu un impact sur les systèmes d’information
des entreprises.
1.1 – Les premières générations d’ordinateurs
Avant 1970, les différents objectifs de l’informatisation poursuivis par les entreprises,
étaient d’une part l’amélioration des délais (livraison, facturation, paie…) , et d’autre part
l’accroissement de la fiabilité des traitements automatisés par rapport aux traitements
manuels.
Les ordinateurs fonctionnaient alors avec un seul programme actif et les traitements se
faisaient en différé, c'est à dire sans interaction directe avec l’utilisateur. Les périphériques
utilisés pour l’entrée, la conservation et la restitution des données sont le lecteur de cartes, le
lecteur de bandes magnétiques et les imprimantes. C’est la première génération
d’ordinateurs vers 1951 (UNIVAC 1 : Universal Automatic Computer et IBM 701).
Le remplacement des tubes électroniques par des transistors au silicium vers les années 60
donne lieu à la naissance de la deuxième génération d’ordinateurs.
_______________________________________17________________________________
L’apparition de la troisième génération des ordinateurs avec l’utilisation des circuits

intégrés à partir de 1964, a permis d’augmenter la vitesse des circuits et la diminution du
volume et du coût des ordinateurs. L’IBM 4341 en 1979 est 25 fois plus puissants et 18 fois
moins cher que l’IBM 360/30 de 19645.
Avec cette génération d’ordinateurs, les fonctions étaient automatisées les unes après les
autres de façon séparée. Une même information était saisie plusieurs fois pour des fins
diverses, avec en conséquence un manque de productivité et des incohérences dues à la
redondance des informations.
Dans les années 1970, les informaticiens se lancent dans les recherches en vue de diminuer
les coûts de saisie, qui devenaient importants du fait de la saisie multiple de l’information et
de la nécessité de personnel spécialisé et qualifié.
La solution était de réutiliser l’information déjà saisie. Par exemple, seules les informations
ne figurant pas sur la commande sont saisies pour la livraison et la facturation et ce au
moyen des interfaces entre les différentes fonctions et applications automatisées.
En 1972, les premiers micro-ordinateurs ont vu le jour suite à la découverte des

microprocesseurs (INTEL 4004)6.
1.2 – Les systèmes interactifs
Au milieu des années soixante, le traitement des opérations se faisait par paquet, on
soumettait les tâches à l'ordinateur, l'une après l'autre, par exemple en introduisant un paquet
de cartes perforées dans le lecteur approprié, et lorsque l'ordinateur avait fini une tâche, il
passait à la suivante et ainsi de suite. Ainsi, l'utilisateur de l'ordinateur était seul sur la
machine pendant la durée d'exécution de son programme.
5
Jean pierre cahier, une brève histoire de l’informatique, le monde informatique n°834 du 1 janvier 2000
6
www-ipst.u-strabg.fr
_______________________________________18________________________________
Le premier système à temps partagé apparut en 1961, il s'agissait de permettre à plusieurs

personnes d'utiliser le même ordinateur simultanément en ayant l'illusion d'être seul, au
moyen de système de partage de tâches7.
Le système temps réel est une association logiciel/matériel où le logiciel permet, entre autre,
une gestion adéquate des ressources matérielles en vue de remplir certaines tâches ou
fonctions dans des limites temporelles bien précises.
1. 3 – Les systèmes de gestion des bases de données : data base

management systems (DBMS)
Dans les phases précédentes, les fichiers et les interfaces étaient restés nombreux, car
l’approche de l’informatique se faisait principalement par les traitements, chaque traitement
nécessitait la création d’un fichier spécifique. Une même information était souvent
conservée en double voir en plusieurs exemplaires, dont les valeurs pourraient diverger à
terme.
Le développement des systèmes de gestion de bases de données a constitué l’une des

innovations les plus importantes dans le domaine de l’informatique, du fait qu’il élimine les
redondances et de là crée des espaces libres dans les aires de stockage qui pourraient être
utiles pour la conservation d’autres fichiers.
Un système de gestion de base de données peut être défini comme étant « un ensemble de
logiciels qui permet de décrire, de protéger, de créer, de modifier, de supprimer un ensemble
de données en interaction dynamique »8.
Un système de gestion de base de données permet donc de gérer plusieurs schémas de

données, à tout schéma correspond un ensemble de données en interaction dynamique et
avec autant de schémas de données qu’il existe de domaines de gestion dans l’entreprise par
exemple : commercial, finance, approvisionnement, personnel…
7
www.ext.impmc.jussieu.fr
8
S.FAURIE et P.SARRET, « audit informatique »
_______________________________________19________________________________
1.4 – Les logiciels intégrés
Un logiciel désigne la partie immatérielle de l'informatique, responsable de l'organisation et

du traitement de l'information.
Comme on l’a déjà mentionné, pour tout développement du matériel (hardware) correspond
nécessairement une évolution du logiciel (software). Ainsi, les logiciels ont connu autant de
développement qu’a connu le matériel informatique. Aujourd’hui, on assiste à l’émergence
des logiciels de plus en plus intégrés, tels que par exemple :
 Les Progiciels de Gestion Intégrée (PGI) ou les Entreprise Ressource Planning

(ERP) ;
 Les systèmes de Gestion de la Relation Client (GRC) ou Customer Relationship
Management (CRM);
 Les systèmes de Gestion de la Chaîne Logistique ( GCL) ou Supply Chain
Management (SCM) ;
 Les systèmes de Gestion de cycle de Vie produit (GVP) ou Product Lifecycle
Management (PLM).
PARAGRAPHE 2 : LES RESEAUX INFORMATIQUES
A l’origine l’informatique était centralisée, les besoins croissants de communication ont

rendu nécessaire de relier plusieurs ordinateurs entre eux en vue de permettre la
transmission des données et leur exploitation par l’ensemble du système relié en réseau.
Le réseau informatique est défini comme étant « un ensemble d’équipements interconnectés

qui servent à acheminer un flux d’informations. Sa naissance est le fruit du mariage entre
informatique et télécommunications »9.
La mise en place d’un réseau informatique (physique) nécessite la réunion des éléments
suivants :
 Un support de transport d’informations constitué par un ensemble de câbles assurant

l’acheminement sans dégradation des signaux électriques ;
9
www.wikipedia.org « Réseau informatique »
_______________________________________20________________________________
 Un équipement actif ou un administrateur du réseau appelé « serveur », responsable

de l’aiguillage des divers réseaux électromagnétiques ;
 Un logiciel de communication ;
 Un langage de communication appelé « protocole », qui représente le langage utilisé
par les ordinateurs pour communiquer entre eux à travers les câbles.
La première forme de réseau est née de la liaison simple entre deux ordinateurs. Cette
architecture s’est vite développée pour atteindre la forme du réseau Internet, considérée
comme étant « le réseau de tous les réseaux ».
Au départ, chaque constructeur a développé sa propre solution réseau autour d’architectures

et de protocoles privés, par exemple : SNA de IBM, DSA de Bull, TCP/IL de DoD. Suite à
cette situation, il s’est vite avéré qu’il est impossible de réussir l’interconnexion de ces
différents réseaux en l’absence d’une norme internationale qui établi les règles de connexion
inter-réseaux, c’est ainsi que l’ISO (international standard organisation) a mis en place
l’OSI (open system interconnexion) qui constitue un protocole international de connexion
réseaux.
Conseillé de l’entreprise, l’expert comptable se doit d’assister les décideurs dans leur choix
de mise en place de réseaux informatiques afin de garantir l’efficacité maximale et de
réduire les risques liés à cette forme de connexion étendue. C’est ainsi que nous allons
présenter dans ce qui suit une brève description des types de connexions réseaux et des
topologies possibles.
2.1 – Les types de connexions réseaux10
2.1.1 – Connexion avec câbles

A l’aide d’un câble série "NullModem" ou un câble parallèle, on peut échanger des fichiers
entre 2 ordinateurs. La liaison entre les deux ordinateurs et le câble se fait par l'intermédiaire
des ports séries (COM) ou des ports parallèles. Cette installation peut se faire au moyen de
la fonction "Connexion directe par câble" (composant Windows 98 uniquement), ou
«gestion de réseaux » dans Windows XP.
10
Inspiré de l’article « lexique informatique : les réseaux » - www.XiTi.com
_______________________________________21________________________________
2.1.2 – Connexion avec modem

Le modem permet uniquement de se connecter par la ligne téléphonique classique (RTC) à
un autre ordinateur muni lui aussi d'un modem. Cette solution est peu utilisée, elle n'autorise
que peu de fonctionnalités (TelNet : discutions en direct ou échange de fichiers).
La connexion via modem se fait au moyen de « l'Hyper Terminal », qui se trouve dans
Programmes/Accessoires/Communications puis l'un des deux ordinateurs doit appeler
l'autre.
2.1. 3 – Connexion avec cartes réseaux

Cette méthode de connexion est considérée comme étant la plus chère, du fait que sa mise
en place nécessite deux cartes réseaux (Cartes Ethernet 10 ou 100 Mbps) et un câble type
RJ45 croisé pour relier deux ordinateurs. Dans ce cas, si les protocoles TCP/IP et Netbeui11
sont installés, on peut accéder au voisinage réseau de chacune des machines et ainsi accéder
aux fichiers de ces deux PC.
La connexion avec cartes réseaux est la seule qui permet de partager une connexion
Internet via un proxy12 ou un logiciel spécialisé installé sur l'ordinateur ayant l'accès à
Internet.
2.1.4 – Connexion de plusieurs ordinateurs

Pour la connexion de plusieurs ordinateurs, il faut impérativement utiliser un élément de
connectivité réseau (concentrateur ou hub), avec des cartes réseaux et des câbles RJ45
classiques et non croisés. Le hub peut être remplacé par un commutateur (switch), qui
assure un meilleur contrôle de la bande passante et accélère l’accès entre les ordinateurs.
La manipulation est la même, il suffit d'installer à chaque fois les protocoles Netbeui et
TCP/IP avec une adresse IP différente et définir et paramétrer l'un des ordinateurs comme
serveur. Pour l’utilisation de l’Internet, seul le serveur y sera connecté et les autres postes,
devenant des clients (WorkStation), pourront alors partager cette connexion Internet. Le
protocole Netbeui est actuellement remplacé par le protocole de réseau local IPX/SPX
(Internetwork Packet Exchange/Sequenced Packet Exchange).
11
Netbios Extended User Interface est un protocole du réseau local
12
Un serveur proxy est une machine faisant la fonction d’intermédiaire entre les ordinateurs d’un réseau local
et Internet.
_______________________________________22________________________________
2.2 – Les catégories des réseaux
Les réseaux peuvent être classés en terme d’étendue ou de relations fonctionnelles entre les
composantes.
2.2.1 – Etendue des réseaux :

En fonction de la distance, les réseaux peuvent être identifiés comme suit :
a. Les réseaux locaux (LAN)

Les LAN (Local Area Network) sont des réseaux ne dépassant par 5 Km. Ces réseaux sont
privés, on ne peut pas y accéder de l’extérieur et le débit peut aller de quelques Mbits/s à
100 Mbits/s.
b. Les réseaux métropolitains (MAN)

Les MAN (Metropolitan Area Network) ne dépassent pas une étendue de 200 Km . Ils ont
un débit élevé dépassant les 100 Mbits/s et peuvent constituer des réseaux privés ou
publics.
c. Les réseaux étendus (WAN)

Les WAN (Wide Area Network) sont généralement des réseaux publics à l’échelle nationale
ou internationale. Le débit dépend du support utilisé, il peut aller de 56 Kbits/s pour les
modems les plus performants à l’heure actuelle, à plus de 1024Kbits/s (ex :
ADSL).L’exemple de WAN le plus connu est le réseau Internet.
_______________________________________23________________________________
d. Les réseaux virtuels privés (ou VPN)

Le besoin de relier des réseaux locaux d’entreprises éloignées géographiquement a donné
lieu à l’instauration de communications et de transfert d’informations via Internet. Un tel
transfert n’est pas sécurisé du fait qu’il circule sur un réseau public et non pas sur un réseau
interne à l’entreprise, toute personne peut intercepter ces données, les modifier, les
supprimer…
Pour répondre au besoin de communication sécurisée, on fait recours à des liaisons

spécialisées pour relier des réseaux distants. Toutefois, la plupart des entreprises et
particulièrement les petites et moyennes entreprises, ne peuvent pas se permettre de relier
deux réseaux locaux distants par une ligne spécialisée, il est parfois plus économique
d'utiliser Internet comme support de transmission.
Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant

un protocole d'encapsulation (en anglais tunneling), c'est-à-dire encapsulant les données à
transmettre de façon chiffrée. On parle alors du réseau privé virtuel RPV (ou VPN,
acronyme de Virtual Private Network) pour désigner le réseau artificiellement créé.
Le VPN relie des réseaux physiques privés à travers une liaison Internet, seuls les
ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données.
Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la
mise en oeuvre des équipements terminaux. Néanmoins, cette structure ne permet pas
d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau
physique est public et donc non garanti.
e. Les réseaux sans fil (WI-FI)

Un réseau sans fil est un réseau informatique qui connecte différents postes entre eux par
des liaisons radioélectriques, des liaisons optiques à lumière infrarouge ou sous forme de
réseaux GSM des téléphones portables13.
Le terme WiFi qualifiait à l'origine un matériel certifié conforme à la norme IEEE 802.11,
norme internationale décrivant les caractéristiques d'un réseau local sans fil. Par la suite,
WiFi est utilisé pour désigner cette norme elle-même.
13
Joe Habraken et Matt Hayden, « Les réseaux », compus press, 3ème edition, 2004
_______________________________________24________________________________
Dans la pratique, le WiFi permet de connecter toutes sortes de machines (ordinateurs,

assistants personnels, imprimantes, etc.) à une liaison haut débit (11 Mbit par seconde) sans
utiliser de câbles, dans un rayon allant d'une quinzaine de mètres pour une utilisation en
intérieur, à plusieurs centaines de mètres dans le cadre d'un déploiement en extérieur.
Chaque ordinateur connecté doit être équipé d’une carte réseau sans fil pour émettre et
recevoir des ondes radio et le réseau doit avoir un point d’accès, à l’instar du concentrateur
ou commutateur du réseau filaire.
Un réseau local peut exploité en même temps un réseau filaire et un réseau sans fil, on parle
dans ce cas de réseau hybride.
La technologie sans fil présente l’avantage d’une simple configuration matérielle en

l’absence de câblage physique, d’un déploiement rapide pour la mise en place des réseaux
temporaires et d’une solution pour le personnel appelé à se déplacer dans le cadre de
l’entreprise. Toutefois, les réseaux sans fil présentent un inconvénient lié à la sécurité des
données échangées. Des solutions de sécurité WiFi seront examinées dans le deuxième
chapitre de cette partie.
2.2.2 – Relations fonctionnelles des réseaux
En fonction des relations fonctionnelles entre les composantes d’un réseau, ce dernier peut
être classé soit en réseau client-serveur, soit en réseau peer-to-peer.
a. Client-serveur
L'informatique était au départ centralisé autour d’ordinateurs centraux puissants, c'est ce
qui a donné naissance aux grands systèmes centraux comme l'IBM 360 ou Multics vers la
fin des années 70. Ce concept a ensuite évolué vers l’informatique distribuée basée sur le
modèle client/serveur où les clients sont attachés au serveur par réseau au moyen d'un
logiciel propriétaire.
L'architecture client-serveur désigne un mode de communication entre des ordinateurs ou

des logiciels. Les mots « serveur » et « client » peuvent soit désigner les ordinateurs, on
parle alors de serveur informatique et de poste client ; soit désigner les logiciels
fonctionnant sur ces ordinateurs, on parle alors de logiciel serveur et de logiciel client.
_______________________________________25________________________________
Le modèle « client-serveur » reste en grande partie centralisé, du fait que l’essentiel se

trouve dans le serveur qui reste à l’écoute des clients pour répondre aux requêtes lancées.
Les clients eux, lancent les requêtes et attendent la réponse pour la donner aux
utilisateurs.
Cette forme de réseau était à l’origine de l’Internet que nous connaissons aujourd’hui. Le
succès phénoménal de l’Internet est, dans un sens, celui de l’architecture « client-serveur ».
b. Peer-to-peer ( P2P)
La traduction française du peer-to-peer est le terme « poste à poste » ou encore « pair à

pair ». Contrairement aux systèmes de type client-serveur, le P2P désigne une architecture
de réseau informatique dont les éléments (les nœuds) ne jouent pas exclusivement les rôles
de client ou de serveur mais fonctionnent des deux façons, en étant à la fois clients et
serveurs des autres nœuds de réseau.
L'accès à un réseau P2P nécessite l'utilisation d'un logiciel particulier, qui remplit à la fois
les fonctions de client et de serveur. Ce logiciel est appelé servent de la contraction des mots
« serveur » et « client ».
Les réseaux P2P permettent de communiquer et de partager facilement de l'information,

des fichiers et des contenus multimédia. Sur Internet, la technologie P2P a permis le
téléchargement facile et « illégal » des médias au format MP3 au moyen des logiciels de
téléchargement, dont notamment NAPSTER (fermé par décision de justice en 2002),
KaZaA, eDonkey…
2.3 – L’organisation des réseaux
Le choix de l’organisation du réseau informatique dépend de la taille du réseau, du coût de

sa mise en place et des besoins de la direction de l’entreprise en matière de disponibilité.
_______________________________________26________________________________
2.3.1 – Topologies des réseaux locaux classiques
a. Le réseau linéaire
Un réseau linéaire est un réseau qui relie un ensemble d’ordinateurs placés en série. Il a
pour avantage son faible coût de déploiement, mais la défaillance d'un nœud peut scinder le
réseau en deux sous réseaux.
b. Le réseau totalement maillé
Dans le cas d’une architecture de réseau totalement maillé, chaque terminal est relié à tous
les autres noeuds. L'inconvénient de cette architecture est le nombre de liaisons nécessaires
qui devient très élevé en fonction du nombre de terminaux, s'il y a N terminaux, le nombre
de liaisons nécessaires est de N.( N-1) /2.
c. Le réseau en étoile
C'est la topologie la plus courante actuellement, elle est très souple en matière de gestion et
de dépannage du réseau. En effet, la panne d'un nœud ne perturbe pas le fonctionnement
global du réseau. Toutefois, l'équipement central qui relie tous les nœuds constitue un point
unique de défaillance, une panne à ce niveau rend le réseau totalement inutilisable.
L’équipement central est constitué d’un concentrateur (hub) ou d’un commutateur (switch).
Un hub pratique de la diffusion, si un ordinateur envoie un message à un autre ordinateur,
l’information part de l’émetteur, arrive au hub puis elle est diffusée sur tous les ports du
hub ; seul l’ordinateur à qui est destiné le message traite les informations.
Un switch, par contre, réalise de la commutation, lorsqu’un ordinateur veut communiquer

avec un autre, l’information arrive au switch qui la commute uniquement sur le port où est
relié le poste concerné par l’information.
L’avantage de cette topologie est d’une part l’administration facile du réseau grâce à
l’existence du nœud central, d’autre part chaque station possède sa propre ligne ce qui évite
les conflits de communication. L’inconvénient majeur de cette topologie est la longueur
considérable des câbles.
_______________________________________27________________________________
d. Le réseau en bus
Il s’agit de la forme la plus rencontrée dans les configurations de réseaux, elle est
caractérisée par l’existence au niveau de chaque extrémité d'un brin du réseau, des bouchons
qui servent à ce que le signal ne se réfléchisse pas. Dans ce cas, les stations sont passives,
c’est à dire qu’elles ne régénèrent pas le signal qu’elles reçoivent.
La topologie en bus présente un faible coût de déploiement, et la défaillance d'un nœud ne

scinde pas le réseau en deux sous réseaux. Toutefois, on constate dans ce cas que plusieurs
ordinateurs sont reliés à un seul support, d'où la nécessité d’un protocole d’accès qui gère le
tour de parole des stations afin d’éviter les conflits.
e. Le réseau en anneau
Cette topologie est caractérisée comme suit :
 Il s’agit de la topologie en bus que l’on a refermé sur elle- même ;

 Le sens de parcours du réseau est déterminé, ce qui évite les conflits ;
 Les stations sont actives, c'est à dire qu'elles régénèrent le signal ;
 Le temps d’accès est déterminé, chaque ordinateur sait à quel moment il va pouvoir
«parler».
L’inconvénient majeur de la topologie en anneau est la dépendance à l’égard de tous les

nœuds. En effet, si un nœud ne fonctionne plus tout le réseau est coupé. Pour remédier à cet
inconvénient, les ordinateurs d'un réseau en anneau ne sont pas reliés en "boucle" mais sont
connectés à un répartiteur (appelé Multistation Access Unit « MAU ») qui va gérer la
communication entre les ordinateurs reliés en impartissant à chacun d'eux un "temps de
parole". Dans ce cas, la topologie logique reste en anneau mais la topologie physique est en
étoile.
f. Autres topologies de réseaux
Il existe d'autres topologies de réseaux informatiques, mais elles ne sont utilisées que dans
des réseaux conçus pour des tâches particulières, souvent scientifiques, ou pour effectuer
des calculs distribués, tels que :
_______________________________________28________________________________
 Le réseau en grille ;
 Le réseau en hypercube ;
 Le réseau en arbre (hiérarchisé) ;
 Le maillage complet: Cette topologie serait en théorie la meilleure qui soit, chaque
nœud étant relié à chaque autre par un lien direct, mais dans la pratique elle serait
aussi la plus chère .
2.3.2 – Le réseau Internet
En 1962, alors que le communisme faisait force, l'US Air Force demande à un petit groupe
de chercheurs de créer un réseau de communication militaire capable de résister à une
attaque nucléaire. Le concept de ce réseau reposait sur un système décentralisé, permettant
au réseau de fonctionner malgré la destruction d'une ou plusieurs machines14.
Au départ, un réseau a été crée en 1964 par Paul Baran, sous forme de grande toile ne
répondant à aucune architecture particulière, et ce pour éviter les vulnérabilités d’un
système centralisé dans lequel la destruction du noyau du réseau provoquait
l'anéantissement des communications. Il met donc au point un réseau hybride d'architectures
étoilées et maillées dans lequel les données se déplaçaient de façon dynamique, en
« cherchant » le chemin le moins encombré, et en « patientant » si toutes les routes étaient
encombrées. Cette technologie est appelée « packet switching »15.
En 1969, l’Advanced Research Project Agency (ARPA) met en place le réseau expérimental
ARPANET, qui est considéré comme étant le réseau précurseur d’Internet.
Internet est le nom donné à l'interconnexion de plusieurs réseaux, potentiellement de

topologies différentes. De ce fait, aucun des cas particuliers de topologies citées ci-dessus
ne le concerne; on dit d'Internet que sa topologie est quelconque.
14
www.commentcamarche.net « Histoire de l’informatique ».
15
Opt.cit.14
_______________________________________29________________________________
PARAGRAPHE 3 : LES NOUVELLES TECHNOLOGIES DE L’INFORMATION ET DE

LA COMMUNICATION
3.1 – Présentation des NTIC
3.1.1 – Définition
Les NTIC peuvent être définies comme étant « l’ensemble des technologies informatiques et
de télécommunication permettant le traitement et l’échange d’informations et la
communication construite autour de l’ordinateur et du téléphone. Elles permettent de
stocker, traiter, visualiser et transmettre de l’information via des moyens électroniques »16.
Les NTIC sont nées de la fusion de trois types de technologies, à savoir : l’informatique, la
télécommunication et le traitement numérique des sons et de l’image.
En fin, il convient de signaler qu’actuellement les NTIC sont appelés simplement les TIC
(technologies de l’information et de la communication).
3.1.2 – Fonctions des NTIC
D’après la définition qui précède, les principales fonctions des nouvelles technologies de
l’information et de la communication peuvent être regroupées autour de la conversion, le
stockage, le traitement et la communication de l’information.
a. La conversion
Les NTIC permettent de convertir l’information reçue ou à transmettre d’une forme à une
autre. Par exemple, le modem permet de convertir un message de sa forme binaire en une
forme analogique et inversement.
16
Bouneb wafa et Miladi hlima « l’impact des nouvelles technologies de l’information et de communication
sur l’audit financier », Mémoire de maîtrise en gestion ISG 2004.
_______________________________________30________________________________
b. Le stockage
L’information est stockée sous diverses formes (textes, données structurées, tableaux,
graphiques.. et sur divers supports (papiers, disques magnétiques..), afin d’assurer sa
préservation sous une forme aussi compacte que possible et rendre son accès aussi facile
que possible.
c. Le traitement
Le traitement correspond à la manipulation des textes et des données structurées après des
calculs simples de la comptabilité. Le traitement des applications se fait par des
manipulations complexes des systèmes experts qui constituent l’une des applications les
plus importantes de l’intelligence artificielle.
d. La communication
La communication consiste à transmettre une information d’un lieu à un autre soit sous une
forme visuelle, vocale, textuelle ou sous forme de données structurées.
3.2 – Application des NTIC
Sont présentées dans ce qui suit les formes d’utilisation des NTIC les plus répandues et
pouvant être rencontrées par l’expert comptable dans le cadre de la réalisation de ses
missions.
3.2.1 – L’échange de données informatisées (EDI)
L’EDI est le transfert de données structurées par télétransmission entre les ordinateurs des
partenaires de cet échange sur la base de « messages » normalisés17. Il s’agit d’une
application qui permet aux partenaires connectés l’échange de données et de documents tels
que les bons de commande, les bons de livraison, les virements bancaires et tout support
papier. Il assure ainsi, la réduction du temps de saisie, la réduction des coûts administratifs,
la diminution des délais de réalisation des transactions et l’amélioration des relations
commerciales.
17
www.dicofr.com
_______________________________________31________________________________
Le format des messages EDI est régi par un ensemble de règles appelées « normes » ou
« protocoles » qui sont définies et approuvées par des organismes de normalisation
reconnus, tel que l’EDIFACT18 en france.
Le processus de transmission des données passe par les étapes suivantes :

 Extraction des données du système d’information de l’expéditeur où elles se
trouvent sous format informatisé ;
 Formatage de ces données dans le format standard EDI ;
 Chiffrement de ces données pour en assurer la sécurité, juste avant la transmission
des messages ;
 Transmission des données aux partenaires par le biais d’un mode de
communication ;
 Déchiffrement des informations dés la réception du message par le destinataire ;
 Traitement des messages dans un fichier intermédiaire, puis sa traduction sous un
fichier reconnaissable par le système ;
 Envoi automatique d’un accusé de réception qui suivra le même chemin que le
message d’origine ;
 Divulgation du message reçu aux différents départements concernés et exécution des
transactions commerciales correspondantes.
3.2.2 – L’Internet
L’Internet a vu le jour vers les années soixante dix (1969), suite à la croissance et la
diversification des données et informations échangées et du besoin de la mise en place d’un
nouveau moyen de communication facilitant l’accès à l’information, le transfert des
documents et par là le travail à distance.
L’Internet est définie comme étant le réseau de tous les réseaux, c’est un réseau mondial
associant des ressources de télécommunications et d’ordinateurs n’ayant pas les mêmes
spécificités matérielles ou logicielles, destiné à l'échange d’informations, de fichiers, de
messages électroniques19...
18
EDIFACT : échange de données informatisées pour l’administration, le commerce et le transport.
19
"Vocabulaire de l'informatique et de l'Internet", Journal officiel du 16 mars 1999
_______________________________________32________________________________
Cette liaison est assurée au moyen des protocoles de communication à respecter, à savoir le
TCP/IP (Transmission Control Protocol/Internet Protocol) compatibles avec tous les
systèmes et toutes les topologies de réseaux et qui se chargent de diviser les informations en
« paquets », de s’assurer de leur diffusion entre ordinateurs concernés et de les réorganiser
lors de leur arrivées aux destinataires. Ce réseau est considéré comme étant un réseau
public, l’accès est ouvert à tout utilisateur ayant obtenu une adresse IP.
3.2.3 – L’intranet et l’extranet
Un intranet est un réseau de télécommunication et de téléinformatique destiné à l'usage

exclusif d'un organisme et utilisant les mêmes protocoles et techniques que l'Internet20. C'est
à dire que l’information interne de l’entreprise transite par des serveurs web, ces serveurs
délivrent leurs informations aux micros ordinateurs connectés sur le réseau grâce à des
navigateurs comme si l’accès se faisait à des serveurs Internet.
L’Intranet est un réseau propre à l’entreprise qui permet d’assurer une meilleure
communication interne et un échange d’informations au moyen de la messagerie
électronique interne. De même, toutes les informations utiles pour l’entreprise seront
stockées et accessibles à tout moment grâce à un moteur de recherche propre à l’entreprise.
L’extranet qui est issue de l’intranet, est le réseau externe à l’entreprise qui permet d’assurer
sa communication avec son environnement externe et plus particulièrement ses fournisseurs
et ses clients.
3.2.3 – Le commerce électronique
Avec le développement de l’Internet, l’utilisation de l’EDI dans les échanges commerciaux

a donné lieu vers les années quatre vingt à l’apparition et au développement d’un nouveau
mode de commerce, à savoir le commerce électronique ou le e-commerce.
Le commerce électronique est défini par le législateur tunisien dans la loi 2000-83 du 9 août
2000 comme étant « le commerce qui concerne les échanges qui s’effectuent en utilisant des
documents électroniques »21.
20
www.dicodunet.com
21
Loi2000-83 relative aux échanges et au commerce électronique
_______________________________________33________________________________
Une autre définition du commerce électronique le présente comme étant « l’utilisation de

moyens électroniques pour échanger de l’information, mener à bien des activités et effectuer
des transactions. Il couvre aussi toute une gamme d’applications de nature financière et non
financière…, il s’applique tant à la vente de produits…qu’à la prestation de services »22.
Le e-commerce utilise le service de l’EDI pour effectuer les échanges électroniques donnant
lieu à la réalisation d’une transaction commerciale d’achat, de vente en ligne et de paiement
électronique.
3.2.4 – Le datawarehouse
Le Datawarehouse est « une collection de données orientées sujet, intégrées, non volatiles et
historisées, organisées pour le support d’un processus d’aide à la décision »23.
Il s’agit d’un entrepôt de données qui constitue une alternative au système de gestion de
base de données classique pour constituer un outil sophistiqué d’aide à la décision. Le
datawarehouse est un système qui organise et gère les informations les plus importantes de
l’entreprise sous un format indépendant des logiciels. Toutes les informations sont
mémorisées selon un sujet précis (client, fournisseurs, produit) et sont classées par date,
c'est à dire qu’une nouvelle information ne vient pas remplacer la plus ancienne mais s’y
ajoute. L'organisation des données est conçue pour que les personnes intéressées aient accès
rapidement et sous forme synthétique à l'information stratégique dont elles ont besoin pour
la prise de décision.
C’est un système intelligent, qui a pour fonctions :

 D’acquérir pour récolter, contrôler, nettoyer et valider les informations venant de
différents systèmes de gestion ;
 De stocker l’ensemble des informations dans un entrepôt unique qui assure la
cohérence globale de toutes les données pour tous les utilisateurs potentiels ;
 De traiter les données en vue d’assurer leur transmission aux utilisateurs éventuels.
22
D.Kaplan « le commerce électronique, création de valeur pour l’entreprise »
23
www.wikipedia.org
_______________________________________34________________________________
3.2.5 – Le datamining
Le datamining est définie comme étant l’ensemble de techniques et de méthodes du

domaine des statistiques, des mathématiques et de l'informatique permettant l'extraction, à
partir d'un important volume de données brutes, de connaissances originales auparavant
inconnues. Il s'agit de "fouilles" visant à découvrir "de l'information cachée" que les
données renferment et que l'on découvre à la recherche d'associations, de tendances, de
relations ou de régularités24.
Le datamining conjugue les statistiques et le marketing, il présente des informations

logiques et faciles à comprendre permettant à d’autres individus ou départements d’utiliser
ces résultats comme point de départ pour les décisions commerciales stratégiques.
Le datamining est donc une forme de l’intelligence artificielle qui utilise des méthodes et
techniques statistiques, mathématiques et informatiques permettant l'extraction, à partir d'un
important volume de données brutes, des liens implicites entre des données stockées. Il
utilise les situations stockées pour résoudre des situations futures similaires lorsqu’elles se
présentent. De même, à l’aide des agents intelligents il peut collecter des informations
historiques pour proposer par exemple une stratégie marketing de l’entreprise.
SECTION 2 - AMPLIFICATION DES RISQUES LIES A L’INFORMATIQUE
Jean Laurent Santoni, avance lors de l’assemblée générale de club de la sécurité des
systèmes d’information français (clusif), « le problème n’est pas de se demander ce qu’il
peut arriver ? Car tout peut arriver, mais plutôt comment continuer l’activité quoiqu’il
arrive »25
En effet, les risques informatiques sont nombreux et évoluent d’année en année, empêchant
ainsi de dresser une liste exhaustive et statique des dangers associés à l’utilisation de l’outil
informatique, de même, l’utilité de cette liste se trouve vite compromise en raison de la
perpétuelle évolution des risques. Toutefois, on va essayer de présenter dans ce qui suit les
principaux types de risques informatiques auxquels s’expose une entreprise informatisée.
24
www.tout-savoir.net
25
Hervé SCHAUER - « l’année de tous les challenges » - www.hsc.fr
_______________________________________35________________________________
PARAGRAPHE 1 : LES DIFFERENTES FORMES DES RISQUES INFORMATIQUES
Le risque informatique est définie comme étant « la situation constituée d’un ensemble
d’évènements simultanés ou consécutifs dont l’occurrence est incertaine et dont la
réalisation affecte les objectifs de l’entreprise qui la subit » 26
En utilisant l’outil informatique, l’entreprise s’expose à une multitude de risques qui

peuvent se traduire par des pannes, vol de matériels, pertes de données sensibles, perte de
productivité et voir même l’atteinte à la continuité de son exploitation. Ces risques varient
en fonction de la structure de l’entreprise et de son environnement informatique, d’où la
nécessité d’identifier pour chaque entreprise les risques propres auxquels elle s’expose pour
pouvoir mettre en place les mesures de sécurités appropriées.
Pour étudier les différents types des risques, nous allons commencer par une identification
des risques généraux pour aborder ensuite les risques spécifiques liés aux réseaux
informatiques.
1.1 – Les risques généraux
Les risques généraux liés à l’utilisation de l’informatique peuvent être d’origine humaine ou
technique.
1.1 .1 – Risques humains
Les risques humains constituent les risques les plus importants auxquels s’expose un
système informatisé, ils peuvent être accidentels ou intentionnels.
Les risques accidentels regroupent par exemple :
 La maladresse donnant lieu à des erreurs au niveau de la passation de commande, de

l’exécution de procédures ou de la réalisation d’une programmation en exécutant un
traitement non souhaité, en effaçant involontairement des données ou des
programmes, etc… ;
26
Mickael PLANTEC - « les risques informatiques » - www.XiTi.com
_______________________________________36________________________________
 L'inconscience et l'ignorance des utilisateurs de l'outil informatique, quant aux

risques qu’ils encourent en utilisant des programmes malveillants sans le savoir ;
 La dépendance vis à vis des responsables informatiques peut également donner lieu à
des perturbations dans le système d’information en cas de départ du chef de projet
informatique et des principaux ingénieurs.
Par contre les risques humains intentionnels regroupent :
 La malveillance : Un personnel de l’entreprise mécontent ou un concurrent peut

volontairement mettre en péril le système d'information, en y introduisant un virus
ou des informations erronées dans la base de données. De même, il est relativement
aisé pour un informaticien d'ajouter délibérément des fonctions cachées lui
permettant, directement ou avec l'aide de complices, de détourner à son profit de
l'information ou de l'argent ;
 Le vol et le détournement physique de matériels et équipements informatiques ;
 L'ingénierie sociale : l'ingénierie sociale (social engineering en anglais) est une
méthode pour obtenir d'une personne des informations confidentielles, que l'on n'est
pas normalement autorisé à obtenir, en vue de les exploiter à des fins malsains. Elle
consiste à se faire passer pour un administrateur par exemple et de demander des
informations personnelles (nom de connexion, mot de passe, données
confidentielles, etc.). Cette technique peut se faire soit au moyen d’une simple
communication téléphonique, soit par mail, soit en se déplaçant directement sur
place ;
 L'espionnage : l'espionnage, notamment industriel, consiste à utiliser tout moyen
pour obtenir des informations sur des activités concurrentes, procédés de fabrication,
projets en cours, futurs produits, politique de prix, clients, etc.
1.1.2 – Risques techniques
Les risques techniques sont ceux liés aux défauts et pannes inévitables que connaissent tous
les systèmes matériels et logiciels. Ces incidents sont évidemment plus ou moins fréquents
selon le soin apporté lors de la fabrication et des tests effectués avant que les ordinateurs et
les programmes ne soient mis en service. Cependant, les pannes ont parfois des causes
indirectes et donc difficiles à prévoir, d’où l’importance de ces risques qui peuvent
regrouper les incidents suivants :
_______________________________________37________________________________
 Incidents liés au matériel : panne de matériel ;

 Incidents liés au logiciel : erreur de programmation ou programmes malveillants
destinés à nuire ou à abuser des ressources du système installé (par mégarde ou par
malveillance), ouvrant la porte à des intrusions ou modifiant les données ;
 Incidents liés à l'environnement : les machines électroniques et les réseaux de
communication sont sensibles aux variations de température ou d'humidité (tout
particulièrement en cas d'incendie ou d'inondation), ainsi qu'aux champs électriques
et magnétiques.
En effet, vu la dépendance accrue des entreprises à l’égard de l’utilisation de l’outil

informatique, toute anomalie dans son fonctionnement peut avoir des conséquences graves
qui peuvent toucher la continuité totale ou partielle d’exploitation de l’entreprise et ce
essentiellement lorsque ces anomalies touchent non pas un ordinateur indépendant mais un
ensemble d’ordinateurs reliés en réseau.
1.2 – Les risques lies aux réseaux
1.2.1 – Origines des risques
L’utilisation des réseaux informatiques et particulièrement l’Internet, a constitué une

ouverture des systèmes informatiques vers le monde extérieur associée à une augmentation
des risques. En effet, le nombre de portes d'accès à notre environnement propre augmente et
de ce fait, il convient d’augmenter les mesures de sécurité contre les attaques potentielles.
Mettre un nombre « infini » d’ordinateurs en connexion sur un réseau Internet et en

présence d’une quantité importante d’informations en circulation, ne modifie en rien les
risques traditionnels liés à l’informatique, mais offre de nouvelles techniques de sinistralités
informatiques. En effet, les virus informatiques existent déjà, mais leur propagation est
favorisée par l’architecture des réseaux et particulièrement l’Internet.
Se connecter à Internet ouvre de vastes horizons, mais expose également l'utilisateur ou

l'entreprise à toutes sortes de menaces et désagréments en élargissant la cible visée par les
acteurs de risques. On parle dans ce cas de la « cybercriminalité » pour qualifier les
différentes attaques contre les systèmes informatiques.
_______________________________________38________________________________
Dans une étude sur les menaces portant sur les systèmes d’information27, le Club de la
Sécurité des Systèmes d’Information Français « CLUSIF », présente l’évolution des
architectures des réseaux comme étant la principale source du développement des menaces
sur les systèmes d’information. Cette étude a identifié les principaux facteurs de risque
suivants :
 La décentralisation des systèmes avec la création des architectures clients-serveurs
et P2P ;
 L’interconnexion des réseaux des entreprises ;
 La mobilité et la connexion à distance avec les protocoles WiFi ;
 L’ouverture croissante des systèmes, au moyen du réseau Internet, sans une
protection adaptée.
De même, les vulnérabilités techniques associées à l’évolution des architectures réseaux et

des systèmes de communication ont augmenté le nombre et la nature de menaces
informatiques. A titre d’exemple, on présente quelques vulnérabilités inhérentes aux
systèmes d’information :
a. Configuration des réseaux
La configuration des réseaux représente un facteur important dans la lutte contre les risques
informatiques. Exposer l’ensemble des données et traitements de l’entreprise aux risques
informatiques, constitue une menace pour l’entreprise et une situation difficile à gérer pour
les responsables des systèmes d’information. Une solution inspirée de l’adage ancien « ne
pas mettre ses œufs dans le même panier », consiste à créer plusieurs sous réseaux ou de
procéder à la fragmentation des réseaux.
« La fragmentation de réseaux consiste en l’utilisation de plusieurs réseaux physiques et

virtuels pour établir des limites entre les fonctions, lorsqu’elles n’ont pas besoin
d’intercommunication. » 28
27
www.clusif.fr
28
ANGELONI Pascal « sécurité informatique en milieu TPE-PME : rôle du professionnel du chiffre »,
Mémoire d’expertise comptable, session 2004
_______________________________________39________________________________
En fonction des besoins de gestion et de partage de l’information, l’entreprise peut disposer

de plusieurs réseaux distincts. Il s’agit de la technique de fragmentation de réseau qui
consiste à isoler les différents services de l’entreprise et de doter chacun d’eux d’un réseau
qui lui est propre, de déterminer les règles de gestion de ces réseaux (gestion de domaine et
des autorisations) et de créer des partages sécurisés pour les informations utilisables par un
ou plusieurs réseaux.
Une bonne gestion de la configuration de réseaux et l’attribution des droits et pouvoirs en

fonction des besoins des utilisateurs et des impératifs de gestion augmente la sécurité des
systèmes d’information.
Ainsi, une fragmentation des réseaux au moyen d’un switch niveau 1 n’est qu’une illusion
de sécurité puisqu’il ne s’agit toujours en fait que d’un seul réseau. Les switchs sont
paramétrés à partir des adresses IP des machines, il suffit qu’un utilisateur du réseau 1
connaisse l'adresse IP d’une machine du réseau 2, remplace son adresse par l’adresse 2 pour
qu’il ait accès au réseau 2. Une configuration plus sécurisée est permise par les
commutateurs niveau 3 (les VLAN) qui permettent une authentification à partir de l’adresse
MAC29.
b. Vulnérabilités des protocoles TCP/IP

Le protocole TCP/IP (transmission control protocol/ internet protocol) est considéré comme
étant le protocole le plus répandu. Toutefois, son exploitation a renseigné sur l’existence de
quelques vulnérabilités propres à ce protocole, dont nous citons quelques exemples30 :
 L’incapacité de vérifier l’identité des communicants : à l’occasion de la
réception d’un message, l’adresse déclarée dans le message comme adresse de
retour est considérée comme étant l’adresse effective du correspondant. Pour un
intrus, il suffit de connaître une adresse de confiance pour agir entant que tel ;
 L’incapacité de protéger la confidentialité des informations circulant à l’intérieur
du réseau.
29
L'adresse MAC est un identifiant physique unique pour toutes les cartes réseaux dans le monde
30
BERNSTEIN, BHIMANI, SCHULTZ et SIEGEL « Sécurité Internet pour l ‘entreprise », Tomson
publishing 1996
_______________________________________40________________________________
Une connexion Internet d’une manière permanente (ADSL) est plus vulnérable qu’une
connexion temporaire via une ligne téléphonique (RTC). En effet, la connexion temporaire
fournie l’avantage d’accorder à chaque appel une nouvelle adresse IP contrairement à la
connexion permanente qui attribue une adresse fixe, d’où la possibilité pour une personne
malveillante de découvrir cette adresse fixe.
c. Vulnérabilités du système UNIX

Le système d’exploitation UNIX présente une vulnérabilité majeur découlant du fait que
l’utilisation d’un tel système offre la possibilité d’avoir un fichier « sûr » , qui renferme la
liste de machines considérées comme étant de confiance et pouvant ainsi se connecter avec
la machine principale sans aucun mot de passe. L’utilisation des fichiers « sûr » doit être
restreinte et accompagnée d’une politique de sécurité et de contrôle de système.
d. Vulnérabilités Windows XP
Le système d’exploitation Windows est le système le plus utilisé par les entreprises et
particulièrement les petites et moyennes entreprises, d’où le besoin d’identifier les
vulnérabilités d’un tel système. L’exploitation sous Windows XP est réalisée à travers la
définition de trois groupes d’utilisateurs différents :
 Groupe utilisateur, autorisé à exécuter uniquement les programmes certifiés

Windows ;
 Groupe utilisateur avec pouvoir, doté d’un pouvoir plus important que les précédents
sur l’exploitation du système ;
 Groupe administrateur, ayant tous les pouvoirs sur le poste.
L’installation de Windows XP ouvre automatiquement un compte administrateur. Toutefois,

une bonne règle de sécurité consiste à « ne pas travailler en mode administrateur ». En effet,
en cas de survenance d’une intrusion, l’attaquant extérieur aura les pouvoirs réservés à un
administrateur et par conséquent il aura tous les pouvoirs sur le poste, d’où la nécessité de
travailler en mode utilisateur et de passer en mode administrateur en cas d’installation de
nouveaux logiciels ou de réalisation d’opérations sur le système par exemple.
_______________________________________41________________________________
1.2.2 – Nature des risques
Les risques associés aux réseaux informatiques sont développés en raison de

l’interconnexion d’un nombre important d’ordinateurs et en particulier du réseau Internet.
La taille énorme d’Internet est source de risques. En effet, en reliant un nombre énorme de
réseaux à travers le monde, Internet augmente le risque d’erreurs de routage, de pannes de
transmission, de pannes de composantes physiques, de corruption de données, d’infection
virale et de piratage. Un risque individuel peut se transformer au moyen de l’Internet en
une menace universelle.
Contrairement au modèle "client-serveur", la topologie « peer to peer » met en relation

directe des ordinateurs ayant accès à Internet, ils peuvent ainsi échanger des fichiers sans
nécessairement passer par un serveur central ou un site Web. Les services d'échange de
fichiers musicaux reposant sur ce modèle (Napster, Kazaa, etc.) constituent un moyen de
transport idéal pour tous les types d'infections.
Les principales menaces rencontrées dans un réseau informatique sont les suivantes :
 Menaces contre le réseau interne : Un intrus peut au moyen d’une connexion
Internet pénétrer le réseau local du serveur Internet ;
 Menaces contre la transmission de données : Un intrus peut compromettre la
confidentialité et l’intégrité des données s’il parvient à intercepter une
communication privée sur un réseau d’entreprise ;
 Menaces contre la disponibilité : Par malveillance, un agresseur peut réaliser une
attaque qui rend des ordinateurs et parfois même tout un réseau indisponible ;
 Menaces de répudiation : Un partenaire dans une transaction commerciale peut
nier avoir émis ou reçu une commande concernant la transaction.
De la famille des menaces précédentes, découle la liste indicative de types de menaces

suivants :
a. Attaques sur les mots de passe
Les mots de passe constituent des éléments clés de l’utilisation des systèmes informatiques,
en limitant l’accès aux seules personnes autorisées. Ces clés doivent être protégées contre
les tentatives de détection des mots de passe, notons à cet effet les deux méthodes suivantes:
_______________________________________42________________________________
 L'attaque par dictionnaire : le mot de passe est testé dans une liste prédéfinie
contenant les mots de passe les plus courants et aussi des variantes de ceux-ci (à
l’envers, avec un chiffre à la fin, etc.). Ces listes sont généralement dans les langues
les plus utilisées, elles contiennent des mots existants ou des diminutifs….
 Attaque par force brute : toutes les possibilités sont faites dans l’ordre jusqu’à
trouver la bonne solution, par exemple de “aaaaaa” jusqu'à “ZZZZZZ”, pour un mot
de passe composé strictement de six caractères alphabétiques.
b. Programmes malveillants
Un programme malveillant (malware en anglais) est un logiciel développé dans le but de

nuire à un système informatique. Il en est ainsi des programmes suivants :
 Le virus: programme capable de s’incruster dans d’autres programmes, toute

utilisation des programmes « infectés » déclenche la recopie de virus. La
propagation de virus se fait par l’utilisation de support physique infecté ou à travers
les réseaux informatiques;
 Le ver (worm en anglais) : programme qui se duplique lui-même en installant des
copies de lui sur d’autres machines à travers un réseau;
 Le cheval de troie (trojan en anglais) : programme à apparence légitime qui exécute
des routines nuisibles sans l'autorisation de l'utilisateur, il permet de créer
artificiellement une faille de sécurité dans les systèmes facilitant l’intrusion de
pirates ou de virus;
 La porte dérobée (backdoor en anglais) : programme visant à détourner les
fonctionnalités d’un service ou d’un système en ouvrant des canaux d’accès
masqués;
 Le logiciel espion (spyware en anglais) : logiciel ou partie de logiciel dont le but est
de collecter des informations personnelles sur l'ordinateur d'un utilisateur sans son
autorisation, et de les envoyer à son insu à l’éditeur du logiciel.
c. Attaques par messagerie
En dehors des nombreux programmes malveillants qui se propagent par la messagerie

électronique, il existe des attaques spécifiques à celle-ci :
_______________________________________43________________________________
 Le pourriel (spam en anglais) : un courrier électronique non sollicité, la plupart du

temps de la publicité, encombrant le réseau, et faisant perdre du temps à ses
destinataires ;
 L'hameçonnage (phishing en anglais) : un courrier électronique dont l'expéditeur se
fait généralement passer pour un organisme financier et demandant au destinataire
de lui fournir des informations confidentielles ;
 Le canular informatique (hoax en anglais) : un courrier électronique qui incite
l'utilisateur à effectuer des manipulations dangereuses sur son poste (suppression
d'un fichier prétendument lié à un virus par exemple).
d. Les attaques sur le réseau
Sont présentés dans ce paragraphe les principales techniques d'attaques qui visent à nuire à
la sécurité de tout le réseau informatique et non seulement à celle d’un poste de travail isolé:
 Le sniffing : un logiciel sniffer permet de récupérer toutes les informations transitant

sur un réseau telles que les mots de passe des applications, l’identification des
machines qui communiquent sur un réseau… ;
 La mystification (en Anglais spoofing) : technique consistant à prendre l'identité
d'une autre personne ou d'une autre machine pour récupérer des informations
sensibles, que l'on ne pourrait pas avoir autrement ;
 Le déni de service : Le "Distributed Denial of Service" (DDoS) consiste à rendre une
ressource inaccessible par saturation ou par destruction. Cette attaque est souvent
réalisée par un envoi massif de requêtes, il s’agit d’une technique qui vise à générer
des arrêts de service et d’empêcher ainsi le bon fonctionnement d’un système.
1.2.3 – Acteurs des risques
Les risques informatiques sont le fruit d’une « intelligence » de la part des acteurs des
attaques, qui sont connu sous le nom de « Hacker », ce qui veut dire dans le sens strict du
terme « génie de l’informatique ». Cette appellation désigne aujourd’hui des gens qui
obtiennent un accès frauduleux et généralement à distance aux systèmes informatiques. On
les appelle également « crackers » ou « pirates ».
_______________________________________44________________________________
Les attaques sont dans la majorité des cas réalisées par le biais des techniques du social
ingeneering, de l’utilisation de la puissance d’un ordinateur pour trouver les mots de passe
(la force brute) ou de l’exploitation des vulnérabilités des systèmes.
Les hackers cherchent généralement à réaliser:
 Un gain financier ;
 Une vengeance : le cas d’un employé licencié, insatisfait… ;
 Un besoin de reconnaissance : réaliser un exploit en franchissant un système
sécurisé, confidentiel, célèbre… ;
 Curiosité et recherche d’émotion ;
 Espionnage industriel….
Selon une étude menée par le CERT31 américain (Computer Emergency Response Team),
d’autres raisons sont avancées par les hackers qui ont procédé à la défiguration de certains
sites :
31
Graphique extrait du site www.3sip « statistiques sur les risques »
_______________________________________45________________________________
1.3 – Les contraintes juridiques
A coté de la gestion des risques liés aux systèmes informatiques, l’entreprise doit prendre en
considération les contraintes d’ordre juridique liés à l’utilisation de l’outil informatique.
D’une façon générale, ces contraintes se rapportent à :
 La tenue de la comptabilité informatisée ;
 La protection des données personnelles ;
 La propriété intellectuelle ;
 L’organisation du secteur de télécommunications.
1.3.1 – Conservation des documents comptables
Les obligations à la charge des entreprises tenant une comptabilité informatisée ont été
prévues par un ensemble de textes légaux. Ces textes prévoient des dispositions qui
constituent des contraintes à prendre en considération dans le cadre de la gestion du système
d’information, et que l’expert comptable dans le cadre de sa mission d’audit ou de conseil à
l’entreprise est tenu de vérifier.
D’abord, l’article 8 du code de commerce dispose que les entreprises doivent «conserver
pendant dix ans tous les documents justificatifs des opérations inscrites sur les livres…. ».
En cas d’utilisation de système informatisé pour la tenue et l’arrêté des comptes, la loi 96-
112 précise dans son article 14 que «les documents écrits issus de l’informatique peuvent
tenir lieu de livres et journaux auxiliaires. Dans ce cas, ces documents doivent être
identifiés, numérotés et datés dés leur élaboration par des moyens offrant toute garantie en
matière de preuve »32. Ainsi, les logiciels comptables doivent permettre l’identification, la
numérotation et le datage des documents comptables, en vue d’assurer leur intégrité et
d’éviter tout risque de modification d’écritures après la clôture d’un exercice comptable.
En suite, l’article 62 du code de l’impôt sur le revenu des personnes physiques et de l’impôt
sur les sociétés prévoit les obligations suivantes :
« II- Les personnes qui tiennent leur comptabilité sur ordinateur doivent :
- Déposer, contre accusé de réception, au bureau de contrôle des impôts dont elles relèvent
un exemplaire du programme initial ou modifié sur support magnétique,
- Informer ledit bureau de la nature du matériel utilisé, du lieu de son implantation et de tout
changement apporté à ces données ».
32
Loi 96- 112 portant promulgation du système comptable des entreprises
_______________________________________46________________________________
Enfin, l’article 9 du code des droits et procédures fiscaux énonce que les personnes soumises
à l'obligation de tenir une comptabilité informatisée « doivent communiquer aux agents de
l'administration fiscale, tous registre, titres et documents, ainsi que les programmes, logiciels
et applications informatiques utilisés pour l'arrêté de leur comptes ou pour l'établissement de
leurs déclarations fiscales ainsi que les informations et données nécessaires à l’exploitation
de ces programmes, logiciels et applications enregistrés sur supports informatiques. Les
personnes qui tiennent leur comptabilité ou établissent leurs déclarations fiscales par les
moyens informatiques, doivent communiquer, aux agents de l'administration fiscale, les
informations et éclaircissements nécessaires que ces agents leur requièrent dans le cadre de
l'exercice de leur fonction ».
Le défaut de tenue d’une comptabilité conforme à la législation fiscale, le refus de

communication des documents comptables aux agents de l’administration fiscale ou la
destruction de ces documents avant l’expiration du délai légal de conservation, est passible
d’une amende de 100 dinars à 10.000 dinars ou d’un empoisonnement entre de 16 jours à 3
ans et d’une amende de 1.000 dinars à 50.000 dinars en cas de récidive dans une période de
5 ans ( article 97 du code des droits et procédures fiscaux).
1.3.2 – Protection des données à caractère personnel
La loi organique 2004-63 du 27 juillet 2004, portant sur la protection des données à
caractère personnel a donné le jour à l’instance nationale de protection des données à
caractère personnel. Cette instance est chargée notamment d’accorder les autorisations de
traitement de données à caractère personnel et de déterminer les garanties indispensables et
les mesures appropriées pour la protection de ces données.
La loi de Juillet 2004, a défini également les règles de gestion de données à caractère
personnel, qui s’articulent autour des points suivants :
 Toute opération de traitement de données est soumise à une déclaration préalable
auprès de l’instance nationale de protection des données à caractère personnel (art
7);
 Le traitement des données doit se faire dans le cadre du respect de la dignité
humaine, de la vie privée et des libertés publiques (art9) ;
_______________________________________47________________________________
 La collecte des données à caractère personnel ne peut être effectuée que pour des
finalités licites, déterminées et explicites (art10) ;
 Les données à caractère personnel doivent être traitées loyalement, et dans la limite
nécessaire au regard des finalités pour lesquelles elles ont été collectées.
La non observation des dispositions de cette loi soumet le contrevenant à des peines civiles
et pénales. Ainsi, la diffusion intentionnelle des données personnelles d’une façon qui nuit à
la personne concernée ou sa vie privée, à l’occasion de leur traitement, est passible de 3
mois d’emprisonnement et d’amende de trois mille dinars.
1.3.3 – Protection de la propriété littéraire et artistique
La loi 94-36 du24 février 1994, relative à la propriété littéraire et artistique traite des droits
d’auteurs. Parmi les œuvres concernés par les droits d’auteur figure « les œuvres écrites ou
imprimés, les œuvres musicales, les logiciels… »
En matière de logiciels, les dispositions de la loi sont résumées comme suit :
 Le logiciel crée par un ou plusieurs salariés d’un organisme appartient à
l’organisme employeur ;
 Sauf stipulation contraire, toute production autre que l’établissement d’une copie
de sauvegarde par l’utilisateur ainsi que toute utilisation d’un logiciel non
expressément autorisée par l’auteur ou des ayants droit, est interdite. L’infraction à
cette disposition est passible d’une amende de 500 à 5000 dinars et/ou d’un
emprisonnement de un à six mois ;
 Les droits d’auteur s’éteignent à l’expiration d’une période de vingt cinq ans à
compter de la date de création du logiciel.
Ainsi, l’utilisation illicite par une entreprise d’un logiciel l’expose, à coté du risque
juridique, à un risque technique du fait que les logiciels copiés sont généralement porteurs
de virus, incomplets et ne présentent pas les mises à jours nécessaires.
A l’ère de la vulgarisation de l’Internet, disposer d’un droit d’auteur ne prive pas un

internaute de télécharger un document ou une composition musicale et ce par le biais de
fichiers de téléchargement disponible sur Internet. En effet, il n’existe pas encore une
législation internationale qui gère la criminalité informatique (téléchargement, intrusion,
atteinte à la vie privée…).
_______________________________________48________________________________
1.3.4 – Organisation du secteur de télécommunications
Le code des télécommunications promulgué par la loi 2001-1 du 15 janvier 2001, a prévu
des mesures d’organisation du secteur des télécommunications et des sanctions à l’égard des
contrevenants. Parmi ces sanctions, on cite :
 Est puni d’un emprisonnement de 3mois, quiconque divulgue, incite ou participe à
la divulgation du contenu des communications et des échanges transmis à travers
les réseaux de télécommunications (art 85);
 Est puni d'un emprisonnement de un an à deux ans et d'une amende de cent à mille
dinars quiconque sciemment nuit aux tiers ou perturbe leur quiétude à travers les
réseaux publics des télécommunications (art 86) ;
 Est puni d’un emprisonnement de six mois à cinq ans et d’une amende de 1 000 à
5 000 dinars ou de l’une de ces deux peines seulement, celui qui utilise, fabrique,
importe, exporte, détient en vue de la vente ou la distribution à titre gratuit ou
onéreux ou met en vente ou vent les moyens ou les services de cryptologie ainsi
que leur modification ou destruction en violation des dispositions légales (art 87).
En Tunisie, l’organe chargé de la vente des services de cryptologie est l’Agence
Nationale de Certification Electronique (ANCE).
PARAGRAPHE 2 : LES MOYENS DE MESURE DES RISQUES
Les technologies d’informations constituent aujourd’hui un facteur essentiel

d’accroissement de la compétitivité de l’entreprise, elles sont porteuses de bénéfices comme
elles renferment des dangers. D’où la nécessité d’en assurer la sécurité et de protéger les
utilisateurs des risques liés à la mise en place et à l’exploitation des systèmes informatisés.
Une identification claire des risques est essentielle pour asseoir une politique de protection
adéquate. Cette identification doit être accompagnée par une mesure des risques en fonction
de leur probabilité d’occurrence et des effets possibles compte tenue des coûts associés.
_______________________________________49________________________________
2.1 – Eléments de risques
L’évaluation des risques est fonction des trois facteurs suivants :

1. Les menaces qui pèsent sur le système à protéger ;
2. La vulnérabilité du système ;
3. Le coût des actifs à protéger.
En général, le niveau de risque peut être défini par l’équation suivante : Risque =
menaces*vulnérabilités*coût. Il augmente avec le niveau de menaces, de vulnérabilités et
du coût, et il est nul si un de ces facteurs est inexistant.
2.1.1 – Identifier les menaces
Du fait du développement intensif des systèmes d’information et de l’interconnexion des

réseaux, les actifs matériels et immatériels des sociétés se trouvent confrontés à un ensemble
de menaces qui sont générateurs de risques informatiques et qui sont susceptibles de nuire à
leurs activités.
Une menace peut être définie comme étant une source d’attaque entraînant un danger
potentiel pour le système d’information.
33
Dans une enquête menée par le clusif sur la politique de sécurité et sinistralité en 2003,
auprès des sociétés françaises de 200 à 500 salariés, figure la liste de menaces perçues par
les entreprises comme des éléments d’insécurité du système d’information :
 Virus et infections informatiques : 52%
 Accidents d’origine interne : 36%
 Accidents d’origine externe : 17%
 Intrusions : 15%
 Erreurs d’utilisations : 9%
 Vol : 8%
A cet effet, 52% des entreprises perçoivent le virus comme étant la menace la plus
importante, suivie de 36% pour les accidents d’origine interne et de 17% pour les accidents
d’origine externe.
33
Clusif : club de la sécurité des systèmes d’information français
_______________________________________50________________________________
Cette même enquête a montré une réalisation des menaces dans des proportions différentes,
puisque 35% seulement de ces mêmes entreprises déclarent avoir été victime d’un virus ou
d’une infection informatique (contre une estimation de 52%). Les résultats des réalisations
sont les suivants :
 Virus et infections informatiques : 35%
 Accidents d’origine interne : 18%
 Divers : 13 %
 Erreurs d’utilisations : 8%
 Vol : 15%
Ainsi, les principales menaces envers un environnement informatique sont les suivantes :
Les programmes malveillants : Les programmes malveillants ou logiques malignes

recouvrent les attaques du système dues à des fautes de développement humaines, comme
les chevaux de Troie, les portes dérobées, et les bombes logiques, ou dues à des fautes
opérationnelles humaines, comme les virus et les vers.
Les utilisateurs : Les utilisateurs constituent le maillon faible de la sécurité des systèmes
d’information. Les actions inappropriées entreprises par les utilisateurs des systèmes, que se
soit par insouciance ou par malveillance, représentent une source importante de menace.
Selon Paulo Ribeiro, pour les petites et moyennes entreprises, les pertes de données sont
causées dans 44% des cas par des défaillances de matériel, suivi par des erreurs humaines
dans 32% des cas 34 .
Les sinistres : La survenance d’un incendie, d’un vol, d’une inondation ou tout autre
sinistre peut entraîner la perte de matériel et/ou de données.
L’intrusion : L’intrusion est le fait qu’une personne non autorisée parvient à accéder aux
programmes ou données privés. Cette intrusion peut être passive comme l’utilisation d’un
mail pour réaliser des opérations de spam, ou plus grave comme la consultation, la
modification ou le vol de données confidentielles.
34
www.esecuritysolutions.com , « sécurité PME »
_______________________________________51________________________________
La mise en place d’un système d’information sécurisé, suppose une identification des
menaces potentielles et la mise en œuvre de moyens nécessaires pour y faire face. Ces
moyens portent sur des mesures de formation et de sensibilisation à l'intention des
utilisateurs, ainsi qu'un ensemble de règles de conduite clairement définies.
2.1.2 – Déterminer les vulnérabilités
Une vulnérabilité est une faille dans le système susceptible d’être utilisée par les hackers
pour intenter des attaques génératrices des risques, tels que la divulgation des données, la
modification et l’atteinte à la disponibilité des données, la répudiation des transactions et
l’atteinte à l’authentification des utilisateurs ou à l’origine des données.
Les vulnérabilités se rapportant aux systèmes d’information sont nombreuses et illimitées,

elles peuvent concerner un mot de passe facile à identifier, une adresse IP statique pour
accéder à Internet, un réseau sans fil mal configuré, une absence de politique claire de
sauvegarde…..
Eviter les vulnérabilités, paraît une tâche difficile à réaliser, toutefois l’entreprise gagnerait
à être à l’écoute de son environnement informatique en vue d’identifier ces failles et
d’adopter les solutions de sécurité qui s’imposent.
Selon Nicolas Chazot 35« il n'y a pas de différences entre systèmes d'exploitation en ce qui
concerne le nombre de failles. Les Unix, les Linux, les Windows et les autres ont une
démographie de vulnérabilité identique ou presque. Ce qui fait qu'un système est
effectivement plus sûr qu'un autre, c'est le niveau technique requis pour comprendre et
exploiter les failles… La qualité et la rapidité des mises à jour et des correctifs est
également fondamentale».
3.1.3 – Evaluer le coût
La mesure des risques informatiques encourus par l’entreprise, dépend de la valeur des
actifs matériels et immatériels à protéger et du coût de la sécurité à mettre en œuvre.
35
Phillipe CHALON, « statistiques sur les risques », www. 3SIP.com
_______________________________________52________________________________
L’évaluation des actifs suppose une identification claire des valeurs et données à protéger
compte tenu de leur importance dans l’entreprise.
Le coût de la sécurité est déterminé par la valeur des outils de sécurité à acquérir pour
l’assurer, alors que le coût de l’insécurité est nul. Toutefois, il convient d’évaluer dans ce
cas le coût nécessaire pour rétablir la sécurité en cas de réalisation d’un risque, par exemple
reconstruire un fichier, perte de clientèle...Ce coût est composé de trois catégories de coûts
directs, à savoir le coût d’immobilisation et de ralentissement de l’activité de l’entreprise, le
coût du temps passé pour rechercher la cause de la panne et essayer de rétablir les systèmes
et le coût technique lié par exemple au remplacement d’un disque dur endommagé, à
l’intervention d’un expert, à la réinstallation des programmes…..
Le coût d'une protection maximale, car une protection absolue n’existe pas, dépasserait
probablement le coût des éléments à protéger. A cet effet, chaque entreprise doit déterminer
en fonction de la valeur des éléments à protéger ou de leur reconstitution, des menaces
potentielles, de la probabilité d'occurrence et des coûts de protection ou de non protection
associés, la politique de sécurité à mettre en place.
L’évaluation du coût de la sécurité n’est pas une tâche facile à accomplir, du fait qu’elle
touche des coûts tangibles (coût de remise en état des biens matériels) et intangibles (perte
de données importants, perte de clientèle, manque à gagner…). De même, il n’incombe pas
à l’expert comptable, dans le cadre de sa mission d’audit financier ou de conseil auprès de
l’entreprise, de procéder à une évaluation chiffrée du coût de la sécurité.
Une étude menée par le cabinet d’études « Gartner », montre que le coût horaire de
l’indisponibilité des réseaux informatiques des grandes entreprises implantées aux états
unis, s’élève à 42 000$ 36.
Une autre étude menée aux Etats-Unis d’Amérique par le Computer Crime and Security
Survey Institute auprès de 639 entreprises, montre qu’en 2005 les 3 premières causes
d'insécurité informatiques, à savoir les virus, l’accès non autorisé aux systèmes et le vol des
données personnelles, ont coûté 164 247 $ à chaque entreprise sur l'année.
36
extrait de « statistiques sur les risques » www.3SIP
_______________________________________53________________________________
Le rapport complet précise que les chiffres des pertes fournis par les entreprises qui ont
répondues à cette enquête ne couvrent très certainement pas les coûts indirects de
réinstallation des systèmes et surtout les pertes d'exploitation dues aux pertes de ventes et de
crédibilité.
Etant donné que le coût de la sécurité informatique est très élevé, les entreprises suivent en
général des politiques d’optimisation qui se basent à titre d’exemple sur les actions
suivantes:
 La réduction des risques maximaux en dessous de la capacité de l’entreprise à
supporter ;
 L’harmonisation des dépenses de prévention et de détection-protection ;
 La recherche de moyens ayant les meilleurs rapports sécurité-coût.
2.2 – Méthodes d’évaluation des risques
Plusieurs sont les méthodes qui permettent de fournir une évaluation globale de la sécurité
et des risques informatiques au sein de l’entreprise. Dans ce qui suit, nous allons exposer
cinq méthodes d’évaluation de risques, tout en signalant que l’évaluation numérique du
risque informatique ne relève pas des diligences requises au cours d’une mission d’audit de
la sécurité informatique.
_______________________________________54________________________________
2.2.1 – La méthode statique empirique
Cette méthode consiste à estimer les pertes potentielles de l’entreprise sur la base des pertes
subies dans le passé. Il s’agit de déterminer la distribution de la fréquence absolue des
incidents (nombre d’accidents annuels possibles avec la probabilité de réalisation de
chacun), et des pertes unitaires (montants possibles pour un incident et probabilité de
chacun).
Cette méthode présente de nombreux inconvénients, elle suppose l’existence d’une base de
données statistique complète et fiable. En outre, elle est basée sur l’hypothèse que le nombre
des incidents et leur valeur unitaire sont linéaires et répétitifs dans le temps et que le passé
est statistiquement représentatif de tous les risques possibles.
2.2.2 – La méthode CURCHMAN – ACKOFF
Contrairement à la méthode empirique, cette méthode est basée sur une approche
qualitative. En effet, l’importance de chaque risque identifié est pondérée par un coefficient
de priorité. Les rangs de priorité sont attribués par comparaison des risques deux à deux.
Une cotation de la gravité relative de l’un par rapport à l’autre étant définie, le tout sera par
la suite regroupé pour établir une hiérarchie de risques.
Ces deux premières méthodes sont essentiellement des méthodes basées sur des schémas
mathématiques, or la sécurité informatique ne peut être prise en compte par des modèles
purement mathématiques. C’est ainsi que ces méthodes ont été abandonnées au profit
d’autres méthodes, dont la plus célèbre est incontestablement la méthode « MARION ».
2.2.3 – La méthode d’analyse des risques informatiques orientée par niveau

« MARION »
Développée par le «CLUSIF»37, émanation de l’APSAIRD38, la méthode MARION est

fondée sur l’analyse des risques et du coût de leurs conséquences comparé au coût de la
prévention, elle tient compte également de la probabilité d’occurrence des risques.
37
CLUSIF : Club de la Sécurité des systèmes d’Information Français
_______________________________________55________________________________
Cette méthode permet de dresser un inventaire des risques importants et de rechercher les
moyens de sécurité susceptibles de les réduire. Elle abouti également à la rédaction d’un
schéma directeur de la sécurité et à la mise en œuvre de moyens de protection et de
prévention cohérents et adéquats.
En se basant sur un questionnaire de vingt sept indicateurs, cette méthode permet de :

1. analyser et évaluer en terme de coût les risques existants;
2. Exprimer, en accord avec la direction de l’entreprise, le risque maximum
admissible ;
3. Analyser la sécurité existante : les réponses obtenues suite au questionnaire
d’évaluation sont reportées sur une grille /questionnaire au moyen d’une notation
allant de 0 (niveau de risque minimum) à 4 (niveau de risque maximum), les
résultats sont en suite présentés dans un « ROSACE » ;
4. Evaluer les contraintes techniques et humaines ;
5. Choisir les moyens à mettre en œuvre pour améliorer la sécurité de manière
cohérente ;
6. Définir le plan de sécurité à mettre en place.
2.2.4 – La Méthode Harmonisée d'Analyse de Risques : MEHARI
La méthode MEHARI a succédée à MARION, elle a été Développée par le CLUSIF et elle
permet d'apprécier les risques au regard des objectifs "business" de l'entreprise. MEHARI
s'articule autour de 3 plans :
 Le plan stratégique de sécurité, qui fixe les objectifs de sécurité et les indicateurs
de mesure et détermine le niveau de gravité des risques encourus.
 Les plans opérationnels de sécurité, qui définissent, par site, les mesures de sécurité
à prendre.
 Et le plan opérationnel d'entreprise, axé sur le pilotage stratégique et le suivi
d'indicateurs clés.
38
APSAIRD : Assemblée Plénière des Sociétés d’Assurance contre l’Incendie et les Risques Divers
_______________________________________56________________________________
2.2.5 – Control Objectives for Information and Technology : COBIT
Le COBIT est une méthode publiée par l'ISACA39 aux Etats-Unis et traduite par
l’association française d’audit et de conseil informatique (AFAI). Le COBIT permet de
comprendre et de gérer les risques liés aux technologies de l’information. Pour se faire, il
retient quatre domaines fonctionnels : la planification et l’organisation, l’acquisition, la
distribution et le support et la surveillance. Il découpe ces domaines en 34 processus, pour
chaque processus il fournit un modèle de maturité permettant d'apprécier le niveau sur une
échelle de 0 (inexistant) à 5 (optimisé) et des facteurs clés de succès correspondant aux
actions à déployer pour l’améliorer. Le guide de management ainsi constitué est orienté
vers l’action pour :
1. Déterminer les contrôles informatiques : qu’est ce qui est important ;
2. Sensibiliser: où est le risque ?
3. Comparer : que font les autres ?
Cette méthode ne permet pas de quantifier les risques, mais elle présente à partir de
l’évaluation des 34 processus liés aux technologies de l'information par rapport aux
meilleures pratiques, les éléments et la démarche nécessaires à la mise en œuvre de tableaux
de bord équilibrés. Cette méthode est d’avantage assimilée à une méthode de gouvernance
des systèmes d’information.
39
ISACA: Information Systems Audit and Control Association
_______________________________________57________________________________
CHAPITRE 2 : LA SECURITE INFORMATIQUE
Face aux risques exposés dans le premier chapitre de cette partie, toute entreprise soucieuse
de la protection de son patrimoine matériel et immatériel et de la continuité de son
exploitation, se doit de mettre en place une politique de sécurité qui s’avère comme un
impératif de bonne gestion.
Tout au long du chapitre précédent, nous avons présenté les connaissances fondamentales à
la perception et à la compréhension des risques informatiques. Dans le présent chapitre,
nous allons examiner les préalables à la mise en place d’une sécurité informatique ainsi que
les outils techniques la permettant.
La maîtrise des préalables organisationnelles et techniques de la sécurité constitue un

facteur clé de réussite de la mission d’audit des sécurités informatiques par l’expert
comptable. Elle lui permet d’apprécier objectivement les mesures de sécurité en place
compte tenu des risques encourus par l’entreprise, d’estimer leur impact sur la fiabilité des
informations produites par le système de contrôle interne et d’assurer un conseil
considérable aux clients audités en proposant des solutions de sécurité et en précisant les
avantages des techniques proposées et les modalités pratique de mise en place.
SECTION 1 – LA MISE EN PLACE D’UNE POLITIQUE DE SECURITE

INFORMATIQUE
La mise en place d’une politique de sécurité informatique constitue la solution optimale

pour se prémunir contre les risques informatiques. Des solutions de sécurité disparates et
hétérogènes ne permettent pas d’atteindre un tel objectif.
La sécurité informatique constitue une démarche générale qui nécessite tout d’abord une
perception claire des objectifs de sécurité. A cette perception est associé ensuite le besoin
d’appliquer et de respecter les normes de sécurité, auquel il convient d’ajouter enfin
l’adhésion de la direction générale de l’entreprise et la sensibilisation des utilisateurs.
_______________________________________58________________________________
PARAGRAPHE 1 : LES OBJECTIFS DE LA SECURITE INFORMATIQUE
La sécurité informatique peut être définie comme étant l’ensemble de moyens de prévention
et de détection mis en place par une société pour garantir un niveau de risque acceptable.
Selon la norme ISO 1779940 « la sécurité du système d’information est l’état qui permet
d’assurer la disponibilité, l’intégrité et la confidentialité d’un système d’information par la
mise en place des mécanismes de prévention, de protection et de détection des incidents ».
A ces objectifs, il convient d’ajouter celui de la non répudiation qui a vu le jour
essentiellement avec les échanges de données informatisées.
1.1 – La disponibilité
La disponibilité est l’aptitude des systèmes à remplir une fonction dans des conditions
prédéfinies d’horaires, de délais et de performances. Il s’agit de garantir la continuité et la
permanence du service d’un ordinateur ou d’un réseau, assurer les objectifs de performance,
respecter les dates et heures limites de traitement, et permettre ainsi de garantir la continuité
des échanges d’information c’est à dire de pouvoir disposer, chaque fois que le besoin y est,
des possibilités de réception et de transfert.
Assurer la disponibilité de l’information nécessite des procédures appropriées de couverture

contre les accidents ainsi que des contrôles de sécurité afin de se protéger contre les
suppressions inattendues ou intentionnelles des fichiers.
La disponibilité des traitement vise, quant à elle, à garantir la continuité de service des
traitements, c’est à dire de pouvoir disposer des ressources en matériels et logiciels
nécessaires à l’ensemble des services et utilisateurs des traitements.
40
ISO 17799 « technologies de l’information, code pratique pour la gestion de sécurité de l’information »
_______________________________________59________________________________
1.2 – La confidentialité
La confidentialité est la propriété de garder secrètes les informations avec accès aux seules
entités autorisées, par la mise en place de moyens de prévention contre la divulgation non
autorisée de l'information. Cela revient à empêcher un utilisateur de consulter directement
une information qu'il n'est pas autorisé à connaître. Le terme information doit être pris au
sens le plus large, il recouvre aussi bien les données elles mêmes que les flux d'informations
et la connaissance de l'existence des données ou des communications.
D’une manière générale, assurer la confidentialité revient à assurer qu’une information

n’est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés.
La sécurité de la confidentialité des systèmes d’information contre les risques de divulgation
non autorisée nécessite la mise en place des actions suivantes :
 Mettre en place un système d’authentification des utilisateurs, c'est à dire réserver
l’accès aux données aux seuls utilisateurs habilités en fonction de la classification
des données et des niveaux d’habilitation de chacun d’eux. La protection des
informations peut se faire également au moyen de mots de passe associé à chaque
objet.
 Garantir le secret des données échangées par deux correspondants sous forme de
messages ou de fichiers. Cet objectif est en général plus recherché en cas
d’échange d’informations sensibles et qui une fois interceptées par une personne
autre que le récepteur dédié pourraient nuire aux intérêts de la société.
1.3 – L’intégrité
L’intégrité est la qualité qui assure que les données ne sont ni créées, ni altérées, ni
détruites de manière non autorisée. L'intégrité peut être définie comme la capacité du
système à empêcher la corruption d'informations par les fautes accidentelles ou
intentionnelles, et à garantir leur mise à jour correcte.
Selon la norme ISO 13-335-141, l’intégrité est la propriété de non altération ou de non
destruction de tout ou partie de système d’information de façon non autorisée. Il s’agit de
garantir l’exhaustivité, l’exactitude et la validité des informations et d’éviter les
modifications faites par erreur des informations.
41
ISO 13-335-1 « concepts et modèles pour le management de la sécurité des TIC »
_______________________________________60________________________________
Assurer l’intégrité des données consiste à établir des contrôles aussi bien sur les entrées que
sur les traitements des transactions et à sécuriser les fichiers des données cumulées de toute
modification non autorisée.
L’intégrité est destinée à garantir la fiabilité et l’exhaustivité des échanges des informations,
c'est à dire garantir que les données ne subissent aucune altération ou destruction volontaire
ou accidentelle durant tout le processus de transport par voie électronique, de saisie, de
traitement et de conservation, en faisant en sorte que les données soient reçues comme elles
ont été émises et d’avoir les moyens de les vérifier.
Dans le cas de la sécurité des systèmes de télécommunication, les menaces à l’intégrité

peuvent entraîner les anomalies suivantes :
 L’inintelligibilité des messages émis suite à des opérations de brouillage ;
 L’altération du sens du message ;
 La perte de l’ordre d’une suite de messages ;
 L’inexistence ou la non exhaustivité des messages transmis (en plus ou en moins).
1.4 – La possibilité de contrôle et de preuve
Cet objectif de sécurité englobe l’auditabilité, qui est la faculté de vérifier le bon
déroulement d’une fonction par le suivi des activités sur le réseau, et la non répudiation c'est
à dire l’impossibilité pour une entité de pouvoir nier avoir reçu ou émis un message, ou au
contraire éliminer la possibilité pour une entité de prétendre avoir émis ou reçu un message.
Elle garanti la possibilité de reconstituer, à des fins de contrôle ou de preuve, un traitement à
tous les niveaux (logique de programmation, déroulement de traitement et forme des
résultats).
L'auditabilité doit permettre de savoir tout ce qui s'est passé dans un ordinateur ou un réseau
: Est-ce que le processeur chauffe trop, qui s'est connecté, qui a effacé tel ou tel fichier,
quelle application est instable, ... afin de remédier aux incidents ou d'interdire à l'avenir la
survenance de tel ou tel problème, qu'il soit humain ou technique.
La non répudiation des transactions permet de prouver de façon certaine et non contestable
par les parties en présence, que telle ou telle action a bien été effectuée par une personne et
non par une autre.
_______________________________________61________________________________
PARAGRAPHE 2: CONCEPTION D’UNE POLITIQUE DE SECURITE
INFORMATIQUE
2.1 – Un besoin de normalisation
Les méthodes d’analyse de risque et de sécurité de l’information (Mehari, Ebios, Marion…)

déjà présentées dans le chapitre premier, ne constituent pas un label de confiance pour la
sécurité globale de l'entreprise.
Pour répondre au besoin accru de confiance dans les systèmes informatisés, des travaux ont
été menés en vue d’établir des normes standards de la sécurité de l’information, dont
principalement la norme BS7799, la norme ISO17799, la norme ISO13335,…..
Ainsi, pour mettre en place une politique de sécurité informatique, l’entreprise doit suivre
l’une des démarches prévues par les normes internationales de sécurité, démarche qui
s’avère dans certains cas longue et coûteuse, ce qui ne correspond pas forcément aux
objectifs de gestion et à la taille des petites et moyennes entreprises. Toutefois, l’examen
sommaire de ces normes a le mérite de nous renseigner sur les grands axes de sécurité à
respecter.
2.1.1 – La Norme BS 7799
La norme "British Standard" (BS) 7799 est un standard pour la sécurité de 1'information. Elle
regroupe de manière cohérente un ensemble de bonnes pratiques dans le domaine de la
sécurité observées au sein d'entreprises de renommée mondiale.
Elle a été publiée pour la première fois par le British Standard Institute en 1995, son objectif
est de permettre la mise en place d’un système de management de la sécurité de l’information
ou SMSI (ISMS ou Information Security Management System) dans l’entreprise. Pour cela,
la BS7799 impose le modèle PDCA (Plan, Do, Check, Act) qui oblige tous les processus
relatifs à la sécurité à être cycliquement planifiés, mis en place, vérifiés puis améliorés. En
1999, elle a été révisée pour tenir compte des développements récents dans le domaine des
technologies de traitement de l'information et particulièrement dans le domaine des réseaux
et de la télécommunication.
_______________________________________62________________________________
La norme BS 7799 couvre les dix domaines ci-après:
 Politique de sécurité;
 Organisation de la sécurité;
 Classification des données;
 Sécurité du personnel;
 Sécurité physique;
 Gestion du réseau;
 Contrôle des accès;
 Développement et maintenance des systèmes;
 Continuité d'exploitation;
 Réglementation.
L’apport essentiel de la BS 7799 est de formaliser toutes les procédures relatives à la

sécurité, elle oblige de définir l’ordre d’importance du système d’information, ce qu’il faut
protéger, et comment y parvenir.
2.1.2 – La norme ISO 17799
La norme ISO 17799 « Gestion de la sécurité d'information - Code Pratique pour la gestion
de la sécurité d'information » est considérée comme un référentiel de bonnes pratiques de
sécurité et des contrôles liés. Elle ne représente en effet ni une méthode de sécurité, ni une
méthode de gestion des risques et se limite à exposer une liste de bonnes pratiques en
matière de sécurité. L’avantage de cette norme est qu’elle n’impose pas de formalisme
particulier et laisse libre le choix des méthodes utilisées pour l’analyse de risques et le
contrôle, et se trouve de ce fait adaptée à toutes les entreprises quelques soit leur taille ou
leur secteur d’activité.
En décembre 2000, l’organisation internationale de standardisation ISO a repris la première

partie de la norme BS 7799 « code des pratiques de gestion de la sécurité d’information » et
a publié à cet effet la norme ISO 17799:V2000. Le 10 Juin 2005, une nouvelle version de la
norme ISO17799:V2005 a été publié qui représente une révision de la version publié en
2000.
_______________________________________63________________________________
2.1.3 – La norme ISO 13335
La norme ISO 13335 actualisée en 2004, présente les directives pour la gestion de la
sécurité des technologies d'information. Elle comporte quatre parties détaillées comme suit :
Un sous ensemble de normes internationales, comprenant :
 ISO/IEC IS 13335-1 (version 2004) : Concepts et modèles pour le

management de la sécurité des TIC.
 ISO/IEC IS 13335-2 (en cours de révision) : Techniques de gestion
des risques pour les TIC .
Un sous ensemble de rapports techniques (TR comme Technical Report),

comprenant :
 ISO/IEC TR 13335-4 2000: Sélection de mesures de sécurité.

 ISO/IEC TR 13335-5 2001: Guide pour la gestion de sécurité du
réseau.
2.1.4 – La norme ISO 27001
Récemment finalisée, la norme ISO 27001 « système de gestion de sécurité de l’information

– exigences » inspirée de la deuxième partie de la norme britannique BS 7799, permet aux
entreprises de certifier les pratiques de sécurité qu'elles adoptent au sein de leur système
d'information. Elle constitue un référentiel commun et uniforme permettant de comparer des
approches de la sécurité jusqu'à présent hétéroclites.
Selon hervé schaudler, la norme ISO 27001 « ne certifie pas un "niveau" de sécurité, mais
plutôt une approche de la sécurité. Plus spécifiquement, ISO 27001 indique que l'entreprise
a mis en place des procédures et un système de gestion de la sécurité. C'est-à-dire qu'elle a
procédé à une analyse des risques, de la pertinence et de l'efficacité des moyens mis en
oeuvre pour y parer »42. La certification ISO 27001 ne porte pas une évaluation du niveau
de sécurité existant, elle certifie le niveau de formalisme mis en place, c'est à dire que
l'entreprise a formalisé les choses en matière de sécurité et qu'elle a pris ses risques en
compte.
42
Hervé schauer, « sécurité des données », www.hsc.fr
_______________________________________64________________________________
La certification se fait suite à un audit initial de sécurité suivi par un audit de suivi effectué
tous les six mois, au bout de trois ans la certification est renouvelée et le cycle d’audit
reprend.
2.2 – Au delà des normes
Appliquer une norme de sécurité, ne garanti pas à lui seul la réussite d’une politique de
sécurité. L’approche sécurité est une approche générale et doit réunir l’implication de tous
les intervenants dans le système d’information (décideurs et utilisateurs), elle nécessite une
démarche globale, cohérente, structurée et qui converge avec la politique de l’entreprise.
2.2.1 – L’adhésion de la direction générale
L’utilisation et la dépendance accrue des entreprises envers les moyens informatiques et de

télécommunication et principalement avec l’ouverture des réseaux et la disparition du
périmètre d’entreprise, a augmenté les vulnérabilités des systèmes d’information des
entreprises.
Face à cette situation, réussir une politique de sécurité nécessite tout d’abord l’adhésion de la
direction générale. Cette adhésion doit être formelle et exprimer les intentions de
l'organisation en termes de sécurité de l'information et les moyens qui seront mis en oeuvre
pou y parvenir.
Pour être efficace, l’adhésion de la direction doit être active, c'est à dire s’accompagner par
les décisions de gestion qui s’imposent. La première décision consiste à réexaminer
l’organigramme de l’entreprises en y prévoyant une unité des systèmes d’information au sein
de la quelle une nouvelle fonction prend continuellement de l’essor, il s’agit de la fonction de
responsable de sécurité des systèmes d’information chargée de la gestion et de la diffusion
des règlements qui tendent à atteindre les objectifs de sécurité fixés. Pour les entreprises de
petite et moyenne taille, l’existence d’un responsable informatique peut suffire.
Egalement, il convient de mettre en place un ensemble de règles de bon usage et de principes

de contrôle visant à protéger les biens matériels et immatériels de la société.
_______________________________________65________________________________
De même, il importe de prendre en compte les besoins réels de l'organisation afin de mettre
en place des procédures réalistes en fonction du niveau de risque encouru par la société.
En fin, il est indispensable de préciser que l’adhésion de la direction est nécessaire mais elle
n’est pas suffisante pour réussir la mise en place d’une politique de sécurité, elle doit être
accompagnée par d’autres mesures dont principalement la participation des différents
niveaux hiérarchiques pour son application.
2.2.2 – La sensibilisation des utilisateurs
La définition et la diffusion d'une politique de sécurité informatique doivent

incontestablement être associées à un programme de sensibilisation à la sécurité destiné à
l'ensemble du personnel de l'organisation et non seulement aux individus affectés aux
technologies de l’information et de la communication.
Les utilisateurs finaux doivent être conscients des risques possibles suite aux manipulations
non conformes de l’outil informatique et des conséquences dommageables qu’ils peuvent
porter aux intérêts de la société.
A cet effet, toute société, et en particulier le responsable de la sécurité informatique, doit

entreprendre des actions de sensibilisation des utilisateurs aux risques informatiques. Ces
actions doivent être périodiques et appuyées par un système de veille technologique
permettant à l’entreprise d’être à l’écoute des nouvelles vulnérabilités découvertes et des
solutions proposées.
Enfin, il importe de mettre en place un système de suivi et de contrôle régulier de

l’application des procédures et règles de sécurité pour s’assurer du respect de la politique
prévue.
2.2.3 – La mise en place d’une charte de sécurité
Une charte de sécurité constitue un accompagnement nécessaire à la sensibilisation des

utilisateurs. Il s’agit d’un document qui définit les droits et les obligations de chaque
intervenant dans le système d'information. La charte a pour but d’établir un code de
déontologie pour régir les règles d’utilisation des ressources informatiques mises à la
disposition des utilisateurs ( matériel informatique, accès intranet/internet, messagerie
_______________________________________66________________________________
électronique..). Elle sert également à faire prendre conscience aux utilisateurs des sanctions
prévues en cas de non respect de la charte.
L’objectif d’une charte de sécurité est d’éviter les règles disparates de sécurités personnelles
et d’offrir des règles organisées d’utilisation des systèmes d’informations, de préciser les
responsabilités des intervenants et d’acquérir leur adhésion formelle en approuvant la
charte.
En Tunisie, l’Agence Nationale de la Sécurité Informatique a développé un modèle de

charte de sécurité type (voir annexe 3). Des chartes de sécurité pour les entreprises et pour
les universités sont en cours de développement.
2.2.4 – Le plan de continuité d’activité
La mise en place d’une politique de sécurité efficace suppose l’élaboration d’un plan de
reprise et de continuité d'activité (PCA, PRA, plans de secours) permettant de prévoir les
actions à entreprendre en cas de réalisation d’un sinistre entraînant l’arrêt de fonctionnement
du système d’information.
Ce plan peut contenir une liste de procédures à mettre en place en cas d’incidents, les
partenaires techniques qui permettront de réaliser les infrastructures de secours et les
solutions de sécurité disponibles en vue de rétablir l’exploitation.
SECTION 2 – LES TECHNIQUES DE SECURITE INFORMATIQUE
L’examen de la sécurité informatique suppose un minimum de connaissances informatiques

de la part de l’auditeur. Ces connaissances portent principalement sur les sécurités primaires
que l’on doit observer dans l’entreprise et ce aussi bien au niveau d’un poste de travail
autonome, du réseau de l’entreprise, des télécommunications, des données et applications et
des assurances informatiques contractées par l’entreprise.
Sachant que les risques informatiques évoluent rapidement, les techniques de sécurité
présentées ci-après, tout en n’étant pas exhaustives, cherchent à mettre à la disposition de
l’expert comptable un esquisse de recueil des techniques de sécurité élémentaires, sujettes à
des mises à jour permanentes au vu de l’évolution des matériels, logiciels et sinistres
informatiques.
_______________________________________67________________________________
PARAGRAPHE 1 : SECURITE DES POSTES DE TRAVAIL
1.1 – Sécurité physique d’accès aux données
L’environnement physique dans lequel évoluent les systèmes informatisés doit être sécurisé
afin de répondre aux objectifs d’intégrité et de disponibilité des équipements et données.
1.1.1 – Mesures générales de sécurité
Lors de l’examen des sécurités physiques, l’auditeur doit s’assurer que les facteurs de
sécurité suivants sont disponibles :
 Protection contre l’incendie : cloisonnement, isolation, résistance au feu des
matériaux, sécurité de l’évacuation (issues suffisantes, portes anti-panique,
éclairage de secours..), sécurité de la charpente et de la toiture, évacuation de la
fumée, prises d’eau…. ;
 Existence d’outils de détection et d’extinction d’incendies, destinées à éviter qu’un

incident mineur ne se propage et se transforme en un sinistre réel, au moyen de
capteurs de fumée, rondes de surveillance, portes coupe-feu, armoires ignifuges,
cloisonnement de sources de combustibles, extincteurs de feux... ;
 La mise en place de procédures évitant les dégâts des eaux. A cet effet, il y a lieu
de s’assurer que les locaux abritant le matériel informatique sont situés en dehors
des locaux à risques : sous-sol, sous le toit, dans des locaux dépourvus de conduites
d’eau, absence de fenêtres, inclinaison des planchers,…...
 Protection contre la foudre et les risques électriques : paratonnerre, prises de terre,

disjoncteurs, isolation magnétique… ;
 Techniques de protection passive visant à diminuer la probabilité de survenance

d’un sinistre, tel que par exemple : les gaines d’isolation électrique, les poubelles
de sécurité, l’isolation des locaux à haut risque (cuisine, magasins de produits
inflammables..) et la diffusion d’instruction d’interdiction de fumer.
_______________________________________68________________________________
1.1.2 – Contrôle des accès
L’accès aux locaux de l’entreprise doit être contrôlé pour se protéger contre les risques de
vol, d’intrusion et d’espionnage.
Ainsi, l’entreprise se doit de mettre en place une politique de contrôle des accès qui
débouche sur l’élaboration d’une réglementation des accès précisant les droits en fonction
des locaux et des horaires ainsi que les procédures d’entrée et de sortie. Cette
réglementation consiste à vulgariser les pratiques élémentaires de précaution, tel que la
fermeture des portes, fenêtres et issues techniques, le contrôle des accès par l’existence d’un
personnel spécialisé (société de gardiennage) et la restriction d’accès aux seules personnes
autorisées par l’utilisation de lecteurs de cartes ou de badges.
1.2 – Sécurité logique des données
Des postes de travail accessibles à tout utilisateur, autorisé ou non, représentent une porte
ouverte au réseau de l’entreprise, d’où la nécessité de bien gérer l’accès à ces postes pour se
prémunir contre les risques d’intrusion. Cette tâche est réalisée à l’aide des moyens
suivants :
1.2.1 – Création de comptes utilisateurs
Une règle élémentaire de sécurité informatique, consiste à n’autoriser l’accès au matériel

informatique qu’aux seules personnes autorisées à le faire et dans la limite de leurs besoins.
Le respect de cette règle est assuré par l’octroi de comptes spécifiques à chaque utilisateur.
L’utilisation de comptes utilisateurs permet d’assurer l’identification de l’utilisateur en vue
de lui accorder les droits correspondant à son profil. Elle se fait généralement, dans une
première étape au moyen de la saisie d’un code qui correspond au nom de l’utilisateur.
La deuxième étape consiste à assurer l’authentification de l’utilisateur par la saisie d’un mot
de passe qui lui est propre et qui permet de s’assurer de l’authenticité de l’utilisateur
préalablement identifié pour lui accorder le droit d’accéder à un système d’information ou à
un logiciel.
Même si un mot de passe n’est pas infaillible, du fait qu’il peut être découvert, il limite le
risque d’intrusion et d’utilisation non autorisée des postes de travail.
_______________________________________69________________________________
1.2.2 – Création de groupes de travail
Accéder à un poste de travail à travers son compte utilisateur ne veut pas dire
nécessairement une autorisation illimitée de traitement et de consultation de données. En
effet, dans les réseaux informatiques mettant en interconnexion plusieurs postes de travail,
il est conseillé de créer des groupes de travail et de spécifier pour chacun d’eux les droits et
privilèges spécifiques. « Pour qu’un système fonctionne en sécurité, il faut donner à ses
utilisateurs exactement les droits dont ils ont besoin pour s’exécuter »43. Au sein d’un
cabinet d’expert comptable par exemple, la création de comptes de gestion peut se faire
comme suit :
Groupe 1 : administratif
Groupe 2 : financier
Groupe 3 : audit
Groupe 4 : assistance comptable.
La gestion de comptes utilisateurs consiste ensuite à définir pour chaque compte utilisateur,
les groupes de travail auxquels il a droit d’accéder et les privilèges dont-il dispose (exemple
privilège de lecture, écriture et modification, suppression.)
Cette technique présente l’avantage de limiter les accès aux dossiers en fonction des profils
et responsabilités et ce afin d’éviter l’accès non autorisé aux données.
1.2.3 –- Partage de fichiers sous Windows
La gestion courante des réseaux d’entreprise peut montrer qu’un ou plusieurs fichiers soient
nécessaires à tous les utilisateurs quelque soit le groupe de travail auquel ils appartiennent.
Pour résoudre ce problème, Windows XP offre deux possibilités :
1. Le partage de fichiers simple possible avec Windows XP édition familiale : dans ce
cas, à part le dossier "Mes documents", il n'y a ni mot de passe, ni restriction d'accès
aux dossiers partagés sur le réseau. Tout le monde a accès à ce qui est partagé sur le
réseau.
43
« Monsieur sécurité, politique ou technicien » - 01 DSI N°2- juin 2003
_______________________________________70________________________________
2. Les listes d’autorisation de partage d’accès : cette faculté autorisée par Windows XP
professionnel, permet d’assurer une meilleure sécurité d’accès aux données
partagées en limitant l’accès aux seuls utilisateurs autorisés.
Sous Windows XP professionnel, il y’a lieu de s’assurer que le mode de partage simple est
désactivé, sinon tout document partagé sera accessible par tout utilisateur.
De même, il convient d’éviter que les fichiers partagés soient placés sous «mes documents»
afin de sécuriser l’accès aux données personnelles.
1.2.4 – Gestion des mots de passe
Les mots de passe constituent le code d’accès à l’ordinateur, ils peuvent être utilisés :
 Au démarrage du système, ce premier mot de passe est essentiel car aucun système
ne pourra être débuté sans lui ;
 Au démarrage de système d’exploitation ;
 Lors de connexion au réseau local ;
 Au démarrage d’une application ;
 Lors de connexion sur Internet ;
 Au niveau de la mise en veille du système d’exploitation ;
 Au chargement de fichiers…
Un mot de passe est une information très importante du fait qu’elle autorise l’accès à des
données privilégiés, le choix de mot de passe et son utilisation doivent répondre à des règles
bien déterminées. Un "bon" mot de passe possède les caractéristiques suivantes:
1. Contenir plus de 8 caractères,

2. mélange de chiffres et de lettres,
3. mélange de majuscules et de minuscules,
4. présence de caractères spéciaux (tels $'{-)=" !, etc.),
5. ne pas représenter un mot connu, un mot de dictionnaire, une variation de mot connu
ou encore une information "personnelle" (comme une date de naissance ou le nom
d'un enfant).
_______________________________________71________________________________
L’application de ces règles ne doit pas conduire à l’utilisation de mots de passe trop
complexes et difficiles à retenir même par l’utilisateur lui même, tel que « j-
é »nd ?er74{8£ ».
En fin, il est conseillé de changer régulièrement les mots de passe et de prévoir au niveau du
responsable de sécurité des systèmes d’informations, un registre de suivi des mots de passe
et de leurs modifications.
1.2.5 – Les solutions virales
Un matériel informatique en fonctionnement coure un risque important d’infection virale,

c'est à dire d’héberger involontairement des programmes malveillants qui sont en général
des virus ou des vers.
a. Les modes de propagation des virus
Au début, les virus, étaient principalement contractés par échange de disquettes.

Actuellement avec le développement des technologies d’informations, on assiste à des
nouvelles voies d’infection, dont principalement :
 La messagerie électronique ;
 Le téléchargement de fichiers depuis un site web ;
 Le transfert de fichiers FTP ;
 L’échange de fichiers au moyen de logiciels de type P2P ;
 Le transfert de fichiers par les supports amovibles.
b. La protection contre les virus
Pour se protéger contre les risques d’infection par virus, une première mesure de sécurité
élémentaire s’impose, se doter d’un logiciel antivirus.
Un antivirus est un logiciel spécialisé dans la lutte contre les virus informatiques. En
fonction de l’utilisation de l’outil informatique, il convient de choisir entre un antivirus
personnel ou un antivirus réseau. En général un antivirus réseau est conseillé lorsqu’on est
en présence d’un réseau administré de plus de 10 postes.
_______________________________________72________________________________
Un antivirus n’est efficace que s’il est procédé périodiquement à sa mise à jour en vue de
pouvoir détecter les virus signalés et les correctifs apportés. Une règle de sécurité veut que
les antivirus soient mis à jour périodiquement voir tous les 3 heures, toutefois, on estime
qu’une mise à jour hebdomadaire est sécurisante.
En plus de la mise à jour des antivirus, il convient de procéder périodiquement aux mises à
jour des logiciels utilisés afin de porter les correctifs nécessaires aux failles et vulnérabilités
découvertes et qui pourraient être exploitées par les virus.
c. Le choix des antivirus
Outre la marque de l’antivirus à utiliser, le choix de la solution virale à adopter par

l’entreprise dépend en premier lieu de son positionnement et du nombre des antivirus à
utiliser.
D’abord, en matière de marque, l’Agence Nationale de la Sécurité Informatique préconise

l’utilisation d’une liste d’antivirus à usage domestique.
En terme de positionnement de l’antivirus, l’entreprise peut utiliser l’une des solutions

suivantes :
1. Un anti-virus déposé sur la passerelle d’accès Internet. Le principe est de réaliser un
filtrage applicatif sur l’ensemble des flux en clair (c’est-à-dire communications non
chiffrées) qui transitent par la passerelle Internet. En particulier cet antivirus
analysera les flux Web à la recherche de logiciels malveillants.
2. Un anti-virus déposé sur le serveur de messagerie constituant le point névralgique de
communication de l’entreprise. Le choix de traiter la lutte anti-virale à ce niveau
présente l’avantage de la simplicité de mise en œuvre et de l’efficacité maximale sur
les infections par e-mail. L’inconvénient majeur est que l’ensemble des flux de
l’entreprise n’est pas traité par l’usage exclusif de cet anti-virus, auquel il convient
d’ajouter d’autres antivirus.
3. Un anti-virus équipant les postes personnels. La nécessité de disposer d’un anti-virus
à jour sur chaque poste de travail de l’entreprise s’impose : d’une part les protections
anti-virales réseau ne sont pas infaillibles (les fichiers chiffrés par exemple ne
pourront jamais être analysés), d’autre part les usages personnels des ordinateurs
sont par définition incontrôlables (insertion de CD, utilisation d’une connexion à
domicile, …).
_______________________________________73________________________________
Une gestion optimale de la sécurité informatique consiste à combiner plusieurs de ces

solutions, en essayant autant que possible de choisir deux fournisseurs distincts pour
favoriser les chances de détection de nouvelles souches de virus. La solution minimale est
probablement le déploiement de l’anti-virus personnel, mais il serait raisonnable et
confortable d’ajouter un anti-virus sur le serveur de messagerie.
PARAGRAPHE 2 : SECURITE DES RESEAUX
La sécurité des réseaux informatiques relève une importance capitale pour l’entreprise, du
fait qu’elle couvre l’ensemble des traitements, données et logiciels névralgiques à son
activité. A cet effet, il importe pour le responsable de sécurité de mettre en place les
mesures de sécurité nécessaires pour pallier à ces risques. L’expert comptable, de son côté
doit comprendre et maîtriser ces techniques, en vue d’assurer son rôle de conseil auprès de
l’entreprise.
2.1 – L’administration des réseaux
Un réseau d’entreprise englobe toutes les données et informations se rapportant à son

activité. Assurer le bon fonctionnement du réseau et protéger la confidentialité et l’intégrité
des données de l’entreprise nécessite la désignation d’un responsable d’administration du
réseau chargé notamment de :
 Veiller à ce que tous les utilisateurs aient un accès rapide et sécurisé au système
d'information de l'entreprise ;
 Gérer l'utilisation du réseau en accordant les autorisations aux nouveaux
utilisateurs pour se connecter ;
 Réaliser les configurations de matériels et logiciels du réseau ;
 Accorder les pouvoirs aux utilisateurs, créer des comptes utilisateurs, créer des
groupes de travail… ;
 Assurer la gestion sécurisée des partages ;
 Mettre en place les solutions de sécurité : mots de passe, antivirus, pare-feu…. ;
_______________________________________74________________________________
 Mettre en place les règles de filtrage ( ACLs) pour limiter par exemple l’accès au
réseau en dehors des horaires de travail ou pour fermer certains ports Internet
inutiles…. ;
 Assurer une veille technologique permanente pour apporter les correctifs
nécessaires aux solutions de sécurité adoptées ;
 Veiller à la sécurité, avec des systèmes de protection capables de dissuader les
intrus potentiels ;
 Apporter les solutions nécessaires en cas de panne de système ;
 Veiller à la sauvegarde des données ;
 Assurer la documentation du réseau : architecture et contenu du réseau,
configuration matérielle et logicielle, autorisations accordées aux utilisateurs,
mesures de sécurité…
Dans la pratique, l’administration du réseau peut être assistée par des logiciels, dont par
exemple le service d’annuaire « active directory » fourni par Windows 2000 Server.
« Active directory est un annuaire au sens informatique chargé de répertorier tout ce qui
touche au réseau comme le nom des utilisateurs, des imprimantes, des serveurs, des dossiers
partagés, etc. L'utilisateur peut ainsi trouver facilement des ressources partagées, et les
administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de
distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources
répertoriés »44.
Active Directory ne fournit pas seulement un emplacement de stockage de données et de

services permettant de rendre les données accessibles, mais protège également les objets du
réseau contre les accès non autorisés et réplique les objets pour éviter toute perte de données
lors de l'échec d'un contrôleur de domaine.
2.1.1 – Gestion des correctifs
Les solutions de sécurité ne sont pas durables parce que les risques sont évolutifs. A cet
effet, il convient d’assurer une veille technologique permanente et être à l’écoute des
nouvelles vulnérabilités découvertes et des nouvelles solutions de sécurité offertes par le
marché.
44
www.wikipedia.org/wiki/Active_Directory - Définition dans son contexte
_______________________________________75________________________________
Les solutions logicielles et encore moins celles matérielles doivent faire l’objet d’une mise à
jour permanente afin de pouvoir éliminer les vulnérabilités connues et bénéficier des
dernières améliorations en matière de sécurité.
Les systèmes d’exploitation et les applications récents intègrent des fonctionnalités de mise
à jour automatique, qu’il convient de s’assurer de leur activation. Nous citons à titre
d’exemples les outils de mise à jour suivants :
 Windows Update : Service de mise à jour automatique intégré à Windows 2000 et
Windows XP. Il permet aux utilisateurs et aux petites entreprises d’installer
automatiquement les mises à jour dès qu’elles sont disponibles.
 MBSA : le Microsoft Baseline Security Analyser est un outil simple d’inventaire
des mises à jour manquantes pour les machines Windows, destiné à l’usage des
petites et moyennes structures et disponibles sur
www.microsoft.com/technet/security/tools/mbsahome.mspx.
 Software Update Services (SUS) : téléchargeable gratuitement sur le site Web de
Microsoft. Ce service est conçu pour simplifier le processus de mise à jour des
systèmes Windows. SUS permet aux administrateurs de déployer rapidement et en
toute sécurité les mises à jour importantes sur leurs serveurs Windows 2000, ou
Windows XP Professionnel (ww.microsoft.com/france/securite/outils/sus.asp).
 Les autres plateformes offrent des possibilités similaires (Linux, Unix, Mac…)
2.1.2 – Choix de système de fichiers
Actuellement, les ordinateurs qui fonctionnent sous Windows 2000/XP peuvent utiliser les
systèmes de fichiers FAT45 ou NTFS46. Pour un administrateur réseau, le choix entre ces
deux types de systèmes de fichiers doit se faire en fonction des sécurités offertes par chacun
d’eux.
NTFS utilise un système basé sur une structure appelée «table de fichiers maître»,
permettant de contenir des informations détaillées sur les fichiers. De son côté FAT, stocke
les adresses des clusters du disque sur 16 bits ou 32 bits (FAT 16 ou FAT 32).
45
File Allocation Table
46
New Technology File System
_______________________________________76________________________________
Outre le fait qu’il procure un accès plus rapide aux fichiers, le système NTFS permet de
définir des attributs pour chaque fichier, d’accorder des quotas de disque par volume définis
pour chaque utilisateur, il propose les fonctionnalités requises pour héberger Active
Directory et autres solutions de sécurité basées sur les domaines, ainsi que d'autres
importantes fonctionnalités de sécurité.
Un système de fichiers FAT n’est pas considéré comme étant sécurisant et doit être
remplacée par le système NTFS. La conversion de partitions FAT en NTFS est une
opération simple et sécurisée et qui ne risque pas d’endommager les fichiers.
2.1.3 – Audit de la sécurité
L’administrateur de réseau doit veiller à l’audit des moyens de sécurité mises en place. Cet
audit exige nécessairement une surveillance du système au moyen des journaux de contrôle
offerts par les outils de sécurité mises en place et ce pour détecter les tentatives d’intrusions
faites et prendre les mesures qui s’imposent.
Par exemple, la lecture des journaux ou fichiers log peut renseigner sur des tentatives de
détection de mots de passe. De même, l’examen des IDS interne informe de l’installation
d’un logiciel d’intrusion…
Les rapports fournis par les matériels et logiciels de sécurité devraient être conservés,
analysés et suivis. Ainsi, au moment de la configuration de ces outils, il convient de préciser
les modalités d’enregistrement et de stockage de ces rapports.
L’audit de la sécurité peut être effectué par les ressources propres de l’entreprise, lorsque
cette dernière dispose d’une unité informatique qualifiée. Dans le cas des PME, il convient
d’externaliser cette fonction auprès des partenaires externes.
Une autre forme d’audit de la sécurité consiste à faire des simulations d’attaques pour tester
les vulnérabilités du système et apporter les correctifs nécessaires.
Les organismes publics se trouvent obligé par la loi 2004-5 de procéder à un audit
informatique auprès des auditeurs certifiés par l’Agence Nationale de la Sécurité
Informatique. Toutefois, cet audit gagnerait à être entrepris par tout entreprise disposant
d’un réseau informatique important et ce dans le but de renforcer les mesures de sécurité
choisies par la direction.
_______________________________________77________________________________
2.2 – Les solutions firewall
Un pare-feu ou un firewall est le complément indispensable aux antivirus pour la sécurité

des postes de travail connectés à Internet d’une façon permanente.
« Le pare-feu est un ensemble informatique du réseau d'entreprise comprenant du matériel

hardware (un ou des routeurs, un ou des serveurs) et des logiciels (à paramétrer ou à
développer). Son objectif est de protéger le réseau interne contre les accès et actions non
autorisés en provenance de l'extérieur, en contrôlant le trafic entrant. Le pare-feu peut
également contrôler le trafic sortant »47 .
Le pare-feu est localisé entre le réseau externe et le réseau interne et doit être le seul point
d'entrée-sortie du réseau interne pour garantir son efficacité.
Toutefois, lorsque certaines machines du réseau interne ont besoin d'être accessibles de
l'extérieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il convient,
en sus du pare-feu, de créer une nouvelle interface vers un réseau à part, accessible aussi
bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la
sécurité de l'entreprise. On parle ainsi de « zone démilitarisé » (notée DMZ pour
DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à
disposition du public. La DMZ fait ainsi office de « zone tampon » entre le réseau à
protéger et le réseau hostile. Lorsque le pare-feu détecte des éléments suspects entrant ou
sortant du réseau interne de l’entreprise, ces éléments sont dirigés dans la DMZ pour être
analysés au préalable.
A l’opposé d’un antivirus, l’administration d’un firewall nécessite des connaissances

techniques avancées et une manipulation de l’outil informatique.
2.2.1 – Fonctionnement d’un firewall
Un système firewall contient un ensemble de règles prédéfinies permettant :

 D'autoriser la connexion ;
 De bloquer la connexion ;
 De rejeter la demande de connexion sans avertir l'émetteur.
47
Loic DUVAL « Le firewall, votre première ligne de défense » - www.01 net.com
_______________________________________78________________________________
L'ensemble de ces règles permet de mettre en oeuvre une méthode de filtrage en fonction de
la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de
politiques de sécurité permettant soit d'autoriser uniquement les communications ayant été
explicitement autorisées “tout ce qui n'est pas explicitement autorisé est interdit”, soit
d'empêcher les échanges qui ont été explicitement interdits.
Les paquets de données échangées entre une machine du réseau extérieur et une machine du
réseau interne transitent par le pare-feu et possèdent les en-têtes suivants, qui sont
systématiquement analysés par le firewall :
 Adresse IP de la machine émettrice ;

 Adresse IP de la machine réceptrice ;
 Type de paquet (TCP, UDP, etc.) ;
 Numéro de port .
Notons qu’un port est un canal de réseau par lequel transitent des informations liées
spécialement à une application, ces ports sont numérotés d’une manière standardisée
universellement. A titre d’exemple, on cite les ports nécessaires à un usage normal de
l’Internet :
 Port 25 pour le SMTP (courrier sortant) ;

 Port 110 pour le POP (courrier entrant) ;
 Port 80 pour le HTTP (Web) ;
 Port 8080 pour le HTTPS ( web sécurié) ;
 Port 21 pour le FTP (transfert de fichiers) ;
 Port 53 pour le DNS (serveurs de noms) ;
 Port 119 pour le NNTP (forums) ;
 Port 6667 pour l'IRC (messagerie instantanée).
NB : le port 23 correspondant au protocole Telnet permettant de prendre le contrôle d'une

machine à distance, doit être fermé. En général tout port inutile, même ne présentant pas de
risque particulier devrait être bloqué.
_______________________________________79________________________________
La mise en place d’un pare-feu efficace nécessite un paramétrage adéquat des éléments des
paquets échangés. En pratique les pare-feu existant contiennent au minimum un
paramétrage permettant de filtrer les numéros de ports utilisés afin d’identifier ceux qui sont
autorisés pour le réseau et ceux à exclure.
A coté de cette technique de filtrage simple ou par paquet, il existe d’autres techniques de
filtrage plus avancées appelées filtrage applicatif, qui permettent de filtrer les paquets
échangés application par application. Le filtrage applicatif permet de limiter les connexions
sortant aux seules applications approuvées, détecter les virus, contrôler activeX, applets
java, cookies…
Un firewall effectuant un filtrage applicatif est appelé généralement « passerelle

applicative » (ou « proxy »), car il sert de relais entre deux réseaux en s'interposant et en
effectuant une validation fine du contenu des paquets échangés. Le proxy représente donc
un intermédiaire entre les machines du réseau interne et le réseau externe, subissant les
attaques à leur place. De plus, le filtrage applicatif permet la destruction des en-têtes
précédant le message applicatif, ce qui permet de fournir un niveau de sécurité
supplémentaire.
Enfin, un tel système peut potentiellement comporter une vulnérabilité dans la mesure où il
interprète les requêtes qui transitent par son biais. Ainsi, il est recommandé de dissocier le
pare-feu du proxy, afin de limiter les risques de compromission.
2.2.2 – Quel firewall utiliser ?
Un firewall peut être matériel ou logiciel. Un pare-feu matériel est généralement destiné à
protéger les réseaux informatiques, alors que les pare-feu logiciels servent à protéger les
ordinateurs personnels sur lesquels ils sont installés.
Le choix du type de pare-feu à mettre en place dépend de la politique de sécurité adoptée et

porte sur les facteurs suivants:
 Le niveau de sécurité requis : Les pare-feu se différencient essentiellement par la

finesse des contrôles qu’ils autorisent et leur capacité à traiter des flux élevés et à gérer
un nombre important d’utilisateurs. Ils offrent à cet effet, les contrôles suivants:
_______________________________________80________________________________
 Simple contrôle sur les services et sur les adresses IP autorisés pour les pare-
feu simples ;
 Contrôle sur la validité des protocoles et des flux applicatifs pour les pare-feu
dit applicatifs (Plus de 75% des attaques portent sur l’exploitation des
faiblesses applicatives) ;
 Mise en œuvre de services associés tels que translation d’adresse, Proxy,
passerelle antivirus, serveur DHCP (Dynamic Host Configuration Protocol),
service VPN (s’assurer que l’autre extrémité du lien VPN est compatible
avec la technologie VPN incluse dans le pare-feu sélectionné), services de
détection d’intrusion IDS (Intrusion Detection System) ou services de
prévention d’intrusion IPS (Intrusion Prevention System).
 L’architecture des systèmes : Caractéristiques de la connexion Internet, dimension
du réseau local (nombre d’utilisateurs)…
 Les compétences internes : Le choix de la technologie pare-feu doit prendre en
compte les compétences dont dispose ou souhaite se doter l’entreprise. Un pare-feu
n’a d’intérêt que s’il est configuré en accord avec la politique de sécurité établie. La
configuration du pare-feu peut être très fine en attribuant des droits différents selon
les catégories d’utilisateurs, elle peut également mettre en œuvre une politique
variable suivant les plages horaires au cours desquels l’accès au réseau est autorisé
ou les jours d’ouverture de l’entreprise …et nécessite de ce fait des connaissances
techniques avancées.
 Le coût d’acquisition des pare-feu.
2.2.3 – Limites des firewalls
La sécurité absolue n’est offerte que lorsqu’on éteint les ordinateurs. En effet, la sécurité,
relativement élevée offerte par les pare-feu est biaisée par le fait que les utilisateurs de
l’outil informatique peuvent employer des supports de stockage infectés provenant de
l'extérieur, portant ainsi préjudice à la politique de sécurité globale.
Ainsi, pour garantir une sécurité optimale, l’ensemble des communications doit transiter
par le pare-feu correctement configuré. Un pare-feu mal configuré constitue une illusion de
sécurité, en effet des ports vulnérables ouverts au moment de la configuration du pare-feu
réduisent sensiblement l’efficacité de ce dernier.
_______________________________________81________________________________
De même, les accès au réseau extérieur par contournement du firewall sont autant de failles
de sécurité, tels que par exemple les connexions effectuées à partir du réseau interne à
l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du pare-feu.
Certains logiciels peuvent contourner le contrôle d’accès de pare-feu, d’où l’obligation à la

charge du responsable de la sécurité de limiter et de bien gérer le droit d’installation des
logiciels et de les contrôler. Parmi ces logiciels, on cite :
 Microsoft avec RPC over HTTPS, Outlook 2003, etc
 VPN-SSL, ssltunnel, stunnel, http-tunnel, etc
 Courriel Web (Web mail)
 Logiciels de messagerie instantanée
 Logiciel de partage d'agenda et de messagerie
 Logiciels basés sur les Web Services
 Logiciels poste à poste (P2P:Peer-toPeer)
Afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu

et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les
tentatives d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une veille
de sécurité afin de modifier le paramétrage de son dispositif en fonction de la publication
des alertes.
Un firewall n’assure pas à lui seul la sécurité des réseaux informatiques, il ne couvre pas
tous les risques tel que la confidentialité des données, l'intégrité des informations, les
attaques internes,… et doit être à cet effet accompagné par d’autres techniques de sécurité
qui permettent d’assurer la détection des anomalies.
2.3 – La détection des anomalies
Généralement, une attaque sur le système d’information se manifeste par des anomalies de
gestion et de fonctionnement. A cet effet, il convient au préalable d’identifier l’activité
normale de l’entreprise, c’est à dire les types de flux autorisés ainsi que les configurations
associées, pour ensuite identifier les anomalies subies. La détection des anomalies est faite
grâce à une surveillance rigoureuse du système d’information associée à des outils de
gestion dédiés.
_______________________________________82________________________________
2.3.1 – La surveillance du système
La surveillance du système peut se faire au moyen des techniques suivantes :
Examiner les fichiers logs : Les équipements de sécurité ainsi que l’ensemble des serveurs
du réseau d’entreprise génèrent des traces (logs) permettant de retracer une partie de
l’activité du système. La surveillance de ces traces est souvent négligée. Elle est pourtant
essentielle pour détecter les incidents de sécurité en l’absence de dispositifs spécifiques de
détection ou de prévention d’intrusion.
Mettre en place une procédure périodique de consultation de certaines traces sur les
machines sensibles ou exposées, constitue un gage de sécurité.
Détecter les modifications de configuration : Une agression sur un système d’information

se caractérise par la modification non autorisée des paramètres de configuration ou de
fichiers système. Ces opérations indues peuvent être détectées facilement par le contrôle
régulier et automatisé de l’intégrité des fichiers spécifiés. Le logiciel open source Tripwire
permet par exemple de réaliser ce type de contrôle. Il sera essentiel de limiter l’usage du
contrôle d’intégrité à un nombre réduit de fichiers sensibles pour conserver l’efficacité du
dispositif.
Détecter les vulnérabilités du réseau : Les vulnérabilités des matériels et logiciels

composant le réseau peuvent être détectées à l’aide d’outils de détection appelés scanners de
vulnérabilités.
Ces scanners sont généralement des logiciels à installer sur les postes de travail connectés
au réseau, et qui permettent d’une part de tester les ports ouverts de tous les postes de travail
et d’autre part de renseigner sur la liste des mises à jour de sécurité à installer.
2.3.2 – Les systèmes de détection d’intrusion
Les systèmes de détection d'intrusion (IDS) et les systèmes de détection et de prévention de

l'intrusion (IDP/IPS), fournissent un complément de sécurité nécessaire aux pare-feu en leur
permettant d’offrir une analyse plus intelligente des transmissions de paquets d’informations
sur le réseau.
Les IDS sont chargés de distinguer les activités normales des activités parasites et/ou
malveillantes en vue de détecter les entrées autorisées et les intrusions et d’en alerter les
utilisateurs du réseau.
_______________________________________83________________________________
En fonction de leur réactivité aux attaques, les IDS se classent en:
 IDS passifs: ils génèrent simplement des alarmes en cas d'attaques (enregistrées
dans un fichier de logs, envoyées par mail, par SMS, etc.);
 IDS actifs: ils génèrent des alarmes, et déclenchent un processus de défense
contre l'attaque.
Les IDS actifs ont ainsi évolué vers les produits IDP/IPS (Intrusion Detection and
Prevention/Intrusion Prevention System). Toutefois, leur utilisation nécessite des
compétences techniques élevées du fait de leur complexité et du risque de provoquer de
fausses alertes, et sont de ce fait en général utilisés par le personnel de service de sécurité
informatique dans les grandes entreprises.
Les IDS peuvent également porter sur le réseau interne de l’entreprise en permettant de
détecter les tentatives d’intrusion internes et les manipulations non autorisées, telle que
l’installation non autorisée d’un logiciel, l’utilisation des postes de travail dans des horaires
inhabituelles, un mot de passe qui échoue à plusieurs reprises...
Une bonne politique de sécurité suppose la mise en place d’un IDS interne et d’un IDS
externe.
2.4 – La sécurité des réseaux WiFi
Les réseaux sans fil offrent des avantages importants liés à la simplicité et au coût réduit de
leur installation et à la facilité et l’étendue de l’utilisation permise aussi bien au personnel
interne dans l’entreprise qu’au personnel appelé à se déplacer. Ces avantages sont toutefois
compromis par les risques importants associés à cette technologie, dont la vulnérabilité aux
attaques dépasse sensiblement les réseaux filaires.
2.4.1 – Vulnérabilités des réseaux WiFi
Les vulnérabilités des réseaux sans fil sont importantes. En effet, les intrusions sur les
réseaux ou les équipements sans fil sont difficilement contrôlables du fait que tout
équipement muni d’une interface radio peut accéder au réseau WiFi sans disposer des
autorisations nécessaires. De même, la borne d’accès WiFi couvre un périmètre de plus de
_______________________________________84________________________________
100 mètres, ce qui la rend accessible au-delà du périmètre physique de l’entreprise et

augmente le risque d’intrusion.
Le contrôle d’accès physique ne pouvant pas être garanti, la sécurité informatique des
réseaux sans fil repose sur la qualité des contrôles d’accès logique. En effet, les données
échangées par voie hertzienne pouvant être facilement interceptées par toutes personnes
présentes dans la zone d’émission, seules les techniques de chiffrement des communications
parviennent à contourner cette vulnérabilité.
Les dénis de service constituent un risque important pour les technologies sans fil.
2.4.2 – Les solutions de sécurité
La mise en place d’un réseau sans fil nécessite des dispositifs de sécurité supplémentaires
par rapport à celles utilisées dans le cas d’un réseau filaire.
Les standards de normes radio 802.11 prévoient deux techniques de sécurité dédiées aux
réseaux sans fil, à savoir le WEP (wired equivalent privacy) et le WAP (WiFi protected
access), basés sur le principe de cryptographie des données transmises à l’aide de clés
partagées secrètes. Le WAP permet l’authentification des utilisateurs du réseau sans fil
grâce à un protocole EAP (extensible authentification protocole) et une authentification
établie sur le numéro de port au moyen du 802.1x48 .
A coté de ces techniques propres à WiFi, l’utilisation du système de cryptage et de protocole

de sécurité IPsec, qui associé à la création des canaux VPN entre les clients WiFi et les
points d’accès, permettent de sécuriser les échanges de données à travers les réseaux sans
fil.
PARAGRAPHE 3 : SECURITE DES TELECOMMUNICATIONS
Une nouvelle forme de communication offerte par l’utilisation des technologies de

l’information, et principalement du réseau Internet, s’est rapidement propagée dans les
entreprises. Fini les supports papiers facilement sécurisés, une grande partie des
informations est aujourd’hui stockée sur des ordinateurs et véhiculée au moyen des
échanges électroniques de données.
48
Joe HABRAKEN et Matt HAYDEN « Les réseaux » édition compus press- 2004
_______________________________________85________________________________
Ces informations se trouvent ainsi exposées à des risques de vol, de détournement, de

modification et de destruction aussi bien au niveau des supports de stockage, qu’au moment
de leur transfert. Une information qui transite sur le web peut être interceptée, modifiée ou
exploitée pour nuire aux intérêts de l’émetteur, en particulier lorsqu’il s’agit d’opérations de
commerce électronique sur le Web.
Si la sécurité des informations stockées, se trouve assurée par les techniques précédemment
exposée, la sécurité de transfert électronique de données exige de nouveaux moyens de
sécurité.
3.1 – Passage au mode sécurisé
Une technique primaire pour sécuriser les échanges électroniques de données sensibles
consiste à passer du mode standard sur Internet au mode sécurisé. Ce changement est visible
par la mention «https» dans la barre de navigation, accompagnée éventuellement d’un
cadenas en bas à droite du navigateur, qui permet de chiffrer l’échange électronique pendant
son transfert entre l’expéditeur et le destinataire, empêchant ainsi quiconque de le lire.
La sécurité des échanges électroniques de données sensibles nécessite la mise en place de

techniques de sécurité avancées, à savoir les techniques de chiffrement, la signature
numérique et la biométrie.
3.2 – Le chiffrement
Le chiffrement consiste à traiter une information par un procédé mathématique, de façon à

la rendre incompréhensible, seules les personnes possédant la clé appropriée puissent
rétablir, lire et traiter ladite information49.
Pour chiffrer un message en clair, on applique un algorithme de chiffrement au texte de ce

message pour le rendre incompréhensible. Pour le déchiffrer, on applique un algorithme de
déchiffrement au texte chiffré.
49
Guide de sensibilisation à la sécurisation du système d’information- MEDEF- direction de l’innovation et de
la recherche.
_______________________________________86________________________________
Les algorithmes sont de deux types en fonction de clefs de chiffrement et de déchiffrement

utilisées (clef publique ou clef privée) :
 Algorithme symétrique : la même clé est utilisée pour chiffrer et déchiffrer

l’information. Le problème de cette méthode est qu’il faut trouver un moyen de
transmettre de manière sécurisée la clé à son correspondant. L’inconvénient
majeur de la méthode de chiffrement symétrique est qu’elle ne garanti ni la
confidentialité, ni l’authenticité des données, toute personne disposant de la clé
publique peut les lire et on ne peut pas s’assurer de l’identité de la personne qui les
a émises.
 Algorithme asymétrique : ce n’est pas la même clé qui crypte et décrypte les
messages. L’utilisateur possède une clé privée et une clé publique. Il distribue sa
clé publique et garde secrète sa clé privée. Dans ce type d’application, tout le
monde peut lui écrire en utilisant la clé publique, mais seul l’utilisateur destinataire
pourra décrypter et donc lire le message avec sa clé privée. La cryptographie
permet ici d’assurer la confidentialité des informations transitant sur un réseau, les
données sont uniquement portées à la connaissance des personnes autorisées.
Le chiffrement asymétrique présente d’une part, l’inconvénient de mettre la clé publique

d’un utilisateur à la disposition de « tout le monde ». D’autre part, tout en favorisant la
confidentialité des données, cette technique ne résout pas le problème d’authentification.
Le PGP (Preti Guo Privacy) est actuellement le système le plus employé pour le chiffrement
du courrier électronique, il consiste à crypter des données au moyen d’une clé publique et à
les déchiffrer à l’aide d’une clé privée50.
3.3 – La signature numérique
La signature digitale est le résultat d’une fonction de hachage à sens unique sur un fichier ou
texte, elle présente les propriétés suivantes :
 Elle prouve l’identité du signataire car elle ne peut être imitée ;
 Elle ne peut être réutilisée (elle est spécifique à un seul document)
 Le document signé ne peut être partiellement ou complètement modifié.
50
www.zeix.ch
_______________________________________87________________________________
La caractéristique essentielle de ce mécanisme réside dans le fait que la signature ne peut

être produite qu’en utilisant la clé privée du signataire. Certains systèmes offrent ces
services afin de protéger l’expéditeur et/ou le récepteur d’information. Un algorithme
asymétrique peut être employé comme signature digitale pour garantir qu’une entité
spécifique a créé un objet ou a exécuté une action spécifique. La signature peut être aussi un
message chiffré avec un algorithme asymétrique où la clé de chiffrement est connue
seulement par l’entité elle-même.
Combiner la signature électronique et le chiffrement permet d’atteindre les objectifs de

sécurité de transfert de l’information. A savoir :
 L'authentification : en demandant à la machine de l'utilisateur de coder un mot

choisi au hasard avec sa clé privé. Si le décodage avec la clé publique restitue le
mot, on est " sûr " que c'est bien le couple bonne carte (clé privé) et bon
utilisateur (code à 4 chiffres) qui a permis cette opération.
 L'intégrité des données est obtenue par l'ajout automatique d'un petit message
calculé à partir des données envoyées. Ce message est codé avec la clé privée de
l’émetteur. Le destinataire décode le message avec la clé publique de l'émetteur
disponible dans l'annuaire. Toute modification intentionnelle ou accidentelle des
données ou d'intégrité du message est détectée par le destinataire du message.
 La confidentialité est obtenue en chiffrant le message entier avec la clé
publique du destinataire, lui seul pourra décoder le message avec sa clé privée.
 La non répudiation est garantie en demandant à l'émetteur de signer avec sa
clé privée, il est seul à pouvoir le faire et tous les destinataires pourront le
vérifier avec sa clé publique.
3.4 – Les réseaux virtuels privés VPN
Un VPN (Virtual Private Network) est un service qui permet d'établir des connexions
sécurisées entre des réseaux privés sur un réseau public comme l'Internet.
Les VPN sont utilisés par les entreprises de grandes tailles qui ont besoin de se connecter
sur des longues distances. Le recours aux VPN permet l'économie de connexions directes
coûteuses entre les différentes implantations de l'entreprise, l'accès Internet lui servant à la
fois pour la consultation classique de sites web et pour son réseau privé.
_______________________________________88________________________________
Les données qui transitent sur un VPN sont communiquées à travers un tunnel privé et sont
cryptées afin d’assurer la sécurité des transmissions.
Cette technologie présente l’avantage d’être sécurisée et d’offrir une rapidité de connexion
plus importante que si on utilisait des connexions classiques pour accéder au réseau de
l’entreprise. Toutefois, il convient de signaler que la mise en place de technologies VPN
nécessite une forte expertise et une bonne compréhension de la sécurité informatique
associée.
3.5 – La biométrie
La biométrie est une technique en voie d’expansion, qui consiste à mesurer l’un des
caractéristiques personnelles du corps humain afin de l’identifier et de garantir les objectifs
de sécurité rattachés aux échanges électroniques de données. Cette technique peut reposer
sur les éléments suivants par exemple :
 La reconnaissance des empreintes digitales ;
 L’analyse de la rétine ;
 La reconnaissance de la voix…
PARAGRAPHE 4 : SECURITE DES DONNEES
Vu la potentialité et l’importance des risques encourus par les systèmes informatiques, les
données et applications doivent être sauvegardées afin de pouvoir être récupérées en cas de
réalisation d’un risque donnant lieu à la destruction ou la perte de ces données.
Une politique appropriée de sauvegarde et de restauration des données et applications

informatiques se base sur la définition de types de fichiers à sauvegarder en fonction de
l’importance rattachée (fichiers utilisateurs, fichiers serveur, emails, bases de données..), de
la fréquence et des lieux de sauvegardes et des moyens de stockage.
4.1 – Types de sauvegarde
La sauvegarde des données diffère de la fonction « enregistrer » disponible dans la barre

d’outils, il s’agit d’une politique devant fixer pour chaque information une fréquence de
stockage appropriée, un support distinct des postes de travail et un lieu de stockage.
_______________________________________89________________________________
Une sauvegarde quotidienne est considérée comme étant nécessaire pour assurer la mise à la
disposition de l’entreprise de la dernière version des données modifiées. Cette sauvegarde
journalière peut être accompagnée par des sauvegardes spécifiques pour les données
sensibles de l’entreprise.
La sauvegarde peut être de plusieurs types :

 La sauvegarde complète consiste à réaliser une copie physique de toutes les
informations. Cette méthode est jugée très sure de point de vue de conservation de
données, mais elle est longue à réaliser ;
 La sauvegarde différentielle procède à l’enregistrement unique des données
modifiées depuis la dernière sauvegarde complète ;
 La sauvegarde mixte est une technique combinée entre la sauvegarde complète et
différentielle, elle se base sur la logique suivante :
1. Une sauvegarde journalière différentielle, dont le support peut être
formaté et réutilisé une autre fois (la semaine prochaine);
2. + Une sauvegarde complète en fin de la semaine, dont le support peut
être formaté et réutilisé le mois prochain ;
3. + Une sauvegarde mensuelle, à garder une année ;
4. +Une sauvegarde complète à chaque intervention technique sur un poste
ou un serveur.
 La sauvegarde incrémentale procède uniquement à la sauvegarde des informations
qui ont été modifiées depuis le dernier enregistrement sur le support de sauvegarde.
 La sauvegarde réseau consiste pour les ordinateurs qui travaillent en réseau, de
dédier un ou plusieurs serveurs sur le réseau pour assurer la sauvegarde de données
de tous les postes du réseau.
4.2 – Techniques de sauvegarde
En matière de techniques de sauvegarde, on distingue entre sauvegarde classique et

sauvegarde distribuée.
Les sauvegardes classiques ou DAS (direct attached system) sont des sauvegardes réalisées
à l’aide de supports tels que les disquettes, les ports USB, les bandes magnétiques, le
disque dur interne ou externe….Les sauvegardes peuvent également être réalisées à l’aide
d’outils proposés par le système d’exploitation lui-même, il est néanmoins recommandé
d’utiliser des logiciels spécifiques de sauvegarde.
_______________________________________90________________________________
Les sauvegardes distribuées ou encore les réseaux de stockage, par opposition au stockage
des réseaux, réside dans des systèmes qui exploitent les espaces disques inutilisés des
machines reliées en réseau pour effectuer des sauvegardes multiples. Il peut s’agir d’un
réseau Internet et dans ce cas on parle du NAS (Network Attached Storage) ou d’un réseau
dédié tel que le SAN (Storage Area Network).
Le réseau utilisé par le NAS est un réseau IP (de type Ethernet) qui permet de mutualiser les
données stockées sur les serveurs de fichiers reliés entre eux par le LAN (Local Access
Network) de l'entreprise. Dans le cas du SAN, il s’agit d’un réseau physique, le plus souvent
constitué par des câbles en fibre optique, permettant la mise en relation des serveurs avec
des baies de disques qui stockent des données routées et hiérarchisées via des
commutateurs. Ainsi, le SAN constitue en lui-même un réseau dédié au stockage, offrant
ainsi des possibilités de stockage nettement supérieures à celles du NAS51.
La technique du SAN offre les sécurités et les disponibilités de restauration optimales,

toutefois elle nécessite la mise en place d’un matériel lourd (serveurs, commutateurs ou
routeurs et baies de disques issues de constructeurs différents) et présente ainsi un coût
élevé. Cette technique est conseillée pour les grandes entreprises, pour les PME/PMI
l’utilisation d’un NAS peut s’avérer suffisante.
4.3 – Les lieux de stockage
Dans le cas des sauvegardes classiques, les supports de sauvegarde doivent être gardés dans
des lieux sûrs et dans des armoires ignifuges. Les supports de sauvegardes mensuelles et
annuelles sont à sauvegarder en dehors de la société, les sauvegardes hebdomadaires sont
conservées dans des lieux les plus éloignés possibles de leurs sources.
La tâche de gestion de l’archivage des copies de sauvegarde incombe à l’administrateur du

système ou au responsable sécurité.
Le responsable sécurité doit également procéder périodiquement à la réalisation de tests de

restauration des données archivées et de contrôle régulier du journal de sauvegarde afin de
s’assurer qu’aucune anomalie n’a perturbé les opérations de sauvegarde.
51
Antoine CROCHET « système de stockage, quelques critères de choix » www.journaldunet.com
_______________________________________91________________________________
Une autre forme de gestion des sauvegardes, consiste à externaliser cette fonction auprès
d’un prestataire de service. La sauvegarde à distance présente l’avantage de libérer
l’entreprise de la gestion des supports physiques de sauvegarde et de la charge de travail s’y
rattachant.
PARAGRAPHE 5 : SECURITE DES APPLICATIONS
Les applications de gestion ou de production utilisées par une société constituent son
cerveau et son facteur clé de succès. Une gestion optimale des sécurités liées aux
applications informatiques diffère selon qu’il s’agit d’une application développée en interne
ou d’une application achetée.
5.1 – Sécurité d’une application interne
Une entreprise qui fait recours à ses services internes pour réaliser des études, doit prévoir
une organisation rigoureuse afin d’éviter le risque lié à l’unicité des compétences qui peut se
matérialiser par un risque de fraude lorsqu’une seule personne possède la maîtrise complète
d’une application, ou un risque de perte d’exploitation due au non fonctionnement d’une
application suite à une absence volontaire ou involontaire d’une personne clé, ou enfin le
risque de sabotage d’une application en cas de conflit social. A tout cela s’ajoute le risque
financier engendré par les frais de maintenance supplémentaire voire de re-développement
des applications en cas de réalisation d’un risque et de l’absence du responsable de
développement.
Pour prévenir ces risques, il convient de mettre en place un ensemble de règles de gestion,
qui traitent de l’organisation de travail, des méthodologies de développement et de la
maintenance des applications.
5.1.1 – Organisation de travail
Il est conseillé lors de la mise en place de travaux d’études en vue de développer une ou
plusieurs applications en interne de prévoir une organisation de travail basée sur les règles
de gestion suivantes :
_______________________________________92________________________________
 Répartir les tâches d’analyse, de programmation, de maintenance et d’exploitation

entre plusieurs personnes et assurer une permutation entre ces personnes en
fonction du projet réalisé (gestion par projet);
 Prévoir un « reporting » périodique des activités au niveau du service études pour
favoriser la vulgarisation des informations ;
 Procéder à des audits des applications développées ;
 Soumettre les travaux de développement des applications à des plannings pré-
établis fixant la distribution des responsabilités, le planning des tâches et le suivi
des travaux ;
 Matérialiser tous les travaux d’études, de développement et de maintenance par une
documentation standardisée ;
 Les études réalisées doivent s’inscrire dans le cadre d’un schéma directeur
informatique de la société.
5.1.2 – La méthodologie
Le développement des applications au sein du service des études doit répondre à une
méthodologie claire et uniforme afin de s’assurer que tout le personnel du service études
« parle le même langage avec la même formalisation ».
Une méthodologie préétablie évite à la société les coûts de non qualité liés au non respect
des délais prévus pour le développement des applications, des applications inadaptées aux
besoins exprimés, des travaux de maintenance et enfin une fréquence élevée de
modifications apportées aux applications qui peut mener jusqu’à la réécriture des
programmes.
De ce fait, la méthodologie de conduite de projets et de développement doit respecter les

conditions suivantes :
 Existence d’un contrat entre le service études et le service utilisateur précisant

clairement le besoin exprimé, le coût du projet et les délais de réalisation prévus ;
 Les différentes activités relatives à la réalisation du projet sont enregistrées et
valorisées ;
 Définition des normes standards d’analyse, de programmation, de documentation et
de tests : langage imposé, structure des programmes,….
_______________________________________93________________________________
 Dossiers d'analyse, de programmation et de tests bien documentés et rangés ;

 Environnement de test distinct de l’environnement de production ;
 Conservation des résultats des tests ;
 Définition des contrôles programmés pour détecter les erreurs au niveau des
applications ;
 Participation de l’auditeur à la conduite des tests.
5.1.3 – La maintenance
Le développement et l’exploitation continue d’une application rendent nécessaire le besoin

de lui apporter des modifications pour résoudre des problèmes soulevés ou pour ajouter des
fonctions supplémentaires.
Ainsi, les travaux de maintenance doivent être menés selon une démarche qui permet de
respecter les mesures de contrôle interne suivantes :
 Procédures de maintenance écrites, connues et appliquées ;

 Suivi du taux de maintenance des applications ;
 Consignation des demandes de maintenance et de modification des applications ;
 Modifications documentées dans les dossiers de développements et des
programmes ;
 Validation des résultats des modifications par les utilisateurs et en utilisant le jeux
de tests comme dans le cas de développement initial.
5.2 – Sécurité d’une application externe
Lors de l’acquisition et de la réception d’une application développée en externe, il convient

de vérifier les éléments clés suivants :
 L’entreprise dispose du code source de l’application achetée ;

 La documentation relative à l’utilisation de l’application existe ;
 L’application est sécurisée par un système d’identification et d’authentification ;
 L’application dispose de moyens d’administration permettant de gérer les
autorisations ;
 L’application est équipée d’un logiciel (mouchard) permettant d’enregistrer les
différentes interventions au moment de son utilisation ;
 Le contrat d’acquisition prévoit la maintenance et la mise à jour de l’application.
_______________________________________94________________________________
PARAGRAPHE 6 : LES ASSURANCES INFORMATIQUES
A l’inverse des autres techniques de sécurité qui constituent des facteurs préventifs,
l’assurance n’intervient qu’après la survenance du sinistre et ce en terme d’indemnisation
financière du préjudice subi. A cet effet, elle est considérée comme étant un moyen de
protection en assurant à la société la couverture des pertes pécuniaires résultant d’un
sinistre. Elle doit être appréhendée de manière cohérente avec les autres moyens de sécurité
afin de déterminer la nature des risques à couvrir par les assurances.
Les risques informatiques généralement couverts par les compagnies d’assurances découlent
des deux grands types de dommages suivants :
 Les dommages matériels dus à des évènements accidentels, à l’exclusion des

pannes et des erreurs ;
 Les dommages immatériels découlant des détournements, fraude, escroqueries,
sabotages immatériels.
_______________________________________95________________________________
CONCLUSION PREMIERE PARTIE
Le système d’information sécurisé à cent pour cent par son pare-feu, sa passerelle antivirus
et sa sonde de détection d’intrusions à l’entrée du réseau ? Un mythe52…
Les vulnérabilités et les risques informatiques sont illimités, les virus se succèdent rendant
inefficace un antivirus récemment mis en place, les connexions Internet laissent la porte
ouverte aux hackers pour l’exploitation des vulnérabilités des systèmes, les hackers ne
cessent de harceler nos systèmes informatiques au moyen des pourriels, phishing….
Les menaces informatiques sont difficiles à gérer, notamment du fait du manque global
d'éducation en la matière. De plus:
 Les architectures informatiques peuvent être complexes ;

 Les comportements des utilisateurs sont souvent difficiles à prévoir ;
 Les équipements courants, les logiciels du commerce, les réseaux ouverts offrent
en général peu de garanties ;
 Les polices d'assurances ne sont pas suffisamment adaptées.
 Les vulnérabilités des systèmes sont illimitées et les risques sont évolutifs.
Face à cette situation, la prise de conscience des risques informatiques et de “ce qu’il faut
faire et ce qu’il ne faut pas faire pour se protéger”, constitue la meilleure solution pour se
prémunir contre les risques et d’agir correctement en cas de survenance d’un sinistre.
Une protection absolue n’existe pas, de même une protection assurant un niveau de sécurité
élevé peut présenter un coût élevé pour les PME. L’essentiel est de déterminer, compte tenu
de la valeur des actifs et données à protéger, des menaces potentielles et de la probabilité
d’occurrence des risques, la politique de sécurité à mettre en place.
52
« Sécurité : maîtriser les risques internes », le monde informatique n°1068, avril 2005
_______________________________________96________________________________
Pour être efficace, cette politique de sécurité doit être permanente et constamment à jour
pour remédier aux vulnérabilités découvertes et garantir la fiabilité des traitements et
données issus des systèmes informatiques. D’où le besoin de procéder au contrôle des
sécurités informatiques en place.
Dans un contexte caractérisé par une dépendance accrue à l’outil informatique, une
dématérialisation de l’information et une automatisation des contrôles, il devient impératif
pour l’auditeur financier d’examiner les systèmes informatiques et les sécurités en place en
vue d’émettre une opinion sur la régularité et la sincérité des états financiers. Ainsi, l’audit
des sécurités informatiques s’avère une nécessite dans le processus de l’audit financier. De
même, cet audit peut être réalisé par l’expert comptable dans le cadre de ses travaux de
conseil et d’organisation auprès des entreprises.
C’est ainsi que la deuxième partie de ce mémoire sera consacrée à l’examen de l’audit de la
sécurité informatique dans l’objectif de proposer une démarche d’audit de la sécurité
informatique à mettre à la disposition des experts comptables.
_______________________________________97________________________________
DEUXIEME PARTIE :
PROPOSITION D’UNE DEMARCHE D’AUDIT
DE LA SECURITE INFORMATIQUE POUR L’EXPERT
COMPTABLE
_______________________________________98________________________________
INTRODUCTION DEUXIEME PARTIE
La sécurité informatique relève de nos jours une importance capitale, justifiée d’une part par
l’utilisation accrue de l’outil informatique, la mondialisation des transactions, la révolution
des technologies de l'information, les contraintes réglementaires… Et d’autre part, par
l’importance des risques associés à l’informatique et leurs conséquences parfois
dommageables à l’entreprise.
A cet effet, on assiste aujourd’hui, aussi bien sur le plan national qu’international, à une
médiatisation poussée de la cybersécurité et de la gestion de risque accompagnée par des
journées de sensibilisation, des cycles de formation et des séminaires d’initiation qui font
ressentir le besoin de procéder à un audit des moyens organisationnels et techniques de
gestion de la sécurité au sein de l’entreprise.
Dans ce cadre, le rôle de l’expert comptable, principal conseiller de l’entreprise, est modifié
à double sens. D’abord, dans le cadre de sa mission d’audit financier, l’expert comptable est
amené à examiner les sécurités informatiques offertes par le système de contrôle interne en
vue de s’assurer de la régularité et la sincérité des états comptables générés par les
traitements automatisés et de la continuité d’exploitation de l’entreprise.
En suite, une nouvelle opportunité de conseil et d’assistance aux entreprises est offerte à
l’expert comptable en terme de sensibilisation aux risques informatiques, d’évaluation des
politiques de sécurité, de recommandation de solutions de sécurité à mettre en place….
Dans un cadre nécessitant en plus des compétences en matière d’audit, des connaissances
informatiques approfondies, l’expert comptable est amené à adapter sa démarche en vue de
prendre en considération les aspects liés à l’informatique et leurs incidences sur les risques
d’audit.
_______________________________________99________________________________
La deuxième partie de ce mémoire est ainsi consacrée à la proposition d’une démarche

d’audit de la sécurité informatique par l’expert comptable, assortie de la présentation d’un
ensemble de bonnes pratiques de sécurité, qui peuvent contribuer à la réalisation des
missions de l’expert comptable.
Le premier chapitre traite de la définition du concept de l’audit de la sécurité informatique

et du rôle de l’expert comptable dans la réalisation d’une telle mission.
Le deuxième chapitre est consacré à la présentation d’une proposition de démarche d’audit

de la sécurité informatique par l’expert comptable, et des bonnes pratiques de sécurité
informatique pouvant être exploitées par le professionnel dans le cadre de ses interventions
d’audit et de conseil en vue d’accroître la valeur ajoutée de sa mission et la conviction des
clients.
_______________________________________100________________________________
CHAPITRE 1 : AUDIT DE LA SECURITE INFORMATIQUE

ET ROLE DE L’EXPERT COMPTABLE
Dans la discipline informatique relativement récente, l’audit en général n’est apparu que
vers les années soixante dix. L’audit de la sécurité informatique quant à lui cherche encore
du chemin et souffre de l’absence de normes, littératures et référentiels propres. A cet effet,
l’examen de l’audit de la sécurité informatique réalisé par un expert comptable, sera étudié
dans le cadre des normes traitant des révisions des comptes dans un milieu informatisé.
SECTION 1 – INTRODUCTION A L’AUDIT DE LA SECURITE INFORMATIQUE
PARAGRAPHE 1 : DEFINITION ET OBJECTIFS DE L’AUDIT DE LA SECURITE
INFORMATIQUE
1.1 – Définition
Une mission d’audit de la sécurité informatique peut être définie comme « une mission
d’évaluation de conformité de la situation existante par rapport à une politique de sécurité
préétablie, à une norme de sécurité ou à un ensemble de règles de sécurité »53.
Cette définition semble généraliste et vaste d’application, d’où le besoin de l’associer aux
objectifs spécifiques dédiés à la mission pour avoir une définition claire. Dans ce cas, on
peut aboutir à plusieurs types d’audit dont principalement l’audit stratégique,
organisationnel ou purement technique.
53
Alaedine Barouni, Séminaire de formation « Audit de la sécurité informatique », Softway Tunisie, 26 et 27
avril 2006
_______________________________________101________________________________
D’abord, un audit stratégique s’adresse à la direction générale, il s’attache aux concepts de

sécurité mis en place par l’entreprise, à leur homogénéité, et porte donc essentiellement sur
l’appréciation de la politique de sécurité choisie par l’entreprise et son adéquation avec les
normes et référentiels en la matière. Cette forme d’audit est beaucoup plus adaptée aux
entreprises de grandes tailles ou groupes de sociétés qui disposent d’une politique de
sécurité et qui cherchent à la valider ou l’améliorer.
En suite, au cours d’un audit organisationnel, l’auditeur informatique doit porter un avis sur
l’application de la politique de sécurité au sein de l’entreprise. Plus généraliste, cet audit
s’adresse aux responsables et aux utilisateurs, il vise à identifier les erreurs d’application de
la politique de sécurité arrêtée.
En fin, l’audit technique consiste lui à analyser les technologies choisies et mises en œuvre
par l’entreprise en vue d’atteindre les objectifs de sécurité, il peut être plus spécifique en
cherchant à valider une architecture de sécurité, réaliser des tests de vulnérabilité, valider un
site e-business…. Il concerne les informaticiens de l’entreprise et exige de la part de
l’auditeur des connaissances techniques avancées et constamment à jour.
En pratique, l’audit de la sécurité informatique peut être réalisé dans un cadre légal d’une
mission de commissariat aux comptes ou dans le cadre d’une mission spécifique.
Egalement, il peut faire l’objet d’un audit spécifique ou s’intégrer dans un audit plus général
de la qualité des systèmes d’informations, dans ce cas, la sécurité constitue un domaine
fondamental de l’audit informatique, au même titre que les performances techniques
(adéquation des matériels et logiciels aux besoins de l’entreprise) ou l’efficacité
fonctionnelle (capacité de l’outil à réaliser les objectifs attendus en fonction des
contraintes).
Réalisé dans le cadre d’une mission d’audit financier, l’audit de la sécurité informatique
s’intéresse aussi bien à l’aspect organisationnel et stratégique de la sécurité qu’à l’aspect
technique pouvant avoir une incidence sur la fiabilité du système de contrôle interne et sur
les risques de l’entreprise (risque inhérent et risque de contrôle).
_______________________________________102________________________________
1.2 – Objectifs de l’audit de la sécurité informatique
L’objectif d’un audit de la sécurité informatique diffère selon qu’il s’agisse d’une mission
d’audit de la sécurité réalisé dans le cadre d’un audit financier ou à l’occasion d’une mission
d’audit spécifique.
Dans le premier cas, l’objectif de la mission est de s’assurer que les moyens mis en place
par l’entreprise permettent d’atteindre les objectifs généraux d’un système de contrôle
interne efficace, à savoir :
 L’autorisation : les moyens de sécurité en place doivent permettre de s’assurer

que l’accès aux données et aux systèmes est limité aux seules personnes
autorisées ;
 L’authentification : c’est la qualité d’un bon système de sécurité informatique qui

permet de confirmer l’identité de tout utilisateur qui a accéder à l’information et de
retracer les opérations sensibles effectuées par eux ;
 La confidentialité : les informations importantes ayant une valeur confidentielle

doivent être protégées contre tous les risques de divulgations non autorisées ;
 La disponibilité : des contrôles doivent être mis en place pour garantir que les
données et les systèmes soient disponibles pour les besoins d’exploitation de
l’entreprise, de contrôle, de respect de la réglementation fiscale… ;
 L’intégrité : l’auditeur doit s’assurer que les mesures de sécurité mises en place
permettent de garantir que les données ne subissent aucune altération ou
destruction au moment de saisie, de traitement, de communication et de
conservation.
D’une manière générale, la norme ISA 31554 précise que «du point de vue de l’auditeur, les
contrôles relatifs aux systèmes informatiques sont efficaces quand ils assurent l’intégrité du
traitement de l’information et la sécurité des données traitées par de tels systèmes ».
54
ISA 315 : connaissances de l’entité et de son environnement et évaluation du risque d’anomalies
significatives.
_______________________________________103________________________________
Dans le cas d’une mission spécifique d’audit de la sécurité informatique, l’objectif principal
est de répondre aux préoccupations concrètes de l’entreprise, notamment ses besoins en
sécurité, en déterminant les déviations par rapport aux bonnes pratiques et en proposant des
actions d’amélioration permettant d’assurer d’une part la sécurité au quotidien et la
disponibilité du système d’information en cas de survenance d’un sinistre et en proposant
les plans de secours adaptés.
1.2.1 – Objectif de sécurité au quotidien
La mission d’audit de la sécurité informatique permet de s’assurer de la sécurité

d’exploitation quotidienne du système informatique sous ses différents aspects. La mission
doit aboutir à l’identification de l’ensemble des risques encourus par l’entreprise et l’état
actuel de protection du système d’information.
Pour chaque risque non ou mal couvert, il convient de proposer les types d’équipements et
les procédures associées permettant de couvrir ces risques. Une notion de gravité et
d’incidence sur le risque inhérent doit être indiqué de façon à orienter les décideurs sur la
stratégie informatique à mettre en place en identifiant les actions court terme, moyen terme
et long terme en fonction des risques encourus et des budgets disponibles.
1.2.2 – Objectif de disponibilité
S’assurer de la disponibilité du système d’information constitue un objectif fondamental

d’une mission d’audit de la sécurité, en veillant à ce que l’entreprise mette en place les
mesures de sécurité nécessaires pour garantir la continuité d’exploitation même en cas de
sinistre majeur.
Cet objectif est atteint par l’examen du plan de secours prévu en cas de dysfonctionnement
grave ou de sinistre majeur. Il s’agit en fait d’identifier l’ensemble des moyens, techniques,
humains et organisationnels à mettre en oeuvre pour permettre à l’entreprise de redémarrer
son système d’information en cas de destruction ou de panne totale ou partielle des
matériels et/ou des locaux informatiques (incendie, vol, …), de gérer la période de
dysfonctionnement et d’assurer le retour normal d’exploitation.
_______________________________________104________________________________
1.2.3 – Autres objectifs
D’autres objectifs spécifiques peuvent être assignés à un audit de la sécurité informatique et

qui nécessitent parfois l’intervention de spécialistes en informatique du fait qu’ils requièrent
des connaissances techniques pointues. A titre d’exemple, on peut citer les objectifs
suivants :
 La validation des mesures de sécurité mises en œuvre (contrôle, suivi qualité);

 La validation des processus d'alertes et de réaction face aux sinistres en
déclenchant une simulation d'attaque logique ;
 La détection d'enjeux ou de lacunes " oubliées " ;
 La sensibilisation des utilisateurs, de la hiérarchie, des subordonnés aux risques
encourus.
PARAGRAPHE 2 : STRATEGIE NATIONALE EN MATIERE DE SECURITE
INFORMATIQUE
La fin des années quatre vingt dix a marqué l’instauration de la politique nationale dans le
domaine de la sécurité informatique. Cette politique est soutenue par la création de plusieurs
corps chargés de la sécurité informatique, dont notamment le Secrétariat d’Etat à
l’Informatique et à l’Internet55 (SEII), l’unité de développement de la sécurité informatique
au niveau du SEII, l’Agence Nationale de la Sécurité Informatique56 créée en vertu de la loi
2004-5 du 3 février 2004 et le Computer Emergency Response Team-Tunisian Coordination
Center (Cert-TCC)
L’importance accordée au domaine de la sécurité informatique constitue un corollaire

logique à la stratégie nationale orientée vers le développement du secteur des technologies
de la communication et de l’information, qui a conduit la Tunisie à proposer en 1998
l’organisation d’un Sommet Mondial sur la Société de l’Information (SMSI 2005).
Ainsi, parmi les recommandations issues du Sommet Mondial sur la Société de

l’Information57, figure "l’ancrage d’une culture mondiale de la Cybersécurité " comme un
thème d’importance primordiale. C’est ainsi d’ailleurs qu’à l'initiative de la Tunisie et sur
55
[email protected]
56
www.ansi.tn
57
www.infocom.tn : sécurité informatique
_______________________________________105________________________________
décision de l'assemblée générale de l'Organisation des Nations Unies (ONU), tenue le 22

mars 2006, qu’il a été décidé de célébrer le 17 mai de chaque année la Journée mondiale de
la société de l'information, dont le thème choisi pour la première année se rapporte à la
« cybersécurité ».
Dans le domaine de la cybersécurité, la Tunisie a œuvré dans le cadre de la protection des

infrastructures numériques par la mise en place de mécanismes de contrôle et de législation
fiable et par le renforcement de la coopération à l'échelle nationale et internationale entre les
différentes parties concernées (gouvernements, utilisateurs, développeurs,...), en vue de
promouvoir la sécurité de l'utilisation de l'Internet et d'établir un climat de confiance au
niveau de l'exploitation des réseaux de communication et d'informatique.
A ce titre Mme ghariani58 avance que « la Tunisie a adopté une politique avant-gardiste
dans ce domaine, à travers la création en 2004 de l'Agence Nationale de la Sécurité
Informatique, l'obligation de l'audit périodique pour les systèmes informatiques et les
réseaux, et l'incitation à la veille technologique. De même, ces mesures ont été
accompagnées d’un effort de règlementation, dont la promulgation d'une loi sur les
échanges et le commerce électronique (août 2000), le nouveau code des communications
outre la création des structures spécialisées dans la certification électronique et la
généralisation de l'utilisation d'Internet, ce qui a permis à la Tunisie d'occuper, selon le
Forum de Davos, le 36ème rang en matière de promotion des NTIC, sur une liste de 117
pays »59.
Ainsi, plusieurs journées de sensibilisation et des séminaires de formation ont été organisés
à l’initiative de l’Agence Nationale de la Sécurité Informatique, du Secrétariat d’Etat à
l’Informatique, à l’Internet et aux Logiciels Libres, des associations telles que le « sub
télécoms », l’Association Tunisienne des Auditeurs Internes…. dans le but de sensibiliser
les utilisateurs aux risques informatiques et aux mesures de sécurité à mettre en place.
Dans le même cadre, nous présentons dans ce qui suit les principales dispositions prises en
application de la stratégie nationale en matière de sécurité informatique.
58
Mme.Ghariani : Secrétaire d’Etat chargée de l’Informatique, de l’Internet et des Logiciels Libres
59
La presse du 18/05/2006 « ancrage d’une culture de la cybersécurité conformément aux recommandations
du SMSI »
_______________________________________106________________________________
2.1 – L’Agence Nationale de la Sécurité Informatique
L’Agence Nationale de la Sécurité Informatique a été créée par la loi 2004-5 du 3 février
2004, elle a principalement pour mission de :
 Veiller à l'exécution des orientations nationales et de la stratégie générale en

matière de sécurité des systèmes informatiques et des réseaux ;
 Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique

dans le secteur public à l'exception des applications particulières à la défense et à la
sécurité nationale et assurer la coordination entre les intervenants dans ce
domaine ;
 Assurer la veille technologique dans le domaine de la sécurité informatique ;
 Etablir des normes spécifiques à la sécurité informatique et élaborer des guides

techniques en l'objet et procéder à leur publication ;
 Œuvrer à encourager le développement de solutions nationales dans le domaine de

la sécurité informatique et à les promouvoir conformément aux priorités et aux
programmes qui seront fixés par l'agence ;
 Participer à la consolidation de la formation et du recyclage dans le domaine de la

sécurité informatique ;
 Veiller à l'exécution des réglementations relatives à l'obligation de l'audit

périodique de la sécurité des systèmes informatiques et des réseaux.
Parmi les actions entreprises par l’ANSI depuis la date de sa création, on cite tout d’abord la
mise à disposition des institutions publiques et privées d’un modèle de cahier de charge
pour les missions d'audit dans la sécurité des systèmes d’information et de
communication60, d’autres cahiers de charges pour l’acquisition de certaines composantes
nécessaires à la sécurité des systèmes d’information (firewall, antivirus, IDS…) sont en
cours de préparation. Elle a élaboré également un modèle de charte de sécurité type alors
que des chartes de sécurité pour entreprise et pour université sont en cours d’élaboration.
Enfin, elle a assuré l’ouverture de candidatures pour l’obtention du titre d’expert auditeur
dans le domaine de la sécurité informatique.
60
Disponible sur le site www.ansi.tn
_______________________________________107________________________________
2.2 – Audit obligatoire de la sécurité informatique
La loi 2004-5 du 3 février 2004, a promulgué l’obligation pour certaines entreprises

publiques et privés de procéder à un audit périodique de la sécurité des systèmes
d’information et des réseaux réalisé par des experts en audit du secteur privé certifiés par
l’ANSI61.
Le décret n°2004-1250 du 25 Mai 2004 a fixé les systèmes informatiques et les réseaux des
organismes soumis à l’audit obligatoire périodique de la sécurité informatique. Il stipule que
« les systèmes informatiques et les réseaux relevant des organismes publics sont concernés
par l’obligation d’audit périodique ainsi que les systèmes informatiques et réseaux des
organismes du secteur privé suivants :
1. Les opérateurs des réseaux de télécommunications publiques et les fournisseurs de

télécommunications et des services de l’Internet ;
2. Les entreprises dont les réseaux informatiques sont interconnectés à travers des
réseaux externes de télécommunications ;
3. Les entreprises qui effectuent le traitement automatisé des données personnelles de

leurs clients dans le cadre de leurs services à travers des réseaux de
télécommunications ».
Les organismes soumis à l’obligation d’audit doivent effectuer l’audit périodique de leur
système d’information au moins une fois par an. L’opération d’audit se déroule par le biais
d’une enquête sur le terrain basée sur les principaux éléments suivants :
1. Audit des aspects organisationnels et de la structuration de la fonction sécurité, ainsi

que du mode de gestion des procédures de sécurité et la disponibilité des outils de
sécurisation du système informatique et de leur mode d'utilisation ;
2. Analyse technique de la sécurité de toutes les composantes du système informatique,

avec la réalisation du test de leur résistance à tous les types de dangers (intrusion,
attaque…) ;
3. Analyse et évaluation des dangers qui pourraient résulter de l'exploitation des failles
découvertes suite à l'opération d'audit.
61
ANSI : Agence Nationale de la Sécurité Informatique
_______________________________________108________________________________
2.3 – Encourager la formation
Dans l’objectif d’assurer une formation pointue dans le domaine de la sécurité informatique,
la Tunisie a pris deux dispositions principales:
 La création d’un corps d’auditeurs certifiés par l’Agence Nationale de la Sécurité

Informatique ;
 Le lancement de plusieurs formations spécialisées dans la sécurité informatique

(DESS ISI-sup’com, DESS ENSI, formation CISCO, deux universités libres..) et
le renforcement de l’enseignement de la sécurité informatique dans le cursus
universitaire de base.
2.4 – Cert-TCC: Computer Emergency Response Team-Tunisian

Coordination Center:
Le centre d’appel Cert-TCC62 offre une assistance gratuite aux utilisateurs et aux
administrateurs des systèmes d'information dans le traitement des problèmes de sécurité
informatique. Il fournit et assure la disponibilité de la base logistique nécessaire pour la
mise à niveau des compétences nationales dans ce domaine.
Le Cert-TCC a pour principales missions:
 Fournir une mailing-list gratuite et instantanée notamment pour informer le grand

public et les professionnels des nouveautés et des annonces traitant des derniers
virus et failles découverts et ce, en spécifiant les solutions pour s’en protéger et
s’en débarrasser en cas d’infection. L’inscription à la mailing-list du Cert-tcc peut
se faire via un courrier électronique à l’adresse [email protected] (ou
[email protected]). A ce titre, le CERT-TCC a envoyé à titre gracieux 230
messages e-mail en 2005 à chacun de ses 6.200 abonnés63 ;
 Fournir de l’assistance technique aux utilisateurs et aux administrateurs au

domaine de la sécurité informatique via un numéro vert gratuit pour les citoyens
(80 100 267) et un centre d’appel pour les professionnels (71 843 200) disponibles
24h/24 et 7j/7 ou par courrier électronique à l’adresse « [email protected] » ;
62
Pour plus de détails, voir www.ansi.tn
63
www.lapresse.tn « l’audit périodique s’impose »
_______________________________________109________________________________
 Recueillir les déclarations d’incidents de sécurité et/ou d’attaques cybernétiques à

travers une Hot-line disponible 24h/24 et un courrier électronique à l’adresse cert-
[email protected] (ou [email protected]) pour toute déclaration confidentielle
d’incidents ;
 Informer la communauté nationale et régionale des incidents de sécurité (alertes

virales, vulnérabilités au niveau des produits, etc.) ;
 Sensibiliser la communauté nationale sur les problèmes de sécurité informatique et

les informer sur les risques encourus et sur les solutions et attitudes aptes à
renforcer la sécurité de leurs systèmes.
Toutefois, jusqu’à la date de préparation du présent mémoire aucune étude ou statistique

sur ce thème n’a été publiée par le Cert-TCC en informant par exemple sur le nombre de
sinistres déclarés, les types de sinistres, les coûts associés, les techniques de sécurité
utilisées….
SECTION 2 – INTERVENTION DE L’EXPERT COMPTABLE DANS LE ACDRE

DE L’AUDIT DE LA SECURITE INFORMATIQUE
PARAGRAPHE 1 : ROLE DE L’EXPERT COMPTABLE

L’expert comptable est considéré comme étant le partenaire principal des chefs
d’entreprises dans les domaines de gestion comptable, fiscal, social, des systèmes
d’information… Ces domaines d’intervention sont variés et évoluent dans le temps,
exigeant ainsi de la part de l’expert comptable, non seulement des connaissances
continuellement à jour en terme de gestion des entreprises, mais également des nouvelles
compétences et de nouveaux savoirs ciblés vers les systèmes d’informations et les
mécanismes de sécurité associés.
Pour assurer convenablement sa mission, l’expert comptable a besoin de renforcer d’une

part sa formation académique par des disciplines se rapportant aux technologies de
l’information et de la communication et aux mesures de sécurité permettant de réduire le
risque global de l’entreprise, et de veiller d’autre part à la constante mise à jour de ces
connaissances vu les évolutions rapides dans ce domaine.
_______________________________________110________________________________
A cet effet, le programme de formation des experts comptables établi par l’IFAC, intègre
outre les disciplines de comptabilité, de finances et de management, les technologies de
l’information et de la communication. De même, parmi les domaines de formation des
commissaires aux comptes exigés par la huitième directive européenne, on cite les
technologies de l’information et systèmes informatiques. En Tunisie, l’audit informatique
fait partie intégrante de la formation universitaire de base des maîtrisards en gestion
comptable.
1.1 – Champ d’intervention de l’expert comptable

L’intervention de l’expert comptable pour l’appréciation des sécurités informatiques, peut
se faire soit :
 Dans la cadre de sa mission légale de commissariat aux comptes: dans ce cas l’expert
doit évaluer lors de la prise de connaissance de l’environnement de l’entreprise,
l’impact des traitements et systèmes informatisés sur le risque inhérent et le risque de
non contrôle afin de déterminer la nature et l’étendu des travaux d’audit permettant de
maintenir le risque général d’audit à un niveau faible acceptable. Ainsi, dans le cas de
vérifications informatiques effectuées dans le cadre d’un audit financier, la mission
doit permettre de s’assurer de la pérennité de l’entreprise en auditant la disponibilité,
l’intégrité et la confidentialité des informations produites.
Dans le même sens Frantz Grenier et Christophe Quester précisent que « la sécurité
des systèmes d'information est maintenant identifiée comme primordiale pour assurer
la sécurité générale de l'entreprise. Les obligations réglementaires se font de plus en
plus pressantes, et il n'est pas rare que les commissaires aux comptes, qui prennent en
considération les risques opérationnels informatiques, mettent la pression sur les DSI
en auditant leur politique de sécurité »64
 Dans le cadre d’une mission spécifique d’audit de sécurité, le rôle de l’expert

comptable dépend en général de la lettre de mission qui fixe les périmètres et les
objectifs de la mission qui peut porter sur l’appréciation de la politique de sécurité en
place, l’analyse des techniques de sécurité, le contrôle de la sécurité….
64
Frantz Grenier et Christophe Quester « Vers une industrialisation sur mesure », 01 DSI du 23/06/2006
_______________________________________111________________________________
Ce rôle consiste pour les entreprises soumises aux obligations prévues par la loi 2004-5 du
février 2004, à les aider à se préparer à l’audit périodique de leurs systèmes informatiques
institué par cette loi. Pour les clients non soumis à cette obligation et principalement les
petites et moyennes entreprises, le rôle de l’expert comptable est d’autant plus important, vu
l’absence d’un contrôle légale des sécurités informatiques, et ce pour convaincre la
direction, sensibiliser les utilisateurs, identifier les risques et proposer les solutions de
sécurité permettant d’assurer la pérennité de l’entreprise, préserver le patrimoine et sécuriser
la création de valeur.
En fin, il y’a lieu de signaler que dans tous les cas l’expert comptable n’assure pas la
sécurité, mais donne à la direction de l’entreprise qui le mandate une assurance raisonnable
concernant les dispositifs de sécurité mises en place pour faire face aux risques encourus.
1.2 – Limites à la réalisation d’une mission d’audit de la sécurité

informatique
1.2.1 – Limites inhérentes à l’expert comptable
Le développement des nouvelles technologies de l’information et de la communication s’est

vite ancré dans la gestion courante des affaires de l’entreprise, sans pour autant qu’il ne soit
suivi d’un développement aussi spectaculaire au niveau des cabinets des principaux
conseillers de l’entreprise, en l’occurrence les experts comptables. Ce fossé s’est creusé au
niveau de trois facteurs clés de succès d’une mission d’assistance, à savoir l’organisation
des cabinets, la formation des experts et les budgets temps alloués à l’audit de sécurité.
D’bord, A l’exception des grands cabinets internationaux, qui se sont doté de départements
spécialisés dans l’audit informatique, composés d’auditeurs spécialisés en informatique et
d’ingénieurs en informatique, les petites et moyennes structures de cabinets ne disposent pas
d’une telle organisation ou tout au moins d’auditeurs spécialisés en informatique. Ainsi, les
travaux effectués généralement dans le cadre d’une mission d’audit légal se limitent à la
validation des outils conduisant à l’arrêté des états financiers et ne porte pas sur
l’appréciation des mécanismes de sécurité mis en place par l’entreprise. « Faute d’outils et
de compétences suffisants, l’audit financier est souvent privilégié au détriment de l’audit de
la sécurité informatique »65.
65
Sofiene Maxime Kader : « Sécurité des systèmes d’information, du principe d’exclusion à la gestion
d’identité ».
_______________________________________112________________________________
Ce manque de compétences prive les cabinets de missions spécifiques d’audit de sécurité

informatique.
Ensuite, le domaine d’audit de la sécurité informatique requiert en ce qui concerne l’audit

technique des compétences étendues, approfondies, et actualisées dans le domaine de la
sécurité. Or, de par sa formation l’auditeur ne dispose pas de ces compétences, ce qui
constitue une entrave lors d’un audit financier à la réalisation des travaux nécessaires en
matière de vérification des sécurités informatiques. Toutefois, comme nous l’avons déjà
présenté, la formation de l’auditeur prend de plus en plus compte des aspects liés aux
sécurités des systèmes d’information et de communication et de l’audit informatique en
général. Cette formation semble insuffisante et il incombe à l’expert comptable de l’enrechir
avec des lectures et des efforts personnels.
Enfin, on constate dans le cadre de réalisation des missions d’audit financier que le budget
temps imparti aux vérifications informatiques est limité, ce qui à coté du fait de manque de
compétences nécessaires, réduit l’audit des sécurités informatiques à des contrôles primaires
d’audit des sécurités physiques existantes, de l’utilisation des mots de passe, d’antivirus… .
Cette restriction relative au budget temps est d’autant plus importante lorsqu’il s’agit d’une
mission de commissariat aux comptes d’une petite et moyenne entreprise (PME). En effet,
ces structures peuvent présenter un risque informatique important du fait qu’elles utilisent
souvent des solutions informatiques et des applications standards achetées sur le marché ou
« héritées » d’une société mère de taille très importante et non adaptées à la taille et à
l’activité de la PME.
1.2.2 – Limites relatives à la démarche d’audit
Prendre en considération l’aspect de sécurité informatique et assurer l’appréciation des

risques associés et l’aptitude de la politique de sécurité mise en place d’y faire face,
nécessite de la part de l’expert comptable des compétences en matière d’audit d’une
manière générale et des sécurités informatiques en particulier. Ces compétences spécifiques
en matière informatique seront combinées avec les compétences d’audit pour assurer la
réussite de la mission.
Ainsi, la démarche d’audit doit répondre aux préoccupations d’ordre organisationnelles et

de gestion ainsi que ceux se rapportant aux aspects techniques. D’une manière générale,
l’expert comptable gagnerait à éviter les types d’audit suivants :
_______________________________________113________________________________
 Les audits "techniques" bornés sur les aspects purement techniques et qui ne
prennent pas en considération les procédures et l'organisation en place ;
 Les audits " non techniques" qui à l’opposé du premier cas, ne prennent pas en
considération les aspects techniques de configurations effectives des équipements
systèmes, des réseaux et des applicatives;
 Les audits " déclaratifs " qui reposent uniquement ou en grande majorité sur les
déclarations lors d'entretiens avec les acteurs du système audité, ce qui peut induire à
un détour du au contrôle volontaire/involontaire des audités sur les informations
délivrées. D’une façon générale, toute déclaration doit être validée si possible par
des éléments probants la justifiant.
Pour conclure, la démarche d’audit doit prendre en considération et les aspects

organisationnels et les aspects techniques liés à la sécurité informatique. De même, le
niveau de sécurité appliquée sur les systèmes informatiques est dynamique, il peut évoluer
fortement en fonction d'une simple mise à jour de système d'exploitation ou d'applicatif. Il
en ressort qu'un résultat d'audit peut être contredit par le moindre changement sur le système
d'information (organisationnel ou technique), d’où la nécessité de valider les réponses des
interlocuteurs par des pièces justificatives.
1.2.3 – Limites liées à l’organisation des clients
La réussite de la mission de l’expert comptable dépend dans une grande partie de la

structure de ses clients, or rares sont les petites structures qui disposent d’un responsable de
sécurité informatique ou d’un informaticien.
Faute d’interlocuteurs compétents dans le domaine de la sécurité informatique, le

professionnel doit conduire sa mission sur la base d’entretiens avec les personnes clés de
l’entreprise, en l’occurrence :
 Le directeur général pour comprendre la stratégie de l’entreprise en matière de
sécurité informatique ;
 Le responsable comptable pour la mise en pratique de cette stratégie ;
 Le prestataire informatique extérieur pour les descriptions techniques.
En l’absence de compétences suffisantes, la mission peut être difficile à réaliser dans le

temps imparti et avec le budget alloué.
_______________________________________114________________________________
1.3 – Recours à un spécialiste en sécurité informatique
Compte tenu des limites précédemment évoquées, la réalisation d’un audit de la sécurité
informatique, et en particulier lorsqu’il s’agit de systèmes informatiques complexes, peut
présenter pour l’expert comptable certaines difficultés techniques. En effet, les normes
internationales traitant du cadre général de réalisation d’une mission d’audit dans un
système informatique évoquent le manque potentiel de compétences et envisagent la
possibilité de recours à un spécialiste informatique.
Ainsi, en invoquant l’obligation pour l’auditeur d’évaluer l’incidence de l’environnement

informatique sur l’audit, la norme internationale ISA 31566 précise que « l’auditeur doit
acquérir la connaissance de la façon dont l’entité a répondu aux risques résultant du système
informatique».
Toujours selon la même norme, l’appréciation des risques informatiques nécessite la mise
en place des contrôles généraux informatiques et des contrôles des applications. Or, compte
tenu de la complexité du système et des technologies utilisées, et en particulier lorsque
l'entreprise utilise le commerce électronique par exemple ou des progiciels intégrés..,
l’auditeur doit évaluer si des compétences informatiques particulières sont nécessaires pour
réaliser l’audit et s’il convient de se faire assister par un professionnel possédant ces
compétences qui peut être un collaborateur ou un spécialiste externe. Le commissaire aux
comptes applique dans ce cas la norme ISA 620 « Utilisation des travaux d’un expert » pour
justifier de l’adéquation de ces travaux avec l’objectif de l’audit.
L’application des dispositions de cette norme peut être également transposée au cas de
recours à un spécialiste de sécurité informatique dans le cadre d’une mission d’audit
financier ou d’audit spécifique.
Ainsi, l’auditeur doit posséder des connaissances minimales en matière des technologies de
l’information et des sécurités associées, lui permettant d’une part d’apprécier l’effet de ces
technologies sur le risque d’audit et d’évaluer l’environnement informatique de l’entreprise
auditée pour déterminer le besoin de recourir à un spécialiste en matière de sécurité, et
d’autre part orienter, contrôler et superviser le travail effectué par le spécialiste.
66
ISA 315 : Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies
significatives
_______________________________________115________________________________
Ayant en général une connaissance plus approfondie de l’organisation de l’entreprise et de

son domaine d’activité, l’auditeur peut orienter le spécialiste dans la réalisation de ses
travaux en lui indiquant les zones de risque potentiel. Ainsi, la collaboration entre les deux
spécialistes doit se faire en respect de la norme internationale précitée, qui fixe quelques
conditions se rattachant à la compétence, à l’objectivité et à l’évaluation de l’intervention
du spécialiste.
1.3.1 – Compétence et objectivité du spécialiste
Lorsque l’auditeur envisage de faire recours à un spécialiste en sécurité informatique, il doit

s’assurer des aptitudes et des compétences de ce spécialiste en vérifiant ses qualifications
professionnelles, son autorisation d’exercer, son expérience dans le domaine où l’auditeur
cherche les éléments probants et sa bonne réputation au sein de l’organisation
professionnelle dont-il fait partie. Les certificats accordés par l’ANSI peuvent constituer
une garantie des compétences du spécialiste en sécurité informatique.
De même, l’auditeur doit s’assurer de l’objectivité du spécialiste en éliminant toute

circonstance pouvant l’affecter. L’objectivité suppose l’inexistence de l’intérêt personnel,
l’indépendance et l’impartialité du spécialiste lors de l’exercice de la mission qui lui est
proposée. Il ne doit pas être salarié de l’entreprise auditée ou avoir avec elle un lien d’intérêt
direct ou indirect.
1.3.2 – Suivi et évaluation des travaux du spécialiste
L’auditeur doit mettre à la disposition du spécialiste toutes les informations susceptibles de

lui clarifier les conditions de son intervention notamment les points suivants :
 Objectifs et étendue de ses travaux ;
 Description des éléments spécifiques à traiter par le spécialiste ;
 L’utilisation des travaux du spécialiste ;
 Les conditions d’accès aux documents et dossiers pertinents ;
 La confidentialité des informations recueillies.
A la suite de cette phase, l’auditeur procède à l’évaluation des travaux du spécialiste, en

cherchant à obtenir un degré raisonnable de certitude que ces travaux constituent des
éléments probants suffisants et appropriés au regard des objectifs d’audit.
_______________________________________116________________________________
L’auditeur évalue ces travaux en examinant les données de base utilisées, les méthodes et
techniques retenues et les conclusions tirées par le spécialiste. Pour s’assurer que le
spécialiste a utilisé des moyens appropriés, l’auditeur peut demander l’information auprès
du spécialiste ou procéder à des procédures d’examen et de contrôle des données utilisées
par le spécialiste.
En règle générale, en cas de recours à un spécialiste la mission doit se dérouler en étroite

collaboration, du fait que l’audit de la sécurité informatique nécessite concomitamment des
compétences en audit et en informatique.
PARAGRAPHE 2 : REFERENTIELS ET NORMES D’AUDIT EN MILIEU
INFORMATIQUE
En l’absence de normes spécifiques à la réalisation d’une mission d’audit de la sécurité

informatique par l’expert comptable, ce dernier se base sur les normes professionnelles
traitant de l’audit en milieu informatique pour apprécier l’incidence de l’utilisation des
nouvelles technologies sur l’appréciation des risques de l’entreprise.
2.1 – Compagnie Nationale des Commissaires aux Comptes
La Compagnie Nationale des Commissaires aux Comptes en France (CNCC) a publié

plusieurs notes d’informations à l’usage de ses membres dont la note d’information N°25
qui traite de la démarche du commissaire aux comptes en milieu informatisé. Cette note a
été remplacée, par la norme CNCC 2-302 « audit réalisé dans un environnement
informatique ».
Cette norme précise que l’existence d’un environnement informatique ne modifie pas
l’objectif et l’étendue de la mission du commissaire aux comptes. Toutefois, elle modifie la
saisie et le processus de traitement et de conservation des données et en conséquence peut
avoir une incidence sur les systèmes comptable et de contrôle interne de l’entité.
Ainsi, la démarche d’audit, tout en restant inchangée, doit prendre en considération les
incidences possibles de l’environnement informatique lors de la prise de connaissance des
systèmes comptable et de contrôle interne, de l’évaluation du risque inhérent et du risque lié
_______________________________________117________________________________
au contrôle, et au moment de la mise en œuvre des procédures d’audit et d’obtention

d’éléments probants, comme le montre la figure suivante67 :
En 2003, la CNCC a publié un guide d’application de la norme 2-302, qui constitue un

support opérationnel complet à l’usage des experts comptables. Ce guide est structuré
comme suit :
 Une première partie qui traite de la méthodologie d’audit dans un environnement
informatisé ;
 Une deuxième partie présentant des dossiers thématiques sur les thèmes suivants :
 L’organisation de la fonction informatique dans l’entreprise ;
 Les obligations règlementaires ;
 Les particularités en environnement progiciel de gestion intégrée PGI ;
 Les particularités en environnement Internet ;
 Les risques liés à l’existence d’un projet informatique.
 Une troisième partie traitant des techniques d’audit assistées par ordinateur ;
 Des annexes :les supports opérationnels de mise en œuvre de la méthodologie, une

étude de cas avec corrigé indicatif, un glossaire, un moteur de recherche et une
bibliographie.
67
« Prise en compte de l’environnement informatique et incidence sur la démarche d’audit » - édition
compagnie nationale des commissaires aux comptes CNCC 2003.
_______________________________________118________________________________
Ce guide fourni à l’auditeur une grille des contrôles les plus important à effectuer dans le
cadre d’une mission menée dans un milieu informatique et qui vise à s’assurer des sécurités
informatiques mises en place par l’entreprise pour garantir la disponibilité, la confidentialité
et l’intégrité des données et systèmes issus des traitements informatiques.
2.2 – IFAC :
L’international federation of accountants (IFAC) représente un organisme de normalisation

internationale, dont les normes ont été adoptées par plusieurs pays dans le monde entier,
dont la Tunisie. L’IFAC au travers du comité des normes internationales IAPC
(international auditing practices committee) a publié plusieurs normes se rapportant à
l’approche d’audit par les risques qui prennent en considération les particularités d’un
milieu informatisé. Il s’agit notamment de :
 La norme ISA 315 : connaissances de l’entité et de son environnement et

évaluation du risque d’anomalies significatives ;
 La norme ISA 330 : procédures à mettre en œuvre par l’auditeur en fonction de son
évaluation des risques ;
 La norme ISA 500 : éléments probants.
 La directive internationale d’audit N°1001 « environnement informatique -
microordinateurs autonomes » ;
 La directive internationale d’audit N°1002 « environnement informatique –
systèmes d’interconnexions informatique » ;
systèmes de bases de données » ;
techniques d’audit assistées par ordinateurs ».
Néanmoins dans un souci d’assurer la crédibilité des travaux de l’IFAC et des directives
internationales d’audit, l’IAASB a décidé lors de sa réunion du décembre 2004 d’abroger
les 4 directives précitées, devenues caduques compte tenu de l’évolution des technologies et
de l’informatisation des procédures.
_______________________________________119________________________________
2.3 – SAC Report
Le Systems Auditability and Control Report est un rapport sur l’audit et le contrôle des
systèmes d’information publié par l’institut of internal auditors (IAA) aux états unis et
traduit par l’institut français de l’audit interne (IFACI)
Ce document présente essentiellement ce qu’un auditeur doit savoir pour auditer les
sécurités des systèmes d’information. Ces recommandations ne sont pas présentées sous
forme de normes, mais il s’agit plutôt d’un référentiel portant sur la sécurité des systèmes
d’information en général. Il a été conçu dans l’objectif de fournir aux directions générales et
aux auditeurs internes et externes des lignes directrices afin de les aider à établir des
priorités pour la mise en œuvre des contrôles permettant de réduire les risques.
A cet effet, sont exposés les contrôles fondamentaux permettant de s’assurer que l’intégrité,
la confidentialité, et la disponibilité des ressources et des informations sont garanties.
Le module sécurité est structuré autour de trois parties : la gestion de la sécurité, la sécurité
physique et la sécurité logique. Chacune de ces parties présente les risques liés à la sécurité
après en avoir rappelé le contexte, puis propose une démarche d’audit à partir de
l’identification des zones ou points d’entrées sensibles.
Le module sécurité du SAC Report présente une démarche générale d’audit en examinant
les contrôles des domaines suivants :
 Politiques, procédures et directives de sécurité ;

 rogrammes de sensibilisations et de formation à la sécurit é ;
 Gestion et administration de la sécurité ;
 Contrôle de sécurité physique ;
 Contrôle d’accès logique, y compris ceux concernant les accès aux données et aux
programmes, les contrôles de modification, les pistes d’audit, les caractéristiques
du logiciel et le logiciel de contrôle d’accès.
_______________________________________120________________________________
2.4 – Normalisation nationale
Le système comptable des entreprises promulgué par la loi 96-112 du 30 décembre 1996,
traite du cas particulier de contrôle de comptabilité informatisée dans La deuxième partie de
la norme comptable générale relative à l’organisation comptable. Cette norme prévoit que
« la réalisation de tout contrôle du système de traitement automatisé suppose l’accès à la
documentation relative aux analyses, à la programmation et à l’exécution des traitements en
vue, notamment, de procéder aux tests nécessaires. Dans le cas d’acquisition de logiciel
standard, la documentation fournie avec le logiciel peut constituer la documentation
requise ».
Cette disposition sous entend des connaissances informatiques développées pour pouvoir
procéder à la réalisation d’une mission d’audit dans un environnement informatisé.
Excepté cette disposition expresse, l’Ordre des Experts Comptables de Tunisie a adopté les
normes internationales d’audit de l’IFAC qui seront appliquées.
_______________________________________121________________________________
CHAPITRE 2: DEMARCHE D’AUDIT DE LA SECURITE

INFORMATIQUE
SECTION 1 – PHASES DE REALISATION DE LA MISSION
Comme toute mission d’audit, la réalisation d’une mission d’audit de la sécurité

informatique nécessite une démarche cyclique. Du fait que les risques sont dynamiques et
évolutifs, aucune solution de sécurité n’est immuable, et il convient alors de réaliser des
audits périodiques en vue de détecter les vulnérabilités nouvelles et de prévoir les plans
d’actions correctifs.
La mission d’audit de la sécurité informatique, se déroule généralement en deux volets; un

audit organisationnel et physique et un audit technique.
L’audit organisationnel et physique porte sur l’organisation générale de l’entreprise, la

politique de la sécurité, les procédures d’audit en place, les sécurités physiques, les
contrôles d’accès….. Il permet ainsi d’avoir une vue globale de l’état de sécurité du système
d’information et d’identifier les risques potentiels.
Cette phase de l’audit se fait en général à l’aide d’entretiens avec les responsables de
l’entreprise auditée et des questionnaires préalablement établis par l’auditeur.
L’audit technique concerne les composants du système d’information tel que la validation
d’une architecture de sécurité, la réalisation de tests de vulnérabilités internes et/ou externes
(intrusifs), la validation du code (faille dans une application web, contrôle d’accès trivial),
....L’audit technique d’un périmètre de sécurité est préconisé dans les situations typiques de
validation d’un nouvel outil par exemple d’un firewall, d’un site ebusiness, d’un extra net,
d’un accès Internet, d’un système VPN…
Si la formation de l’auditeur lui permet de mener à bien la phase organisationnelle et

physique de l’audit de la sécurité informatique, la réalisation d’un audit technique peut
nécessiter le recours à un spécialiste en informatique.
_______________________________________122________________________________
La démarche d’audit de la sécurité informatique proposée dans ce qui suit couvre les volets
organisationnel, physique et technique de l’audit et passe par trois phases essentielles :
 La prise de connaissance de l’environnement informatique de l’entreprise auditée ;

 L’appréciation des risques informatiques ;
 Les recommandations à mettre en place.
PARAGRAPHE 1: PRISE DE CONNAISSANCE DE L’ENVIRONNEMENT
INFORMATIQUE
1.1 – Portée
La phase de prise de connaissance de l’environnement informatique est une phase

primordiale dans la réussite d’une mission d’audit de la sécurité informatique. En effet, à
partir de ce moment, l’expert comptable commence à recueillir les éléments lui permettant
d’apprécier les risques encourus par l’entreprise. Elle lui sert également pour établir le plan
de mission, estimer le budget temps à allouer et fixer l’équipe intervenante en appréciant le
cas échéant le besoin de recourir à un spécialiste en informatique.
La prise de connaissance de l’environnement informatique est réalisée généralement à l’aide

d’entretiens avec les responsables sur la base de questionnaires d’audit.
La portée de cette phase est de renseigner également sur les éléments clés de l’organisation
de la sécurité en place en identifiant la stratégie informatique, le degré de dépendance de la
fonction informatique et l’organisation de la fonction informatique.
l.1.1 – La stratégie informatique
Lors de l’entretien avec les dirigeants de l’entreprise, l’expert comptable doit chercher à
identifier la stratégie informatique de l’entreprise, en essayant d’obtenir les réponses aux
questions clés suivantes :
 Quel est le degré de perception de risques associés à l’utilisation de
l’informatique ?
 Quelles sont les mesures prises pour faire face aux risques informatiques ?
 L’entreprise dispose-t-elle d’une stratégie informatique claire et documentée ?
 Quelle est l’importance accordé au rôle joué par le responsable de la sécurité ?...
_______________________________________123________________________________
En fonction des informations recueillies, l’expert comptable parvient à identifier la stratégie

informatique de l’entreprise et à apprécier son effet sur la fiabilité du système
d’information. En effet, une stratégie informatique claire et réfléchie, prenant en
considération les besoins des utilisateurs, rend le risque associé aux sécurités informatiques
issues d’un tel système d’information faible.
La CNCC présente dans son guide d’application de la norme 2-302 « audit réalisé dans un
environnement informatique », les exemples suivants de l’incidence de la stratégie
informatique sur la fiabilité du système d’information :
Incidence sur la fiabilité du système d’information

Faible Modérée Elevée
*La stratégie * Les besoins utilisateurs * La stratégie informatique

Stratégie
informatique existe sont considérés dans la n’est pas formalisée.
informatique
(formalisée ou non). stratégie informatique. * Absence de coordination
élaborée par les
* Les besoins entre la stratégie
entités
utilisateurs sont pris en informatique et la
opérationnelles
priorité pour stratégie de l’entreprise.
élaborer la stratégie
informatique.
Sensibilisation * La direction est * La valeur de * La direction est consciente

de la sensibilisée à la l’informatique et de la valeur et des risques
direction valeur ajoutée de l’exposition aux risques sont de l’informatique alors que
l’informatique. connues par la direction. En les entités opérationnelles ne
revanche, cette connaissance le sont pas.
par les niveaux
hiérarchiques inférieurs est
partielle.
_______________________________________124________________________________
Satisfaction des * Les besoins utilisateurs * Les systèmes répondent * La plupart des applications
besoins sont satisfaits par les globalement aux besoins. ne répondent pas aux
utilisateurs technologies utilisées besoins des utilisateurs.
actuellement. * Quelques systèmes sont * Des travaux
* La satisfaction des difficiles à maintenir. supplémentaires sont
utilisateurs est mesurée nécessaires pour combler les
périodiquement. manques du système
d’information.
Source : CNCC
1.1.2 – Le degré de dépendance de la fonction informatique
L’importance de l’utilisation de l’outil informatique par l’entreprise permet de déterminer le

niveau de dépendance vis-à-vis de l’informatique et des risques associés. Ainsi, au cours de
la phase de prise de connaissance de l’environnement informatique, il est recommandé
d’apprécier l’importance de l’informatique dans l’entreprise et la complexité des systèmes
utilisés, en cherchant à réunir les éléments suivants :
 Degré d’automatisation et d’utilisation de l’outil informatique dans les tâches

administratives et surtout d’exploitation de l’entreprise ;
 Les informations financières et comptables sont-elles produites manuellement ou
générées automatiquement par des applications intégrées ? ;
 L’entreprise utilise-t-elle les nouvelles technologies de l’information pour la
gestion de son activité : EDI, ERP, Internet… ?;
 L’activité principale de l’entreprise dépend-t-elle directement de l’outil
informatique (logiciels de gestion de la production) ?;
 Quel est l’impact d’une interruption du système d’information sur la continuité
d’exploitation de l’entreprise ?...
Un haut degré d’automatisation et une forte dépendance vis-à-vis de l’informatique et des

nouvelles technologies de l’information constituent un risque informatique potentiellement
élevé pouvant affecter la fiabilité et la disponibilité du système d’information en l’absence
de mesures de sécurité nécessaires.
_______________________________________125________________________________
1.1.3 – L’organisation de la fonction informatique
Lors de la prise en compte de l’environnement informatique, l’expert comptable est amené à

examiner l’organigramme de l’unité informatique et son rattachement à la direction
générale. En effet, le rattachement on line de l’unité informatique peut constituer une
entrave à la réalisation des tâches de contrôle et de supervision des sécurités informatiques.
L’examen de l’organisation de la fonction informatique est réalisé au moyen de l’étude

préalable de la documentation fournie par l’entreprise et des entretiens avec les responsables
de l’entreprise, notamment en ce qui concerne les aspects suivants :
 S’assurer de l’existence d’un organigramme de la fonction informatique et des

fiches de postes précisant les attributions et responsabilités de chaque poste en
adéquation avec la taille et les spécificités de l’entreprise auditée;
 S’assurer de l’existence de postes essentiels à l’expansion de l’unité informatique
tels que l’étude, l’exploitation et la sécurité ;
 S’assurer de l’existence d’un comité de sécurité chargé d’étudier les problèmes de
sécurité, d’élaborer les plans de sécurité et de suivre leur réalisation ;
 S’assurer de l’existence d’une séparation de tâches entre les services études et
exploitation ;
 S’assurer de l’existence d’une politique de formation et de sensibilisation des
utilisateurs aux risques informatiques ;
 En cas de recours à la sous-traitance, examiner le niveau de dépendance de
l’entreprise vis-à-vis de son sous traitant et de ses capacités de continuer son
activité en cas de défaillance de sous traitant.
L’absence d’une organisation appropriée de l’unité informatique au sein de l’entreprise,

constitue une source de réalisation de risque informatique non identifiés et affecte la
fiabilité du système d’information. Dans le cas des PME, l’absence de services étude et
exploitation se trouve justifiée par la taille et l’activité de l’entreprise. Toutefois, l’existence
de la fonction informatique reste toujours primordiale pour gérer les problèmes de sécurité.
_______________________________________126________________________________
1.2 – Déroulement
La démarche d’audit de la sécurité informatique proposée dans ce qui suit nécessite

l’examen préalable de la documentation propre à l’entreprise, la conduite d’entretiens avec
les responsables et les utilisateurs de l’outil informatique et la réalisation de l’inventaire
physique des matériels et logiciels utilisés.
L’ordre de réalisation de ces différentes phases est donné à titre indicatif et varie en fonction
des conditions de déroulement de la mission et de la disponibilité des clients. A tout stade
de la mission, l’auditeur peut revoir un point déjà audité, réaliser un deuxième entretien
pour s’assurer de la fiabilité et de la véracité des conclusions tirées,…
1.2.1 – Examen préalable de la documentation
Un examen préalable de la documentation spécifique à l’entreprise est nécessaire avant

d’entamer les réunions avec les responsables de l’entreprise. La demande de documents est
adressée généralement à la direction générale au commencement de la mission et elle porte
principalement sur les pièces suivantes :
 Organigramme de l’entreprise et particulièrement le service informatique ;
 Le plan directeur informatique ;
 Le plan directeur de la sécurité informatique ;
 La charte de sécurité informatique ;
 Le budget informatique des trois dernières années ;
 Les comptes rendus de l’activité informatique pour les trois dernières années ;
 La cartographie des matériels et logiciels utilisés par l’entreprise ;
 La documentation relative aux applications existantes…
L’examen de cette documentation permet à l’expert comptable de :

 Comprendre le domaine d’activité de l’entreprise et les spécificités associées ;
 Avoir une idée sur l’importance de l’informatique dans l’entreprise ;
 S’initier à l’organisation informatique ;
 Détecter quelques défaillances ou insuffisances potentielles ;
 Aider l’auditeur à préparer le questionnaire d’audit ;
 Orienter le déroulement des entretiens…
_______________________________________127________________________________
1.2.2 – Entretiens
Suite à l’examen de la documentation fournie par l’entreprise auditée, l’expert comptable

planifie les entretiens en fonction de l’organisation de l’entreprise et prépare les grilles de
questionnaires servant de base à la réalisation de sa mission.
Le planning des entretiens est toujours transmis à la direction générale pour validation et
communication aux personnes intéressées préalablement à la date de l’entretien. Les
responsables de l’entreprise doivent également prévenir le personnel qu’il est possible de
procéder à des tests et examens des postes de travail au moment des entretiens.
D’abord, et quelques soit la taille de l’entreprise audité, une première réunion avec la
direction générale est à planifier au début de la mission. Cet entretien, de préférence de
courte durée, doit porter sur les aspects d’ordre stratégique suivants :
 Présentation sommaire de l’entreprise et son activité ;

 Organisation de l’entreprise ;
 Stratégie informatique et point de vue de la direction sur la situation actuelle de
l’entreprise, ses besoins en informatique et ses perspectives de développement ;
 Politique de sécurité poursuivie ou le cas échéant attitude de la direction face aux
risques informatiques.
En suite, un entretien avec le responsable informatique permettra à l’expert comptable de se

renseigner sur l’organisation et la gestion de la fonction informatique au sein de l’entreprise
et sur la description détaillée de la configuration informatique en ce qui concerne les aspects
suivants :
 Matériel : nombre, configuration, implantation…

 Logiciels : bureautique, gestion, technique… ;
 Types d’installation : réseaux, monopostes ;
 Types de réseaux : VPN, WIFI… ;
 Utilisateurs : nombre, attribution des postes, niveau de connaissances informatique.
_______________________________________128________________________________
Egalement, une réunion avec le responsable de la sécurité des systèmes d’information, s’il
existe, est nécessaire pour apprécier la politique de sécurité en place. Cet entretien permet
d’identifier les concepts généraux de la sécurité en renseignant sur :
 Les risques encourus en fonction des enjeux, de la structure et des antécédents ;

 L’adéquation de la politique de sécurité aux risques potentiels ;
 L’application de la politique de sécurité et son suivi (procédures écrites) ;
 Les pouvoirs et le positionnement hiérarchique des acteurs de sécurité ;
 L’effort de formation et de sensibilisation aux risques informatiques ;
 L’examen éventuel de cahier des incidents et sinistres survenus…
L’absence d’un responsable chargé de la sécurité informatique ou encore d’une unité

informatique, souvent observée chez les PME, dénote du degré faible de perception de la
sécurité par la direction générale et de l’insuffisance potentielle des mesures de sécurité en
place. Dans ce cas, l’entretien sera réalisé avec le responsable administratif et financier ou
avec l’auditeur interne ou encore avec le prestataire informatique.
En fin, des entretiens avec les utilisateurs permettront à l’expert comptable de valider les
conclusions tirées des premiers entretiens, de visualiser physiquement l’architecture
informatique et d’avoir des réponses sur les questions se rapportant à la sécurité de
l’utilisation de l’outil informatique, telles que :
 Utilisez vous des mots de passe ?

 A quelle fréquence changez vous de mot de passe ?
 Utilisez vous le mot de passe de l’écran de veille ?
 A quelle fréquence faites vous un scan complet à l’aide d’un logiciel antivirus ?
 Contrôlez vous la date de mise à jour de l’antivirus ?
 Les sauvegardes sont-elles vérifiées ?
 Utilisez vous des supports amovibles ?
 Utilisez vous l’Internet, au moyen de quelle connexion,
 Quelles sont les personnes possédant une boite aux lettre électronique ?
Dans tous les cas, il faut prévoir à la fin de l’entretien une phase non directive au cours de
laquelle l’auditeur laisse l’initiative à l’interlocuteur d’aborder les problèmes de sécurité
non traités et de poser des questions qui le dérangent.
_______________________________________129________________________________
Lors des entretiens, l’utilisation d’un questionnaire par l’auditeur ne doit pas constituer un
préjudice à la qualité de l’audit en concentrant l’attention de l’auditeur sur les questions qui
correspondent souvent à des points de détail, au détriment de sa compréhension générale de
la situation et de son esprit critique. A cet effet, il convient au moment de la réalisation de
l’entretien de :
1 Aborder les points évoqués dans le questionnaire par thème et ne pas se limiter aux
questions préalablement établies pour permettre à l’interlocuteur de bien exposer la
situation existante et d’aborder toutes les difficultés ;
2 Prévoir, à coté des réponses par oui ou non, une colonne réservée aux observations
pour prendre en considération tous les cas particuliers ;
3 Ne pas se fier aux déclarations des personnes interviewées et disposer tant que possible
d’éléments probants justifiants les réponses (procès verbaux, copie d’un rapport log,
copie d’un registre de mise à jour de mots de passe, charte…).
L’intérêt principal de cette méthode réside dans l’approche directe par questionnaire qui
joue un rôle de sensibilisation et d’information directe auprès du client. En effet, lors du
déroulement des entretiens, l’expert comptable peut présenter les risques encourus, les
avantages potentiels des moyens de sécurité absents et les modalités de leur mise en place…
(sauvegarde, mots de passe, fonctionnalités offertes par Windows…).
1.2.3 – Inventaire physique du matériel informatique
L’objectif de cette phase est de comprendre et de documenter les composantes du système

d’information et de mettre en évidence les risques potentiels liés à l’architecture existante.
Elle permet en outre de contrôler la réalité de l’existence physique du parc informatique et
l’homogénéité de ses composantes.
L’identification du matériel informatique est réalisée sur la base des éventuelles

documentations fournies par la société auditée, des entretiens avec les responsables
informatiques et principalement au moyen des observations physiques faites sur les lieux au
moment de l’entretien avec les utilisateurs. La mise en application de cette phase se fait au
moyen des actions suivantes:
_______________________________________130________________________________
1. Obtenir la liste du matériel informatique : serveurs, postes connectés, postes

autonomes, ordinateurs portables, imprimantes, firewalls, routeurs… ;
2. A partir de l’organigramme de l’entreprise, juger de l’adéquation du parc
informatique avec la taille de l’entreprise ;
3. Identifier les postes disposant d’un accès Internet et d’une adresse de messagerie
électronique ;
4. S’interroger sur les modes de connexion Internet ;
5. Dresser un tableau de recensement du matériel et des utilisateurs ( lorsque le
nombre de postes de travail est limité) ;
6. Vérifier l’état de vétusté du matériel informatique et l’homogénéité du parc ;
7. Visiter physiquement les lieux qui abritent les serveurs de l’entreprise et vérifier
qu’ils ne sont physiquement accessibles qu’au responsable informatique, qui seul
dispose des clés de la salle de serveurs.
8. Imprimer la page de voisinage réseau en vue de visualiser l’ensemble des postes de
travail connectés aux serveurs et d’effectuer un premier contrôle de cohérence
d’octroi de privilèges.
Au cours de l’entretien, l’expert comptable aura à discuter avec le responsable informatique

de la puissance des serveurs et leur adaptation aux besoins de l’entreprise, de la fréquence
des bugs sur le réseau…
Il y’a lieu de signaler que l’expert comptable peut également se servir de plusieurs outils
d’audit de l’architecture réseau pour identifier la topologie du réseau ainsi que les
équipements en place. Certains outils offerts par Windows peuvent être évoqués par
l’auditeur lors de ses entretiens avec les responsables informatiques, tels que :
outil fonctionnalités
Network View Outil de cartographie, détermination de topologie de
réseau
Anasil Analyseur de flux avec génération des rapports détaillés
sur le trafic inter-stations et détection des sniffers actifs
sur le réseau
Languard Outil d’analyse des vulnérabilités réseau et système
NStleath Outil d’analyse des vulnérabilités serveurs WEB
Appdetective Outil d’analyse des vulnérabilités des serveurs de données
et d’applications (oracle, SQL server, lotus, etc…)
Solarwinds Outil d’audit complet.
_______________________________________131________________________________
1.2.4 – Inventaire logique des applications informatiques
L’identification des principales applications informatiques de l’entreprise sert à apprécier la

complexité du système d’information et son impact sur le risque informatique et à vérifier
pour les applications stratégiques, dont dépend la continuité d’exploitation de l’entreprise et
la production d’informations financières et comptables, les sécurités mises en place pour
garantir leur fiabilité.
L’identification des principales applications informatiques utilisées par l’entreprise se fait

tout d’abord au moyen de l’entretien avec le responsable informatique ou avec le directeur
administratif et financier. En suite, l’auditeur pourra soit utiliser des logiciels d’audit dédiés
à cette tâhe, tel que le logiciel d’inventaire Check-up BSA (disponible et téléchargeable
gratuitement sur le site www.bsa.org pour un audit et un traitement de 100 ordinateurs
pendant 60 jours), soit procéder à partir du serveur et des postes clés de l’entreprise à un
inventaire des applications en utilisant la fonction « démarrer » de Windows. Un tel
inventaire doit aboutir à l’identification du nom du produit, du numéro de la version et du
numéro de la série pour apprécier l’homogénéité des applications utilisées et leur
continuelle mise à jour.
Lorsque le nombre des postes de travail est important, la phase d’identification des
applications devrait être préparée par le responsable informatique.
L’audit d’une application constitue une mission particulière de l’audit informatique.

Toutefois, dans le cadre d’un audit de la sécurité informatique, seul l’aspect sécurité sera
examiné à l’exclusion des autres aspects, à savoir l’adéquation aux besoins des utilisateurs,
la performance et la flexibilité de l’application.
Les éléments se rapportant aux applications informatiques et devant être examinés par
l’auditeur, vu leur impact sur les risques liés aux systèmes informatisés, concernent
essentiellement la documentation et les contrôles des applications.
a - Examen de la documentation des applications

On assiste généralement chez les entreprises auditées, et principalement les petites et
moyennes entreprises, à l’absence d’une conservation appropriée de la documentation des
applications, qu’elles soient développées ou achetées.
_______________________________________132________________________________
Dans le cas des applications développées en interne, l’auditeur doit vérifier que l’entreprise
dispose de la documentation suivante:
1. Une documentation de conception précisant les fonctions de l’application à développer

et les logiciels de base utilisés, elle précise à titre indicatif les objectifs de l’application,
les interfaces avec les autres applications au niveau de l’entreprise, la description des
entrées et sorties, les contrôles programmées et utilisateurs, les procédures de
sauvegarde et d’archivage, la documentation technique de programmation…
2. Une documentation d’exploitation destiné à permettre une exploitation correcte de
l’application, elle précise le planning des travaux d’exploitation, les modalités
d’enchaînement des phases de traitements, les modalités de redémarrage en cas
d’incidents, les contrôles à effectuer sur les fichiers entrées et sorties, les modalités de
sauvegarde….
3. Une documentation utilisateur favorisant l’utilisation efficace des différentes fonctions
de l’application et la détection des éventuelles insuffisances, elle doit contenir :
 Une présentation générale de l’application et ses différentes fonctions ;
 Une description détaillée des menus et des transactions ;
 Les scénarios de fonctionnement en mode dégradé, de l’incident mineur à la
mise en œuvre du plan de secours ;
 Les principales sources d’erreurs, les messages d’anomalies usuels et les
actions à entreprendre ;
 Le système de contrôles programmés pour la création et la modification de
l’information gérée et les transactions dans lesquelles ces contrôles sont
réalisés ;
 Les contrôles manuels à effectuer par l’utilisateur.
Dans le cadre de progiciels achetés auprès de prestataires de services, la documentation ne

couvre pas les éléments précités et les fournisseurs se trouvent réticents à fournir la
documentation technique propre aux progiciels et ce d’une part pour protéger la propriété
intellectuelle et d’autre part pour accroître la dépendance des clients à leur égard.
A cet effet, au moment du choix des fournisseurs, la qualité et le contenu de la

documentation constituent un élément de sélection.
_______________________________________133________________________________
Pour une utilisation sécurisée des applications, l’entreprise doit toujours disposer :
 Des licences d’exploitation ;
 Des supports de stockage de données numériques (disquettes, cd-rom..) ;
 Des manuels et documents originaux et principalement le manuel utilisateurs ;
 Des factures et justificatifs d’achats.
Ces documents doivent être conservés afin de permettre à l’entreprise de bénéficier de

services et mises à jour offerts par les fournisseurs.
b - Examen des contrôles existants
L’examen des contrôles des applications dans le cadre d’un audit de la sécurité informatique
ne doit pas être perçu comme une mission d’audit approfondi des applications, il est réalisé
dans l’objectif primaire de s’assurer de la fiabilité et de la pérennité des données et
traitements informatisés.
Ces contrôles sont de deux sortes, des contrôles programmés et des contrôles utilisateurs. La
réalisation de ces contrôles doit être guidée par l’objectif de la mission précédemment
indiqué, et porter sur des examens sommaires. Les contrôles applicatifs sont détaillés dans
le troisième paragraphe de cette section.
c- Examen de la complexité des applications
La représentation graphique des différentes applications et des liens existant entre elles
constitue la cartographie générale des applications. Elle permet de visualiser de façon
synthétique un système d’information complexe et sert en outre de support de
communication pluridisciplinaire (culture comptable, culture informatique) dans
l’identification des risques informatiques.
Pour les systèmes très simples (2 à 3 applications), la cartographie pourra se limiter à la

formalisation de tableaux d’inventaire des applications et des utilisateurs, alors que pour les
systèmes d’information très complexes, l’intervention d’un expert informatique peut être
nécessaire.
_______________________________________134________________________________
La complexité du système d’information est un élément important à prendre en compte lors

de l’établissement du plan de mission. Son appréciation permet de décider si des
compétences informatiques particulières sont nécessaires pour réaliser la mission et s’il
convient que l’expert comptable se fasse assister par un expert informatique.
L’appréciation de la complexité du système d’information concerne l’ensemble des

applications et s’effectue au travers de l’analyse de la cartographie en prenant en compte les
critères suivants :
 Existence de progiciel intégré ou de nombreuses applications spécifiques,
 Technologie utilisée : système central, client serveur, Internet…,
 Paramétrage : complexité, étendue, paramètres standards ou définis par
l’entreprise,
 Nombre d’interfaces,
 Existence d’interfaces manuelles entre les systèmes,
 Dépendance des traitements entre les systèmes.
L’analyse de la complexité du système d’information dans le plan de mission conduit à

déterminer des situations où le risque sur la fiabilité du système d’information sera plus ou
moins important. Le tableau suivant, fourni par la CNCC, illustre des cas types de
l’incidence de l’intégration et de la documentation des applications sur la fiabilité du
système d’information :
Incidence sur la fiabilité du système d’information

Intégration * Système entièrement * Quelques interfaces sont * Système fragmenté nécessitant
intégré utilisant des automatisées. la saisie manuelle de nombreuses
informations partagées * Des informations sont informations entre les
entre les applications traitées sur poste client à des systèmes.
(existence de référentiels). fins d’états de synthèse et de * Données en doublons en raison
* Les fonctions d’états de tableaux de bord. de l’inexistence de référentiels.
synthèse et de tableaux de * Pas de règle de gestion
bord sont intégrées dans le concernant la mise à jour des
système. données.
_______________________________________135________________________________
Documenta- * Existence d’une * Documentation partielle * Documentation faible ou non

tion documentation à jour mais couvrant les mise à jour. Difficulté à
permettant d’avoir une principales applications. appréhender le système et à
bonne compréhension du mesurer l’impact d’une
système d’information. modification.
d- Tableau des applications
Pour faciliter la lecture de l’organisation fonctionnelle du réseau, l’auditeur peut mettre en

place pour les petites et moyennes structures ne dépassant pas la quinzaine de postes de
travail, un tableau d’identification d’infrastructure informatique qui renferme par poste de
travail les informations nécessaires à l’évaluation des risques informatiques68.
dirigeant Directeur Directeur secrétaire Serveur X

administratif commercial
et financier
Applications Excel Excel Excel Excel commercial
Word Word Word Word
Comptabilité
paie
Poste Non Non Oui Oui Oui
partagé ?
Internet Oui Oui Non Non Non
Messagerie Oui Oui Oui Non Non
Système Windows XP Windows 98 Windows 98 Windows 98 Windows XP
d’exploitation Windows NT Windows NT Windows NT Windows NT Windows NT
68
ANGELONI Pascal « sécurité informatique en milieu TPE- PME : rôle du professionnel du chiffre »,
Mémoire d’expertise comptable session 2004
_______________________________________136________________________________
PARAGRAPHE 2 : APPRECIATION DES RISQUES INHERENTS A L’INFORMATIQUE
A ce stade de la mission, l’expert comptable parvient à se forger une opinion sur les
particularités du système d’information de l’entreprise et des incidences potentielles de la
gestion de la sécurité informatique sur le risque inhérent. Cette appréciation se rattache
essentiellement à l’organisation informatique au sein de l’entreprise, à la gestion de la
sécurité physique, à la gestion de la sécurité logique et aux techniques de sauvegardes
utilisées.
Dans l’approche que nous proposons, l’appréciation des risques informatiques liés à la
sécurité est appuyée par un questionnaire de sécurité informatique.
Ainsi, on va présenter dans un premier temps, les principales zones d’investigation et les
questions clés que doit poser l’expert comptable lors de sa démarche, suivi d’un
questionnaire d’audit de la sécurité informatique défalqué selon les quatre zones
d’appréciation de risque (organisation informatique, sécurité physique, sécurité logique et
techniques de sauvegardes). Des exemples types d’appréciation de la gestion de la sécurité
et de son incidence sur le risque inhérent seront présentés ensuite sous forme de grilles
d’évaluation fournies par le guide de la CNCC.
Le questionnaire d’audit de la sécurité informatique, proposé dans ce qui suit, constitue la

synthèse des travaux de recherche et de lecture que nous avons effectué et qui ont permis la
rédaction du présent mémoire. Il a été élaboré par nos soins dans le but d’apporter une
contribution à la démarche d’audit de la sécurité informatique par l’expert comptable, en
particulier chez les petites et moyennes entreprises.
Le questionnaire d’audit de la sécurité informatique proposé est réparti selon les 4 domaines
de risques suivants :
 Risques organisationnels ;
 Risques physiques ;
 Risques logiques ;
 Risques liés aux sauvegardes.
_______________________________________137________________________________
La première colonne désigne l’objectif de sécurité poursuivi par la question posée en

fonction des objectifs de la sécurité informatique :
 G : Généralités ;
 D : Disponibilité ;
 I : Intégrité ;
 C : Confidentialité ;
La colonne « concerné » indique la personne concernée par la question, nous avons

identifié à ce titre :
 DG : Direction Générale ;
 RI : Responsable informatique ;
 RS : Responsable sécurité ;
 UT : Utilisateur.
La colonne réponse permet de répondre par oui (O), non (Non) ou non applicable (NA).
La colonne risque permet de préciser le niveau de risque en fonction de la réponse : faible

(F), moyen (M) ou élevé (E).
La colonne des observations permet d’annoter les observations de l’auditeur et d’indiquer la

référence des pièces justificatives des conclusions tirées.
En plus des investigations décrites ci-dessus, l’expert comptable peut se guider par la grille
proposée par la CNCC pour apprécier l’incidence des risques informatiques sur le risque
inhérent. Cette grille est indicative. En réalisant son audit, l’expert remplie la grille en
éliminant les cas qui ne s’appliquent pas à la société auditée et en ajoutant les données
propres à l’entreprise.
2.1 – Risques organisationnels
2.1.1 – Domaines d’investigation
Les risques liés à l’absence d’une organisation informatique appropriée ont une incidence
directe sur l’estimation par l’expert comptable du risque inhérent. En effet, l’absence d’une
politique de sécurité par exemple, laisse la porte grande ouverte aux menaces internes et
externes à l’entreprise, par contre une prise de conscience de ces risques et la mise en place
d’une organisation informatique appropriée rend le risque faible.
_______________________________________138________________________________
A cet effet, les principaux domaines en matière d’organisation informatique à observer par
l’expert comptable peuvent être synthétisés dans ce qui suit :
Organisation informatique : Elle regroupe l’ensemble des facteurs examinés lors de la prise
de connaissance de l’environnement informatique de l’entreprise (voir paragraphe 1), qui
permettent de se renseigner sur l’importance de l’organisation informatique dans
l’entreprise et l’attention accordée aux sécurités informatiques par la direction générale.
Séparation de tâches : la séparation de tâches doit être observée entre le personnel d’études,
d’exploitation et les utilisateurs de l’outil informatique afin de se prémunir contre les
risques potentiels de changement de données d’exploitation par le personnel d’études, de
création de comptes clients et fournisseurs fictifs, de constatation de mouvements
comptables erronés, des fraudes …
Externalisation : l’externalisation des principales fonctions de l’entreprise et le manque

d’encadrement du personnel informatique conduit à une forte dépendance de l’entreprise
vis-à-vis de son prestataire informatique, et par conséquent à un risque élevé sur la
continuité d’exploitation en cas de défaillance de sa part et de l’absence de compétences
internes appropriées.
_______________________________________139________________________________
Incidences de l’évolution des technologies de l’information sur les risques d’audit et proposition d’une démarche adaptée de la sécurité informatique
2.1.2 – Questionnaire d’audit
Questions réponse risque observations

Objectif Concerné
Oui non N/A F M E
I - Politique de sécurité
1 - La direction générale a-t-elle une perception suffisante de l’environnement

G DG informatique de son entreprise ?
2 - La direction générale a-t-elle une perception suffisante des risques encourus et
G DG des besoins de sécurité ?
3 - Avez-vous été victime d’un sinistre informatique ? Le préciser
G DG
4 - La direction générale a-t-elle définie sa stratégie en matière de sécurité
G DG informatique ?
5 - Existe-t-il une politique de sécurité issue de la stratégie édictée par la direction
générale et concrétisée dans le cadre d'un plan directeur informatique? si oui
G RS l’annexer
6 - Cette politique est-elle formalisée dans un plan de sécurité informatique?
G RS
7 - Des directives concernant la sécurité informatique ont-elles été diffusées ?
G RS
_______________________________________140________________________________
8 - Si oui, ces directives sont-elles connues et respectées par les utilisateurs ?

G RS
9 - La direction générale a-t-elle connaissance des textes et lois en vigueur ayant
G DG trait à l’informatique ?
G DG * Relatifs aux fichiers nominatifs ?
G DG
*Relatifs au piratage ?
G DG
*Relatifs au chiffrement ?
*Relatifs à la tenue d’une comptabilité informatisée

G DG
10 - Disposez vous d’une charte de sécurité précisant les droits et obligations des
G DG utilisateurs de l'outil informatique ? (prendre une copie)
11 - Disposez vous d'un comité de sécurité ?
G DG
12 - Qui sont les membres du comité de sécurité et leur fonction au niveau de
G DG l’entreprise ?
13 - Quel est le rôle du comité de sécurité ?
G DG
14 - L'entreprise dispose-t-elle d'un responsable de la sécurité informatique?
G DG
15 - Quelle est la position du responsable de sécurité dans la hiérarchie de
G DG l’entreprise ?
16 - Ses responsabilités sont-elles clairement définies?
G RS
_______________________________________141________________________________
17 - Le responsable de sécurité dispose-t-il de moyens nécessaires pour garantir la

G RS sécurité ?
18 - Quelles sont les plus récentes actions du responsable de sécurité ?
G RS
19 - Les actions du responsable de sécurité sont-elles reconnues par le personnel
G UT de l’entreprise ?
20 - Existe-t-il d’autres acteurs de sécurité ?préciser leur rôle
G DG
21 - L'entreprise dispose-t-elle d'une politique de sensibilisation et de formation
G RS sur la sécurité?
22 - Cette politique est-elle concrétisée par des instructions orales, des notes
G RS écrites ou autres?
23 - Le personnel informatique reçoit-il des formations périodiques sur la sécurité?
G RS
II - Organisation informatique
1 - La fonction informatique obéit-elle aux règles les plus usuelles de management

G RI ?
* détermination des objectifs
G RI
* planification
G RI
* sélection et formation du personnel
G RI
_______________________________________142________________________________
* supervision et motivation du personnel

G RI
* description des fonctions
G RI
* élaboration de procédures écrites
G RI
* comparaison des résultats aux objectifs
G RI
2 - Les procédures de gestion du personnel sont-elles adaptées aux risques liés à la
G RI fonction informatique:
* Recrutement
G RI
* formation permanente
G RI
* évaluation
G RI
* licenciement
G RI
* démission
G RI
* vacances
G RI
* rotation
G RI
3 - Les procédures de séparation des fonctions sont-elles suffisantes?
G RI
_______________________________________143________________________________
* les informaticiens ne sont pas habilités à exercer des fonctions en dehors du

G RI champs d'action de la fonction informatique.
* les chefs de projets, analystes et programmeurs ne sont pas habilités à
exercer des fonctions dévolues à l’exploitation, et vice versa pour les équipes
G RI d'exploitation.
* les utilisateurs ne peuvent effectuer que des consultations, des saisies et des
G RI éditions d'information.
4 - Le système informatique est-il suffisamment documenté:
D RI
* descriptif du système ?
D RI
* liste de matériels et logiciels informatiques?
D RI
* liste des programmes établis et mis en œuvre et leurs modifications ?
D RI
5 - Les ingénieurs système sont-ils soumis à un minimum de procédures?
G RI
* documentation de leurs travaux
G RI
* comptes rendu d'activité
G RI
6 - Existe-t-il des dossiers types par programme comportant :
D RI
* l'objet et la description du programme, ainsi que ses variantes successives?
D RI
_______________________________________144________________________________
* l'analyse fonctionnelle et détaillée des chaînes de traitements et sous

D RI programmes?
* les éléments des essais et tests effectués sur le programme ?
D RI
* les instructions pour l'exploitation du programme et les contrôles à
D RI effectuer?
* les exemplaires des états et renseignements à produire ?
D RI
7 - Disposez vous pour chaque application d'un manuel d'instructions précisant les
consignes de fonctionnement et d'exploitation du système et des programmes
D RI particuliers ?
_______________________________________145________________________________
2.1.3 – Incidences sur le risque inhérent
La grille suivante extraite du guide CNCC récapitule les incidences potentielles des risques
organisationnels sur le risque inhérent et sur la fiabilité du système d’information. Cette
grille, présenté à titre indicatif et non limitatif, doit être remplie par l’expert comptable
compte tenu du déroulement de la mission et des particularités propres à chaque entreprise:
Incidence sur le risque inhérent

Organisation * Fonctions gérées par des * Fonction sécurité * Services partageant
informatique services indépendants. existant plusieurs fonctions
* Fonction sécurité exercée partiellement. (notamment les études
par un responsable dédié. * Définition peu claire et l’exploitation).
* Organisation adaptée aux des rôles et * Fonction sécurité non
besoins. responsabilités. gérée.
* Représentation de la * Représentation non * Pas de représentation de la
fonction informatique auprès systématique de la fonction informatique auprès
de la direction. fonction informatique de la direction.
* Informations concernant la auprès de la direction. * Rôles et responsabilités non
gestion de l’informatique définis de manière claire.
fournies à direction.
Séparation des * Séparation assurée à tous * Séparation assurée mais * Les mêmes personnes ont en
tâches les niveaux. aucun contrôle réalisé. charge les études et
* Suivi de cette séparation. * Faible implication des l’exploitation.
Implication des utilisateurs. utilisateurs. * Aucune implication des
utilisateurs.
* Toutes les fonctions sont * Quelques fonctions * Fonctions sensibles
Externalisation assurées par l’entreprise. sont partiellement externalisées. Ressources
externalisées. internes réduites.
_______________________________________146________________________________
2.2 – Risques liés à la sécurité physique
La sécurité physique est le système qui permet de rendre insignifiant le risque de destruction
physique des outils informatiques et le risque qu’une personne extérieure puisse s’introduire
sans autorisation dans les locaux de la société afin d’accéder au système d’information.
L’appréciation du risque induit par les insuffisances de sécurité physique peut être
regroupée sous les deux rubriques suivantes :
Moyens d’accès aux locaux : En visitant les principaux sites de l’entreprise, l’auditeur
attache une attention particulière aux sécurités d’accès aux locaux de l’entreprise aussi bien
pendant les horaires normaux de travail qu’en dehors de ces horaires. Il doit poser des
questions sur les techniques de sécurité en place, existe-t-il des badges pour le personnel et
visiteurs ?, les salles abritant les serveurs ferment-elles à clés ?, ces clés sont-elles détenues
par le responsable de sécurité,…
Protection des locaux : La protection des locaux couvre la conception technique des locaux
où se trouve le matériel informatique, qui doit répondre à des règles de sécurité pour se
prémunir contre les risques des dégâts des eaux, des incendies, de la chaleur, de
l’humidité,…
De même, lors des entretiens, l’expert comptable doit attirer l’attention du client sur la
nécessité de disposer d’une armoire ignifuge, d’extincteurs pour se protéger contre les
incendies et d’onduleurs permettant d’assurer le relais en cas de coupure d’électricité.
A titre d’exemple, dans des sociétés de petites et moyennes taille (PME), il n'existe pas
toujours de salle machine dédiée au matériel informatique. Les serveurs et autres machines
côtoient les photocopieurs (risque d'incendie lié à une feuille bloquée qui s'embrase) et sont
situés dans un lieu de passage très fréquenté (risque de malveillance ou incident). Le risque
de survenance d'un incident est alors important. Parfois il suffit d'interroger le responsable
informatique ou les utilisateurs sur la fréquence et la nature des pannes intervenues dans
l'année pour se rendre compte des dangers et qualifier, voire chiffrer le risque.
_______________________________________147________________________________
2.2.2 – Questionnaire d’audit :

Objectif Concerné
Oui non N/A F M E
I - Sécurité physique
I.1 - Sécurité des locaux
1 - Les locaux où sont installés les matériels informatiques présentent-ils des

I RS risques de nuisance (électricité statique, poussière, chaleur, etc…) ?
2 - L’entreprise sensibilise-t-elle les utilisateurs aux risques naturels (incendie,
I RS inondation…) ?
3 - Les locaux informatiques sont-ils équipés pour lutter contre les incendies:
I RS porte coupe feu, installation d'extinction automatique, robinet d'incendie armé…
4 - Ces installations sont-elles périodiquement vérifiées?
I RS
5 - Existe- t- il des instructions de prévention contre les incendies, suffisamment
I RS connues du personnel :
* interdiction de fumer ?
I RS
* volume de papier maximal acceptable à la salle machine ?
I RS
* nettoyage périodique ?
I RS
* action à suivre en cas d'incendie ?
I RS
_______________________________________148________________________________
6 - Existe-t-il des détecteurs de fuite d'eau dans les locaux informatiques?

I RS
7 - Existe-t-il un système d'évacuation des eaux? Planchers inclinés, système de
I RS pompe…
8 - Ce type d'évacuation est-il périodiquement testé?
I RS
9 - L'installation électrique comprend-elle un transformateur d'isolement et
I RS régulateur de tension pour se prémunir des variations du courant électrique ?
10 - L'installation permet-elle la continuité de l'exploitation en cas de coupure
I RS électrique (onduleur, batterie, Groupe électrogène) ?
11 - Tout le matériel informatique est-il équipé d’onduleurs ?
I RS
12 - Les onduleurs sont-ils gérés au moyen d’un logiciel d’administration
I RS spécifique ?
13 - Ces onduleurs sont-ils équipés de batteries garantissant une autonomie?
I RS
14 - En plus des onduleurs, l'entreprise dispose-t-elle de logiciels de surveillance
I RS et d'alarme?
15 - La maintenance des onduleurs et logiciels est-elle périodique (contrôle de
I RS l'état de batterie)?
16 - Y a t il un système de climatisation dans les locaux informatiques?
I RS
_______________________________________149________________________________
17 - Y a t il une maintenance périodique du système de climatisation?

I RS
18 - Y a t il un système de secours en cas de panne dans le système principal?
I RS
19 - Les ordinateurs sont-ils affectés par utilisateur ?
I RS
20 - Les utilisateurs sont-ils responsables de leur matériel ?
I RS
21 - Est-il interdit de manger ou de boire près d’un ordinateur ?
I RS
22 - Une formation sur l’utilisation du matériel informatique a-t-elle été
I RI dispensée aux utilisateurs ?
23 - L’accès aux locaux de l’entreprise est-il protégé ?
I RS
24 - Le système de protection des accès physiques assure-t-il une protection 24
I- C RS heures sur 24 par des procédés d'alarme ou de gardiennage ?
25 - L'accès aux locaux informatiques est-il autorisé au personnel informatique
I- C RS seulement?
26 - Quel système d'accès aux locaux informatiques utilisez vous (gardiennage,
I- C RS automatique..)?
27 - Y a t il une trace identifiant chaque accès à ces locaux?
I- C RS
28 - En dehors des heures de travail, quel contrôle d'accès aux locaux
I- C RS informatiques effectuez vous?
_______________________________________150________________________________
29 - Quelle procédure de contrôle d'accès pour les visiteurs utilisez vous?

I- C RS
30 - Y a t il une trace sur tous les visiteurs?
I- C RS
31 - Les procédures d'accès physiques sont-elles renforcées par des systèmes de
I- C RS badges, de carte magnétique ou de code ?
32 - Des mesures de protection contre l’accès physique non autorisé ont-elles été
I- C RS mises en place ?
* Portes fermées à clé ?
I- C RS
* Ordinateurs éteints ?
I- C RS
33 - Pour les ordinateurs éteints, la mise sous tension est-elle verrouillée ?
I- C RS
* Clavier verrouillé ?
I- C RS
* Autres ? préciser
I- C RS
34 - Lorsque des clés sont utilisées, des consignes sont-elles données pour leur
I- C RS rangement ?
35 - L’entreprise utilise-t-elle un logiciel de contrôle d’accès ? préciser lequel
PI RS
36 - Les utilisateurs des portables sont-ils particulièrement sensibilisés aux
I RS-UT risques qui pèsent sur leur matériel ?
_______________________________________151________________________________
37 - Les mesures de protection contre les vols font-elle l’objet d’une procédure
I RS formalisée ?
38 - L’entreprise dispose-t-elle d’une police d’assurance appropriée ?
I RI
39 - Quel est le type de contrat d’assurance souscrit ? l’annexer
I RI
40 - Quel est le montant de la franchise d’assurance ?
I RS
41 - Existe-t-il une procédure formalisée en matière de déclaration de sinistres ?
I RS
42 - L’entreprise a-t-elle effectué une déclaration de vol récemment ?
I RS
I.2 - Sécurité du matériel
1 - Procédez vous à un inventaire permanent du matériel informatique, et au

D RS rapprochement avec l’existant théorique ?
2 - Etes vous doté d’un logiciel de gestion du parc informatique ? ( prendre une
D RS copie du parc)
3 - Le parc informatique est-il cohérent ?
D RI
4 - Le parc informatique est-il homogène ?
D RI
5 - Le parc informatique est-il récent ?
D RI
_______________________________________152________________________________
6 - Le parc informatique répond-t-il aux attentes des utilisateurs ?

D UT
7 - Existe-t-il une politique d’investissement informatique centralisée issue d'un
D DG plan directeur informatique?
8 - Quelle est la politique de renouvellement ?
D RI
9 - Quel est le type de financement : acquisition, location longue durée… ?
D RI
10 - Un responsable des investissements informatiques a-t-il été nommé ?
D DG
11 - Si oui, mène-t-il une veille technologique ?
D DG
12 - Les matériels achetés sont-ils évolutifs ?
D RI
13 - S’assure-t-on de la compatibilité des matériels achetés avec les matériels et
D RI logiciels déjà installés ?
14 - Le nouveau matériel est-il testé avant d’être installé ?
D RS
15 - Le matériel utilisé est-il sous garantie ?
D RI
16 - Quels sont les principaux fournisseurs informatiques ?
D RI
17 - Offrent-ils les garanties nécessaires à la continuité d'exploitation?
D RI
18 - Une fiche suiveuse est-elle créée lors de la mise en place d’un ordinateur ?
D RI
_______________________________________153________________________________
19 - Existe-t-il un carnet de maintenance par équipement informatique ?

D RS
20 - Existe-t-il un journal récapitulatif des incidents ?
D RS
21 - Quelle sont la fréquence et les principales causes des pannes du matériel
D RS-UT informatique ?
22 - Veille-t-on régulièrement à ce que la capacité du disque dur ne soit pas
D RS proche de la saturation ?
23 - Existe-t-il une « hot line » pour signaler les problèmes à l’administrateur de
D RI la maintenance ?
24 - La maintenance est-elle assurée en externe ? si oui préciser le nom du
D RI prestataire ?
25 - Si la maintenance est assurée en interne, l’administrateur en charge a-t-il les
D RI compétences nécessaires ?
26 - Si la maintenance est assurée en interne, l’entreprise dispose-t-elle de
matériels d’échange en nombre suffisant pour éviter les longues périodes
D RI d'immobilisation du parc?
27 - Si la maintenance est assurée en externe, existe-t-il un contrat écrit entre
D RI l’entreprise et son prestataire ?
28 - Les délais d’intervention et de réparation précisés dans le contrat sont-ils
D UT jugés raisonnables?
_______________________________________154________________________________
29 - Avez-vous contracté un contrat de télémaintenance ?

D RI
30 - Qui décide de l’obsolescence du matériel ?
D RI
31 - Quel est le sort du matériel obsolète ?
D RI
32 - Les disques durs du matériel cédé ou mis en rebus sont-ils vidés de leur
D RI contenu ?
I.3 - Sécurité des logiciels

1 - Y a-t- il un responsable unique des investissements logiciels ?
D RI
2 - Les logiciels utilisés sont-ils réputés ?
D RI
3 - Les logiciels utilisés sont-ils toujours distribués et mis à jour ?
D RS
4 - Les logiciels utilisés sont-ils homogènes?
D RI
5 - Les versions de logiciels sont-elles identiques par groupe d’utilisateurs ?
D RI
6 - L’entreprise veille-t-elle à ce que les supports d’origine soient livrés avec le
D RS matériel pour les logiciels pré installés ?
7 - L’entreprise utilise-t-elle des applications sur mesure ?
D RI
_______________________________________155________________________________
8 - La santé financière des fournisseurs ayant conçu ces applications est-elle

D RS surveillée ?
9 - Le contrat prévoit-il les conditions de livraison et de mise à jour du produit
D RI (délais, fiabilité, documentation) ?
10 - L’entreprise possède-t-elle une copie de secours de tous les logiciels qu’elle
D RS utilise ?
11 - Quelle est la fréquence des pannes des logiciels ?
D RS
12 - Existe-t-il un journal de suivi de ces pannes ?
D RS
13 - L’entreprise utilise-t-elle un outil d’inventaire des logiciels, si oui lequel ?
D RI
14 - L’entreprise dispose-t-elle d’un suivi des mises à jour des logiciels
D RS installés ?
_______________________________________156________________________________

Moyens * Les locaux sont * L’entreprise ne dispose * Toute personne peut accéder
d’accès aux surveillés. pas de sas ou de portillon aux locaux de l’entreprise sans
locaux de sécurité pour accéder à se présenter à l’accueil et y
* Les salles machines sont ses locaux. circuler librement.
sécurisées et interdites aux
personnes extérieures à la * Les salles machines * Les locaux des salles machines
société. disposent de digicodes. ne sont pas fermés et ne sont pas
surveillés.
* En dehors des heures de

travail, les locaux ne présentent
pas de dispositifs antivol.
Protection * L’entreprise dispose de * L’entreprise respecte les * L’entreprise ne respecte pas la

incendie détecteurs de fumée, réglementations en réglementation en terme de
d’armoires ignifugées et vigueur de protection protection incendie.
d’extincteurs. incendie, mais ne dispose
* Les salles machines pas de dispositifs
n’abritent pas les supplémentaires.
consommables et les
fournitures.
Protection * L’entreprise dispose * L’entreprise dispose * L’entreprise ne dispose
électrique d’onduleurs permettant d’onduleurs sur les d’aucune protection contre les
d’éviter des dégâts suite à serveurs les plus critiques. variations de tension électrique.
des coupures de courants En revanche, les postes de
ou des variations de travail n’en sont pas dotés.
tension.
_______________________________________157________________________________
2.3 – Risques liés à la sécurité logique
La sécurité logique permet de contrôler les risques d’accès aux données par des personnes
non autorisées (internes ou externes), ainsi que les risques d’altération des données
(notamment par des virus).
L’appréciation des risques liés à la sécurité logique et la sensibilisation de la direction de

l’entreprise sur ces problèmes, amène l’expert comptable à aborder les thèmes suivants lors
de la réalisation de ses entretiens :
Gestion des habilitations :
 S’assurer que le système d’exploitation utilisé par l’entreprise permet la création de

comptes utilisateurs personnalisés ;
 Vérifier que l’entreprise a mis en place une stratégie de groupe pour identifier les
droits et attributions des utilisateurs ;
 Vérifier que les comptes utilisateurs sont suivis par le responsable de sécurité ?
Les risques associés à l’absence d’une gestion appropriée des habilitations se manifestent
par l’attribution de droits et habilitations non conformes aux profils et responsabilités des
utilisateurs, ce qui peut donner lieu à des erreurs de traitement, destruction de données, perte
de confidentialité de données et diffusion non autorisée..
Gestion des mots de passe :
 S’interroger sur les règles de création des mots de passe au sein de l’entreprise ;
 Présenter les règles élémentaires d’un mot de passe solide ;
 Vérifier que le responsable de sécurité contrôle la fréquence de changement des
mots de passe.
_______________________________________158________________________________
Des mots de passe facile à deviner ou inchangés augmentent le risque d’intrusion externe
par le biais de forçage des mots de passe et l’utilisation non autorisée des données et
traitements de l’entreprise (consultation, modification et diffusion).
Utilisation d’Internet et de messagerie électronique :
 Identifier les postes disposant d’un accès Internet et de messagerie électronique et

apprécier le besoin de cet accès ;
 Informer la direction sur les risques associés à une connexion Internet permanente ;
 Vérifier que l’entreprise dispose d’un firewall pour sécuriser la navigation sur le
web ;
 Inciter le responsable sécurité de contrôler les cookies pour s’assurer de la correcte
utilisation de l’Internet ;
 Informer la direction des risques associés à l’utilisation de la messagerie
électronique et principalement à l’ouverture non sécurisée des pièces jointes ;
 Sensibiliser les utilisateurs sur les précautions à prendre lors de l’utilisation
d’Internet et de la messagerie électronique.
Les principaux risques liés à l’utilisation non sécurisée de l’Internet et de la messagerie

électronique résident dan la transmission d’infections virales, la prise de contrôle du poste
de travail et la pénétration du réseau par des personnes externes non autorisées, avec ce que
cela peut induire comme détournement et destruction de données au profit des concurrents,
mise hors service du système (déni de service),…
Antivirus :
 Sensibiliser les utilisateurs sur les modalités de propagation des virus et sur le besoin
de mettre en place un antivirus approprié et à jour ;
 Informer sur l’attitude à prendre en cas de détection d’un virus.
Protection du réseau :
 S’interroger sur le pare-feu utilisé par l’entreprise et sur les fonctionnalités qu’il
offre.
_______________________________________159________________________________
Sécurité des applications :
Le contrôle des sécurités logiques couvre également les sécurités associées aux principales
applications informatiques utilisées et qui ont un effet sur la continuité d’exploitation de
l’entreprise et sur la fiabilité d’informations financières élaborées.
Cet examen porte sur la documentation des applications, sur les contrôles programmés et les
contrôles utilisateurs et peut être guidé par les vérifications suivantes :
 Prendre connaissance de la documentation existante afin d’identifier les contrôle

programmés prévus ;
 Lors de la description des processus par les utilisateurs, identifier les contrôles
manuels effectués sur les flux d’informations ;
 Procéder, avec l’autorisation de la direction, à certains jeux d’essai pour s’assurer du
bon fonctionnement des procédures de contrôle décrites ;
 Identifier les états d’anomalies existants afin de vérifier que les contrôles
programmés sont opérationnels et que leurs résultats sont périodiquement analysés ;
 Analyser les procédures de traitement des anomalies ;
 Etudier les procédures de tests mis en place avant la mise en exploitation des
applications pour s’assurer de la conformité des résultats obtenus ;
 Etudier la satisfaction des utilisateurs et la maîtrise des applications utilisées
permettant de limiter les risques d’erreurs de traitement.
Il convient de préciser que l’examen des contrôles applicatifs réalisé dans le cadre d’un
audit de la sécurité informatique vise à s’assurer principalement de la fiabilité des données
produites par les applications et ayant un effet sur l’information financière, ce qui exclu les
contrôles de l’efficacité et de l’efficience des applications qui restent gérés par les missions
d’audit informatique.
Sensibilisation des utilisateurs :
 Examiner, si elle existe, la charte établie par la société, sinon présenter un modèle à
la direction ;
 Examiner les notes d’information et de sensibilisation ;
 Participer à la sensibilisation des utilisateurs.
_______________________________________160________________________________
2.3.2 – Questionnaire d’audit :

Objectif Concerné
Oui non N/A F M E
I - Sécurité logique et d'exploitation
I.1 - Mots de passe
1 - Existe-t-il des mots de passe au démarrage des ordinateurs ?

C RS
2 - Existe-t-il des mots de passe au démarrage du système d’exploitation ?
C RS
3 - Existe-t-il des mots de passe pour la connexion au réseau de l’entreprise?
C RS
4 - Existe-t-il des mots de passe au démarrage des applications ?
C RS
5 - Existe-t-il des mots de passe pour les fichiers de données?
C RS
6 - Existe-t-il des mots de passe pour la mise en veille des ordinateurs ?
C RS
7 - Le nombre de tentatives d’accès est-il limité ?
C RS
8 - Combien de mots de passe sont-ils en vigueur par utilisateur ?
C RS
_______________________________________161________________________________
9 - L'administrateur ou responsable sécurité possède-t-il une liste à jour des mots

C RS de passe ?
10 - Existe-t-il une norme interne pour le format des mots de passe ?
C RS-UT
11 - Ces normes sont-elles respectées ?
C RS-UT
12 - Le respect de ces normes est-il contrôlé ?
C RS-UT
13 - Les mots de passe sont-ils régulièrement modifiés?
C RS-UT
14 - Le responsable de sécurité dispose-t-il d'un historique des mots de passe?
C RS
15 - Le principe de confidentialité des mots de passe est-il respecté?
C UT
16 - Le responsable de sécurité contrôle-t-il régulièrement le respect de la
C UT confidentialité des mots de passe?
17 - Comment sont matérialisés ces contrôles?
C RS
18 - A défaut, ces mots de passe sont-ils récupérés au départ définitifs des
C RS salariés?
I.2 - Droit des utilisateurs
1 - Les profils des utilisateurs sont-ils configurés en fonction des droits de

C RS chacun ?
_______________________________________162________________________________
2 - Qui détermine les droits d’accès des utilisateurs ?

C RI
3 - Les définitions des autorisations d’accès sont-elles régulièrement mises à
C RS jour ?
4 - Les droits d’accès des salariés ayant quitté récemment la société ont-ils été
C RS retirés ?
5 - Les droits d’accès des salariés ayant changé récemment de poste ont-ils été
C RS modifiés ?
I.3 - Anti-virus
1 - Les notes et publications internes de l'entreprise abordent-elles le sujet des
I UT- RS virus?
2 - Les utilisateurs sont-ils sensibilisés aux risques liés aux virus ?
I UT- RS
3 - Les utilisateurs sont-ils informés sur la nature des virus et sur leur mode de
I UT- RS propagation ?
4 - Les utilisateurs sont-ils informés sur les méthodes de prévention, détection et
I UT- RS protection contre les virus ?
5 - Avez-vous déjà été victime de virus informatique?
I RS-UT
6 - Précisez la provenance de ces virus: supports physiques (disquette, CD,..),
I RS Email (fichier rattaché), Internet (téléchargement de fichiers…), autres
_______________________________________163________________________________
7 - Utilisez vous un logiciel anti-virus ? lequel ?

I RS-UT
8 - Avez-vous installé votre antivirus sur:
I RS
* tous les PC, serveur inclus, consacré à votre gestion interne (comptabilité,
I RS personnel, bureautique.)
* tous les PC, serveur inclus, consacré à votre activité principale
I RS (production)
9 - Ce logiciel est-il toujours activé sur chaque ordinateur ?
I RS-UT
10 - Contrôlez vous régulièrement que le logiciel antivirus n’est pas désactivé par
I RS les utilisateurs ?
11 - Procédez vous régulièrement à la mise à jour de votre antivirus? Précisez la
I RS fréquence
12 - Le responsable de sécurité a-t-il mis en place les moyens nécessaires à la
I RS surveillance et à la mise à jour des mesures de lutte contre les virus ?
I.4 - Chiffrement
1 - L'entreprise utilise-t-elle le chiffrement?
C RI-RS
2 - L'utilisation du chiffrement est-elle libre ou réglementée?
C RS
_______________________________________164________________________________
3 - Le cas échéant, la société respecte-t-elle la réglementation en vigueur?

C RS
4 - Quelles sont les procédures mises en œuvre par le responsable sécurité pour
C RS contrôler le respect de la réglementation?
5 - Est-il spécifié aux utilisateurs que l'utilisation de tout outil de chiffrement est
C UT soumise à une autorisation préalable?
6 – Comment le responsable de sécurité contrôle-t-il l'utilisation réglementée du
C UT-RS chiffrement?
V.4 - Accès Internet

1 - Quels sont les services que vous utilisez:
G RI
* navigation web,
RI
* messagerie,
RI
* FTP,
RI
* tel net,
RI
* news,
RI
* commerce électronique?
RI
_______________________________________165________________________________
2 - L'accès à ces services se fait via des postes isolés ou connectés au réseau?
G RS
3 - Quel outil de navigation utilisez vous?
G RS
4 - Quels outils de messagerie utilisez vous?
G RS
5 - Quels outils de contrôle d'accès aux services Internet utilisez vous? Firewall,
I RS proxy…
6 - Ces outils assurent:
I RS
* filtrage dans le contenu des documents HTML pour détecter et éliminer les
I RS applets Java suspects
* filtrage des cookies
I RS
* intégration d'un antivirus permettant l'analyse de données et messageries
I RS transférées
* contrôle du contenu des messages
I RS
* analyse des contextes des connexions
I RS
* protection contre l'IP Spoofing
I RS
* protection contre les outils de Scan et Torjon
I RS
_______________________________________166________________________________
7 - Pour les applications et données importantes a-t-on la possibilité de fermer

I RS l'accès internet sans bloquer les connexions internes?
I.6 - Sécurité d'exploitation

1 - Les utilisateurs sont-ils sensibilisés sur l’identification des données
C UT stratégiques?
2 - La sortie des données stratégiques en dehors de la société est-elle strictement
C UT réglementée?
3 - Quels sont les moyens mis en place pour vérifier que les données stratégiques
C RS ne sortent pas de l'entreprise sans autorisation préalable?
4 - La forme et la syntaxe des noms de répertoires et de fichiers de données sont-
C RS elles imposées?
5 - Ces conditions de forme permettent-elles d'empêcher la localisation rapide
C UT des données?
6 - Les conditions de forme et de syntaxe des noms de répertoires et de fichiers
C UT-RS de données sont-elles respectées par les utilisateurs?
7 - La gestion des accès aux sauvegardes garantie-t-elle la confidentialité des
C RI données sauvegardées?
8 - Quel est le degré d'utilisation de l'outil informatique selon le responsable
G RS sécurité?
_______________________________________167________________________________
9 - Quel est le degré d'utilisation de l'outil informatique selon les utilisateurs?

G UT
10 - Des règles relatives au bon usage du matériel informatique ont-elles été
D-I UT diffusées?
11 - Les ordinateurs sont-ils configurés initialement par l'administrateur pour
D-I RS limiter l'utilisation abusive?
12 - L'administrateur réalise-t-il des contrôles réguliers de ces configurations?
D-I RS quelle est la fréquence?
13 - Comment sont formalisés ces contrôles?
D-I RS
14 - L'installation et l'utilisation des jeux est-elle strictement interdite?
D-I UT-RS
15 - Des contrats moraux relatifs au bon usage de l'outil informatique lient-ils les
D-I UT employés?
16 - Ces contrats rappellent-ils les obligations à satisfaire?
D-I UT
17 - Ces contrats rappellent-ils les sanctions en cas de non respect?
D-I UT
18 - Les utilisateurs disposent-ils d'applications suffisantes pour répondre à leurs
G UT besoins?
19 - Reçoivent-ils des formations régulières sur les applications utilisées?
G UT
20 - Existe-t-il des applications développées en interne?
G RI
_______________________________________168________________________________
21 - L'entreprise autorise-t-elle les employés à réaliser des petits programmes

G RI personnels?
22 - Si oui, existe-t-il une procédure stricte réglementant cette activité?
D-I RS
23 - Quels sont les contrôles mis en place pour s'assurer du respect de cette
G RS procédure?
24 - Ces petits programmes sont-ils répertoriés?
G RS
25 - Le développement de ces petits programmes est-il réalisé sous le contrôle
I RS d'un spécialiste et validé par lui avant d'être utilisé?
26 - Ces programmes ne sont-ils pas redondants avec des applications existantes?
G UT
27 - La fiabilité de ces programmes est-elle contrôlée?
I RS
28 - La sécurité des ces programmes est-elle contrôlée?
I RS
29 - Ces programmes sont-ils suffisamment documentés?
D-I RS
30 - Les états issus de ces programmes sont-ils cohérents?
D-I RS
D-I RS 31 - La fiabilité des états issus de ces programmes est-elle contrôlée?
_______________________________________169________________________________
II - Sécurité des applications

1 - Disposez vous des codes sources des applicatifs utilisés au niveau de la
I RS gestion interne et de l'activité principale?
2 - Les licences achetées sont-elles monopostes ou multipostes ?
I RS
3 - Les supports d’origine des logiciels sont-ils gardés dans une armoire fermée à
I RS clé ?
4 - Les utilisateurs disposent-ils uniquement des versions des logiciels utilisables
I UT en lecture seulement ?
5 - Des actions de détection des copies illicites de logiciels sont-elles réalisées
I RS régulièrement ?
6 - Sont-elles réalisées à l’aide d’un moyen spécifique ? si oui, lequel ?
I RS
7 - Chaque contrôle fait-il l’objet d’un compte rendu ?
I RS
8 - Le responsable de la sécurité tient-il un registre des incidents relevés ?
I RS
9 - Des sanctions ont-elles été administrées aux fautifs ?
I RS
10 - Toute détection d’anomalie de fonctionnement d’un logiciel entraîne-t-elle
I RS son retrait immédiat ?
_______________________________________170________________________________
11 - Le cas échéant, les utilisateurs sont-ils tenus informés ?

I UT
12 - Des contrats moraux lient-ils les utilisateurs à l’entreprise sur les problèmes
I UT de piratage ?
13 - Une enquête sur les besoins en terme d’outils logiciels des utilisateurs est-
I RS elle réalisée régulièrement ?
14 - L’entreprise répond-t-elle aux attentes des utilisateurs si elles sont
I UT justifiées ?
_______________________________________171________________________________
L’incidence des modalités de mise en œuvre de la sécurité logique sur le risque inhérent
peut être schématisée de la manière suivante, en fonction des circonstances rencontrées :

Gestion des * Chaque utilisateur * Des identifiants communs * L’entreprise ne gère pas de profils
habilitations dispose d’un compte existent au sein de différents et ne dispose pas d’une
/ profils avec les droits d’accès l’entreprise. Seuls deux politique de mot de passe.
utilisateurs
nécessaires à sa profils existent : Risque que des utilisateurs aient des
fonction. administrateur /utilisateur. droits illimités alors qu’ils ne
* Les habilitations sont L’identification de doivent pas en avoir l’usage dans le
créées lors de l’entrée l’utilisateur ayant effectué cadre de leur fonction.
du salarié selon sa des opérations sous un
fonction et désactivées compte commun est * Des identifiants communs sont
lors de sa sortie. Elles impossible. utilisés par plusieurs utilisateurs et
sont régulièrement Certains utilisateurs auront aucun profil différent n’a été créé.
revues afin qu’aucun des droits trop étendus par Risque que l’identification de la
compte non utilisé ne rapport à la fonction personne ayant effectué des
soit encore actif. occupée. opérations sous un compte commun
soit impossible.
* Les entrées/sorties de
personnel ne sont pas
communiquées à
l’administrateur.
Risque que des comptes
d’utilisateurs ayant quitté
l’entreprise soient encore
actifs et représentent des
points d’accès possibles au
réseau pour des attaques
logiques provenant de
l’extérieur.
_______________________________________172________________________________
Gestion des * Des notes de * Les mots de passe ne * Des mots de passe génériques ou
mots de sensibilisation sont comportent pas de blocage mots de passe faciles à deviner ou
passe envoyées régulièrement sur leur longueur lors de leur identiques à l’identifiant existent
au personnel création et ne sont pas pour des comptes utilisateurs ayant
concernant la gestion changés régulièrement. des droits étendus.
des mots de passe.
* Le système impose
un nombre minimum de
caractères pour les mots
de passe, ainsi qu’un
changement régulier
aux utilisateurs.
Utilisation * L’accès à Internet est * Aucune sensibilisation à * Tous les postes disposent d’une
d’Internet / contrôlé par un pare-feu l’utilisation d’Internet et de connexion Internet et d’une
messagerie (firewall) et limité à la messagerie n’a été menée messagerie mais aucune
quelques postes dans auprès du personnel, mais sensibilisation à leur utilisation n’a
l’entreprise. ces outils ne sont accessibles été menée auprès du personnel.
que de quelques postes
* Le pare-feu a fait spécifiques. * Risque élevé d’importation de
l’objet d’un virus, de visites de sites non
paramétrage. autorisés, d’utilisation des outils à
des fins personnelles.
* Une charte décrit les
modalités d’utilisation
de ces outils dans le
cadre professionnel.
Antivirus * L’entreprise dispose * L’antivirus dont dispose * Des postes de travail avec lecteurs
d’un antivirus mis à l’entreprise n’est mis à jour de disquette ou CD-ROM et accès à
jour en ligne qu’une fois par mois. Internet ne disposent d’aucun
quotidiennement, antivirus.
installé sur tous les
postes et ne pouvant
être désactivé par
l’utilisateur.
_______________________________________173________________________________
Protection * Le réseau est protégé * Le réseau est relié à * L’entreprise détient des données
du de l’extérieur par un Internet, les flux entrants et sensibles et aucun flux entrant ou
réseau pare-feu (firewall) et sortants sont répertoriés, sortant du réseau n’est répertorié :
les accès utilisateurs mais aucun pare-feu n’en les éventuelles attaques dont
font l’objet d’un suivi. assure la protection. l’entreprise pourrait être la cible ne
peuvent pas être détectées.
* Risque d’attaques logiques
provenant d’Internet.
Sensibilisati * Une charte de bonne * Une charte de bonne * Aucune opération de
on des utilisation du système utilisation du système sensibilisation aux problématiques
utilisateurs d’information est d’information existe et est de sécurité logique
distribuée à l’ensemble remise au personnel à son et/ou aucune formation n’est
des utilisateurs et doit entrée dans la société : dispensée aux utilisateurs.
être signée par chacun. toutefois elle n’est pas à
retourner signée à la
direction.
* Des courriels de * Il n’existe pas de preuve

sensibilisation sont que les courriels ou notes
régulièrement envoyés internes de sensibilisation
à tous sur la gestion des ont été lus par les
mots de passe, la destinataires.
sécurité logique,...
Source : CNCC
2.4 – Risques liés à la gestion des sauvegardes
Une politique efficace de gestion des sauvegardes abouti nécessairement à l’établissement

d’un plan de sauvegarde et d’un plan de secours permettant de prévoir une solution capable
de se substituer au système d’information existant en cas de réalisation d’un sinistre majeur.
_______________________________________174________________________________
Lors de l’examen des risques liés aux sauvegardes, l’expert comptable doit s’assurer de :
 L’existence d’un plan de sauvegarde ;
 L’exhaustivité du plan en ce qui concerne l’identification des données jugées
sensibles de l’entreprise ;
 La classification des données et l’indication de la fréquence des sauvegardes, des
supports utilisés et des lieux de stockage ;
 La fréquence de restauration des données sauvegardées ;
 Les résultats, s’ils existent, des dernières opérations de restauration effectuées.
L’examen du plan de secours consiste quant à lui à s’assurer que l’entreprise a mis en place
une réflexion de secours en cas d’incidents. En général, il s’agit d’un contrat passé avec un
prestataire de service externe qui prévoit la mise à disposition d’un site de repli ou d’un
matériel en double en cas de pannes. Dans ce cas, il convient d’examiner les termes du
contrat pour s’assurer de la célérité des délais d’intervention et de restauration des systèmes
pour se protéger contre les risques d’arrêt prolongé d’exploitation.
_______________________________________175________________________________
2.4.2 – Questionnaire d’audit

Objectif Concerné
Oui non N/A F M E
I - Continuité d'exploitation
1 - Existe-t-il un plan de sauvegarde ? si oui le décrire
D RS
2 - Le plan de sauvegarde prévoit-il une sauvegarde modulée selon le niveau de
D RS sensibilité de chaque poste et des données traitées ?
3 - Le plan de sauvegarde préserve-t-il la société des pertes de données ?
D RS
4 - Les procédures de sauvegarde sont-elles clairement définies et écrites?
D RS
5 - Des cas de perte définitive des données se sont-ils produits?
D RS
6 - La gestion des sauvegardes est-elle assurée par un outil de sauvegarde ? si oui
D RS lequel
7 - Un responsable de sauvegarde a-t-il été nommé ?
D DG
8 - Le responsable de sauvegarde assiste-il les utilisateurs dans la gestion de leurs
D UT sauvegarde ?
_______________________________________176________________________________
9 - Quel est le type de sauvegarde réalisé ? (par fichier, par volume, par
D RS incrimination..) ?
10 - Quels sont les supports de sauvegarde: disquette, cd, cassette, cartouche,
D RS disque dur.
11 - Quels sont les moyens de contrôle mis en œuvre pour garantir une
D RS sauvegarde correcte ?
12 - Le nombre de jeux et la fréquence des sauvegardes sont-ils suffisants ?
D RS
13 - Pour les applications considérées comme vitales, est-il procédé à une
D RS duplication des sauvegardes ?
14 - Effectue-t-on un inventaire physique des supports de sauvegarde?
D RS
15 - Les sauvegardes sont-elles stockées dans des locaux sécurisés et éloignés de
D RS tout risque?
16 - Une fois prêtres, les sauvegardes sont-elles envoyées à leur lieu de stockage?
D RS
17 - Le dernier jeu de sauvegarde est-il facilement accessible pour une éventuelle
D RS restauration ?
18 - Ce jeu est-il placé en lieu sûr (coffre ignifuge, fermé à clé) ?
D RS
19 - Les supports de sauvegarde sont-ils testés régulièrement ?
D RS
_______________________________________177________________________________
20 - Les procédures de sauvegarde permettent-elles le respect de la législation

D RS fiscale ?
21 - Les contrôles de conformité à la législation fiscale sont-ils formalisés ?
D RS
22 - Une procédure distincte a-t-elle été mise en place pour assurer la sauvegarde
D RS des ordinateurs portables ? la décrire
23 - Procède-t-on périodiquement à des tests de restauration à partir des
D RS sauvegardes effectuées?
_______________________________________178________________________________
L’inobservation des règles de gestion des sauvegardes peut avoir les incidences suivantes
sur le risque inhérent :

Procédure * Une procédure de * Une procédure est appliquée * Aucune procédure de

de sauvegarde est rédigée et mise mais n’a pas été formalisée. sauvegarde n’est appliquée
sauvegarde à jour. Elle détaille les dans l’entreprise.
supports utilisés, le rythme * Risque que la procédure ne
des sauvegardes, les acteurs soit pas correctement appliquée * Risque de pertes de
impliqués dans le processus. et que la sauvegarde ne soit pas données en cas d’incident
exhaustive. dans le système
d’information.
Modalités * Une sauvegarde quotidienne * Une sauvegarde quotidienne * Les sauvegardes ne sont
de des données sensibles est est effectuée, des tests de pas effectuées régulièrement
sauvegarde effectuée. reprise des données sont menés et les
par sondage mais les états supports ne sont pas testés.
* Les supports sont conservés d’exécution ne sont pas
à l’extérieur de la société dans analysés.
un coffre ignifugé, les états
d’exécution sont revus après
chaque opération de
sauvegarde.
Plan de * Un contrat a été passé avec * Une réflexion a été menée * Aucune réflexion n’a été
secours une société spécialisée dans pour identifier les données les menée au niveau du plan de
les plans de secours pour une plus sensibles. Toutefois, secours.
prestation de site de secours aucun plan formalisé de reprise
ou détention de matériel en d’activité en cas d’incident n’a * Risque d’indisponibilité
double en cas de panne. été rédigé. longue du système en cas
d’incident : d’où des
difficultés à assurer la
_______________________________________179________________________________
* Un plan de reprise * Risque que la mise en place poursuite des activités de

d’activité est formalisé. Le du plan de secours soit l’entreprise et un risque de
plan est régulièrement testé et désordonnée et que les pertes financières et de
est opérationnel. différents acteurs ne soient pas données.
prévenus de leur rôle en cas
d’incident.
Source : CNCC
PARAGRAPHE 3 : APPRECIATION DU RISQUE LIE AU CONTROLE
Après avoir déterminé le risque inhérent à l’environnement informatique de l’entreprise,

l’auditeur est amené à examiner l’incidence des processus et des applications jouant un rôle
significatif direct ou indirect dans la production des comptes de l’entreprise.
Dans le cadre d’une mission d’audit financier, cette appréciation est faite dans l’objectif de
formuler une opinion sur les comptes et de répondre aux obligations légales et
professionnelles associées à la mission de commissariat aux comptes.
La fiabilité des contrôles applicatifs mis en place par l’entreprise et testés par l’expert
comptable permet d’alléger les contrôles sur les comptes en apportant une assurance
suffisante sur la fiabilité des données présentes dans le système d’information. En cas
d’anomalies décelées au niveau des contrôles applicatifs, des contrôles substantifs plus
élaborés seront planifiés par l’auditeur.
3.1 – Les contrôles programmés
Les contrôles programmés sont les contrôles effectués automatiquement par les
programmes aux différents stades du traitement de l’information. La vérification de ces
contrôles se fait essentiellement au moyen de l’examen de la documentation de l’application
fournie par l’entreprise et par des jeux d’essais pour valider certains de ces contrôles. On
distingue généralement les contrôles suivants :
_______________________________________180________________________________
3.1.1 – Les contrôles d’accès à l’application
Cette technique se base sur une attribution des droits d’accès aux différentes fonctions de
l’application aux utilisateurs, en mettant en place un système de protection des accès dont
principalement les mots de passe ou encore moins les cartes magnétiques, les cartes à
mémoire…
3.1.2 – Les contrôles à la saisie des données
Une application doit être programmée de telle façon qu’elle n’accepte pas de données
incohérentes ou erronées. Ces contrôles peuvent porter sur la nature des données saisies au
niveau des champs de saisie (numérique alphabétique, date, unité monétaire, nombre de
caractères…) ou au niveau des ensembles des champs en s’assurant de la cohérence entre
plusieurs données élémentaires. Par exemple, dans une application de paie, une rubrique
«congés maternité » ne doit pas être saisie pour un employé de sexe masculin, le total débit
d’une écriture comptable doit être égal au total crédit, vérification du signe (+) ou (–) des
données,...
3.1.3 – Les contrôles de traitement
Les contrôles des traitements ont pour objectif de vérifier que :

 Toutes les données sont traitées,
 Aucune donnée ne disparaît ou n’est artificiellement créée,
 Les traitements sont réalisés avec les bonnes versions de fichiers,
 Les calculs effectués par les traitements sont exacts.
Cette technique utilise par exemple la méthode de contrôle sur les valeurs caractéristiques
d’un fichier pris à deux moments différents : état du fichier en fin de période = état du
fichier en début de période + mouvements de la période.
Exemple : un fichier d’écritures comptables est mis à jour en temps réel par différents
utilisateurs. A la fin de chaque journée, le nombre total d’écritures saisies dans le fichier est
calculé.
_______________________________________181________________________________
Pour vérifier que les écritures saisies ont été correctement traitées, le contrôle suivant est
effectué :
 A la saisie, enregistrement dans un compteur du nombre et du total d’écritures

saisies par chaque utilisateur,
 Lors du traitement de fin de journée, totalisation du nombre et du montant des
écritures du jour et rapprochement avec les valeurs figurant dans les compteurs de
saisie.
3.1.4 – Les contrôles des sorties
Ils traitent principalement des contrôles des éditions en vue de s’assurer que l’ordinateur a
imprimé tous les états prévus, les états sont complets et exacts et les états sont effectivement
envoyés aux destinataires. Pour ce faire, ces contrôles s’intéressent à la présentation des
états qui doit répondre à un certains formalisme qui garantie son origine afin de pouvoir
distinguer entre un état produit de l’application et un état saisi sur un ordinateur, et qui doit
renfermer à titre indicatif le titre, le numéro de l’état produit par l’application, la date, le
numéro de la page, la mention « fin d’état », le destinataire, les totaux par page, …
L’application doit prévoir l’affichage d’un message d’erreurs en cas de détection d’une
anomalie suite à la réalisation de contrôles programmées. A coté des messages d’erreurs, il
convient de prévoir des contrôles bloquants qui interdisent le traitement d’opération ou du
lot d’opérations saisies (traitement par lot), dans ce cas l’utilisateur doit corriger toutes les
erreurs pour que l’application puisse continuer le traitement des données saisies.
Toutefois, dans certains cas il s’avère nécessaire pour des raisons de flexibilité de permettre
le traitement des opérations erronées ou anormales, à condition de prévoir dans l’application
la possibilité de « forçage » c'est à dire d’effectuer le traitement en dépit de l’erreur détecté.
Dans ce cas, et pour se prémunir contre les risques d’une utilisation abusive de cette
technique, il convient de tenir un journal des comptes rendus des forçages à valider par le
responsable informatique.
_______________________________________182________________________________
3.2 – Les contrôles utilisateurs
Si les contrôles programmés permettent de vérifier la correction formelle et la

vraisemblance d’une donnée ou d’une opération, l’exactitude quant à elle dépend des
contrôles réalisés par les utilisateurs. Les différents types de contrôles utilisateurs possibles
sont tout d’abord, les contrôles d’accès en assistant le responsable de la sécurité dans la
définition des droits d’accès des différents membres du personnel compte tenu de leur
fonction et leur niveau hiérarchique. En suite, au moment de la réalisation des traitements,
les utilisateurs doivent mettre en place certains contrôles qui permettent de s’assurer que
toutes les données ont été saisies correctement tels que la prénumérotation des pièces
comptables ou la tenue d’un registre de suivi des saisies….
En fin, les contrôles des résultats qui englobent aussi bien les contrôles sur les traitements et
sur les sorties. Ces contrôles portent principalement sur :
 Le pointage des états de contrôle produits par les applications ;
 Le contrôle par échantillonnage des résultats ;
 Les contrôles aléatoires par balayage partiel de fichiers ;
 Les contrôles de la distribution des états avec la liste des états.
Les contrôles utilisateurs sont validés par l’auditeur au moment des entretiens avec les
utilisateurs.
PARAGRAPHE 4 : RECOMMANDATIONS D’AUDIT
Cette phase constitue la phase finale de la mission et réside dans l’émission des
recommandations d’audit.
Suite à l’appréciation des risques informatiques et leur impact sur la fiabilité du système de
contrôle interne en place, à la réalisation des entretiens et des tests substantifs nécessaires à
la validation de ses conclusions, l’auditeur procède à une réunion de discussion avec la
direction générale, au cours de laquelle il présente ses conclusions appuyées par les pièces
justificatives auxquelles il a pu avoir accès. Suite à cette réunion, l’expert comptable
procède à la finalisation du rapport d’audit de sécurité (déjà rédigé au fur et à mesure de la
réalisation de la mission), qu’il soit intégré dans le cadre d’une lettre de direction portant sur
l’appréciation du système de contrôle interne en place, ou faisant l’objet d’un rapport
spécifique d’audit de la sécurité informatique.
_______________________________________183________________________________
4.1 – Finalité des recommandations d’audit
Dans le cadre d’une mission d’audit financier, les conclusions d’audit de sécurité peuvent
avoir deux incidences différentes:
 Les conclusions portant sur la sécurité organisationnelle et physique, se rapportant
à l’appréciation du système de contrôle interne, sont à incorporer dans la lettre de
direction;
 Les conclusions ayant un impact direct sur la fiabilité des procédures d’arrêté des
comptes, tels que la détermination du coût moyen pondéré des stocks, la
détermination de la marge commerciale ou de la taxe sur la valeur ajoutée ( base
erronée), les procédures d’intégration dans l’application comptable du chiffre
d’affaires,… Dans ce cas, ces insuffisances ont un impact direct sur la certification
des comptes par l’auditeur et doivent conduire à la réalisation de travaux
supplémentaires de validation en vue de conclure sur des réserves ou le cas échéant
à un refus de certification.
Dans tous les cas, les conclusions significatives tirées dans le cadre d’un audit financier ou
d’une mission spécifique d’audit de la sécurité informatique, doivent être portées à la
connaissance de la direction générale de l’entreprise.
4.2 – Note de synthèse
La note de synthèse portant sur les conclusions d’audit de la sécurité informatique, doit être
structurée en quatre phases :
1. Rappel de l’objectif de la mission, son étendu et le contexte de sa réalisation, ainsi que
les conditions de son exécution ;
2. Exposé de la démarche poursuivie et des étapes réalisées (entretiens, questionnaire, tests
substantifs). En cas de recours à un spécialiste, sa démarche ainsi que les travaux
effectués sont indiqués dans la note de synthèse (tests d’intrusion, reconnaissance des
réseaux, sondage des systèmes, audit des applications..). Les limites à la réalisation de la
mission doivent être également précisées.
_______________________________________184________________________________
3. Exposé des principales conclusions en présentant les défaillances majeures en matière

de sécurité informatique, les risques associés et les recommandations à mettre en place.
Cette partie du rapport est destinée à la direction générale, de ce fait, elle doit être
synthétique et présenter les risques significatives et ayant un impact élevé sur la fiabilité
du système d’information et pouvant amener la direction à revoir sa stratégie de sécurité
vu les risques significatifs présentés. Dans cette partie du rapport l’expert comptable
doit indiquer également les cas rencontrés au cours de son audit et relevant du non
respect de la réglementation comptable, juridique et fiscale en matière informatique.
4. Exposé de l’ensemble des faiblesses rencontrées et des recommandations proposées.
Destiné au responsable de sécurité, cette partie du rapport porte sur l’ensemble des
insuffisances rencontrées qui doivent être justifiées par des exemples indiscutables pour
convaincre le responsable de sécurité d’une part et pour accroître la crédibilité des
travaux de l’expert comptable auprès des clients.
Les recommandations doivent être claires, applicables et adaptées à l’entreprise en fonction

de son environnement, de sa taille, de son effectif et de la gravité des risques encourus. Ces
recommandations doivent respecter également la règle d’avantage coût, à quoi sert de
proposer une solution de sécurité coûteuse pour un risque dont la probabilité d’occurrence
est très faible et/ou dont le coût associé est insignifiant.
SECTION 2 : LES BONNES PRATIQUES DE SECURITE INFORMATIQUE
A côté de sa mission de certification des comptes, l’expert comptable joue un rôle principal
de conseil et d’aide à la prise de décision auprès des entreprises auditées, et principalement
les petites et moyennes entreprises. Ainsi, il est amené dans le cadre d’un audit financier ou
d’une mission spéciale d’audit de la sécurité informatique d’orienter ses clients quant aux
moyens de sécurité informatique à mettre en place. C’est dans ce cadre qu’on va essayer
dans ce qui suit de présenter un ensemble de règles de sécurité qui servent à l’expert
comptable pour animer ses entretiens avec les responsables informatiques et les utilisateurs,
en leur indiquant par exemple les règles de choix de mots de passe ou en les renseignant sur
les fonctions de sécurité offertes par le système d’exploitation.
_______________________________________185________________________________
Nous allons utiliser et faire référence principalement au système d’exploitation Windows

XP pour son utilisation assez répandue auprès des entreprises69 d’une part, et pour les
options de sécurité qu’il offre d’autre part.
Ainsi, seront présentées dans un premier temps les sécurités élémentaires à vérifier dans le
cadre d’un audit de la sécurité informatique, pour aborder ensuite quelques notions de
sécurité avancée liées à l’utilisation des technologies de l’information.
PARAGRAPHE 1 – SECURITES ELEMENTAIRES
La gestion de la sécurité dans le cadre d’une petite et moyenne entreprise, suppose la mise
en œuvre de moyens de défenses minimums contre les risques informatiques. Ces défenses
peuvent être assurées principalement par les actions suivantes :
1. Veiller à la protection “physique” d’accès aux serveurs, ordinateurs et logiciels

informatiques ;
2. Protéger l’accès aux ordinateurs, systèmes d’exploitation et applications par des
mots de passe solides ;
3. Mettre en place une solution virale constamment mise à jour ;
4. Assurer l’administration du réseau en accordant aux utilisateurs les profils et les
droits nécessaires à l’exécution de leurs tâches ;
5. Assurer la protection du réseau contre les intrusions extérieures à l’aide des pare-
feu appropriés;
6. Utiliser des procédures de sauvegarde claires et adaptées à la sensibilité des données
de l’entreprise ;
7. Contracter les contrats d’assurance nécessaires à la couverture des risques ;
8. Assurer la sensibilisation des utilisateurs.
Des modalités pratiques de mise en place de ces solutions de sécurité seront examinées
dans ce qui suit (gestion de domaine, mots de passe), d’autres feront l’objet d’annexes
au présent mémoire (antivirus, pare-feu, charte de sensibilisation des utilisateurs).
69
Vincent HERMANN, « l‘utilisation des systèmes d’exploitation en Europe », www.zdnzt.fr
_______________________________________186________________________________
1.1 – Stratégie de groupe
1.1.1 – Vérification de la stratégie de groupe

Une bonne gestion des attributions suppose la mise en place d’une stratégie de groupe qui
permet d’accorder les droits et attributions des utilisateurs en fonction des pouvoirs et
responsabilités.
Outre les entretiens avec les responsables, l’examen de la stratégie de groupe poursuivie par
l’entreprise peut être réalisé par la consultation des postes de travail. En pratique, et lorsque
le nombre des postes de travail est important, l’auditeur aura à examiner principalement les
serveurs et quelques postes clés de l’entreprise.
Pour identifier les membres des groupes locaux et de là apprécier la stratégie appliquée, il
est recommandé d’ouvrir une session en tant qu’administrateur ou en tant que membre du
groupe administrateurs en procédant comme suit :
1. Cliquer sur Démarrer, Programmes, Accessoires.

2. Cliquer sur Invite de commandes et taper :
 net localgroup "utilisateurs avec pouvoir" pour afficher la liste des

membres du groupe des utilisateurs avec pouvoir ;
 net localgroup "utilisateurs" pour afficher la liste des membres du
groupe des utilisateurs ;
 net localgroup "administrateurs" pour afficher la liste des membres du
groupe des administrateurs.
1.1.2 – Création d’un compte utilisateur
Suite à la vérification de la stratégie de groupe, décrite ci-dessus, l’expert comptable peut

constater que l’entreprise utilise seulement des comptes administrateurs ou ne dispose pas
d’assez de comptes utilisateurs pour sa gestion. Dans ce cas, il lui appartient d’éclairer la
direction sur les modes de création des comptes utilisateurs.
Pour créer un compte utilisateur, il convient de suivre les étapes suivantes :
_______________________________________187________________________________
1. Cliquer sur Démarrer, pointer sur Paramètres, puis cliquer sur Panneau de
configuration. Double-cliquer sur Outils d’administration, puis sur Gestion de
l’ordinateur. Dans l'arborescence de la console, cliquer sur Utilisateurs.
2. Dans le menu Action, cliquer sur Nouvel utilisateur.
3. Taper les informations appropriées dans la boîte de dialogue (nom d’utilisateur,
description, mot de passe…)
4. Activer ou désactiver les cases à cocher suivantes :
o L'utilisateur doit changer de mot de passe à la prochaine ouverture de session
o L'utilisateur ne peut pas changer de mot de passe
o Le mot de passe n'expire jamais
o Le compte est désactivé
5. Cliquer sur Créer, puis sur Fermer.
Figure 1 : Création d’un compte utilisateur
NB : vérifier toujours que le compte Invité est désactivé afin d’éviter que toute personne
étrangère, ne possédant pas de compte d'utilisateur, puisse accèder à l’ordinateur sans
l’utilisation d’un mot de passe.
_______________________________________188________________________________
La désactivation de ce compte se fait comme suit :
1. Cliquer sur démarrer ;

2. Pointer sur panneau de configuration et sélectionner paramètres de sécurité ;
3. Cliquer sur outils d’administration;
4. A l’affichage de la stratégie de sécurité locale, cliquer sur stratégie locale puis
options de sécurité ;
5. Dans options de sécurité désactiver le compte invité. D’autres options de sécurité
peuvent être activées à partir de cette fenêtre (voir fig 2).
Figure 2 : Options de sécurité
_______________________________________189________________________________
1.2 – Mots de passe
1.2.1 – Utilisation des mots de passe

Le contrôle par l’expert comptable de l’utilisation des mots de passe pour accéder aux
ordinateurs, au réseau et aux différentes applications utilisées par l’entreprise, peut se faire
en suivant les étapes suivantes :
1. Choisir le serveur et quelques postes clés de l’entreprise pour faire le test ;

2. Informer à l’avance les utilisateurs concernés ;
3. Eteindre le poste de travail à tester et redémarrer pour s’assurer de l’existence d’un
mot de passe à l’ouverture de la session ;
4. Démarrer les applications existantes sur les postes audités afin de vérifier
l’utilisation d’un code utilisateur et d’un mot de passe spécifique ;
5. Conclure sur l’utilisation des mots de passe par poste et par application.
1.2.2 – Vérification de la solidité des mots de passe
Il est toujours utile d’utiliser un mot de passe pour sécuriser l’accès logique aux matériels,
logiciels et données de l’entreprise. Toutefois, de la solidité de ces mots de passe dépend
l’atteinte de cet objectif.
En examinant la stratégie de mot de passe utilisée, il convient de suivre le chemin suivant :

1. Cliquer sur démarrer ;
2. Pointer sur Exécuter et taper la commande "gpedit.msc", la fenêtre de stratégie de
groupe s’affiche ;
3. Sélectionner paramètres de sécurité ;
4. Cliquer sur stratégie de compte ;
5. Dans la fenêtre stratégie de compte s’affiche la stratégie de mot de passe (figure 3)
et la stratégie de verrouillage (figure 4).
_______________________________________190________________________________
Figure 3 : Stratégie de mot de passe
L’examen et la discussion de ces paramètres avec les responsables de l’entreprise, peuvent

être guidé par les éléments suivants :
1. Conserver l’historique des mots de passe : ce réglage indique le nombre de fois
qu’un utilisateur doit changer son mot de passe avant qu’il puisse réutiliser un ancien
mot de passe ;
2. Durée de vie maximale du mot de passe : il est recommandé de fixer cette durée à
60-90 jours ;
3. Durée de vie minimale du mot de passe : cette durée doit être relativement longue
pour éviter qu’un utilisateur ne change successivement son mot de passe le nombre
de fois nécessaire pour retrouver son mot de passe historique.
4. Le mot de passe doit respecter les exigences de la sécurité : l’activation de ce
paramètre oblige à avoir des mots de passe composés de minuscules et majuscules,
de chiffres et de lettres et des caractères spéciaux… ;
5. Le mot de passe ne doit pas renfermer moins de 8 caractères.
La solidité des mots de passe peut être accompagnée par une stratégie de verrouillage des
comptes pour limiter les tentatives de détection de mots de passe et par là l’intrusion dans
les comptes. Cette option est offerte par la procédure décrite ci-dessus et présentée par la
figure 4 :
_______________________________________191________________________________
Figure 4 : Stratégie de verrouillage du compte
L’expert comptable pourra apporter les éclaircissements suivants lors des entretiens :
 Seuil de verrouillage du compte : c’est le nombre de tentatives d’accès non valable
au-delà des quelles le compte est verrouillé, il peut être fixé à trois ;
 Durée de verrouillage de compte : réglage souhaité entre 15 et 30 minutes.
1.3 – Autres mesures de sécurité
Nous allons présenter dans ce qui suit un ensemble de moyens de sécurité offerts par le
système d’exploitation "Windows XP". Ces moyens peuvent être évoqués par l’expert
comptable lors de ses entretiens avec les clients ou dans le cadre de ses recommandations
d’audit.
_______________________________________192________________________________
1.3.1 – Utiliser le centre de sécurité Windows XP
Le centre de sécurité Windows XP offre des options de sécurité pertinentes qu’il convient
d’activer pour bénéficier des avantages associés. Il s’agit principalement des mises à jour
des logiciels et correctifs de sécurité et du pare-feu Windows.
Le contrôle de l’activation de ces paramètre se fait en consultant le centre de sécurité dans

le panneau de configuration, comme le montre les figures suivantes :
Figure 5 : Centre de sécurité Windows XP
Figure 6 : Pare feu Windows
_______________________________________193________________________________
Lorsque la case à cocher Ne pas autoriser d'exception est activée, le pare-feu bloque
toutes les demandes non sollicitées de connexion à votre ordinateur, notamment les
demandes concernant les programmes ou services sélectionnés sous l'onglet Exceptions. Il
est recommandé d’utiliser ce paramètre lorsqu’on a besoin d'assurer une protection
maximale de l’ordinateur, par exemple lorsqu’on se connecte à un réseau public dans un
hôtel ou un aéroport ou lorsqu'un virus ou un ver dangereux se répand sur Internet.
1.3.2 – Verrouiller l’ordinateur
Pour accroître la sécurité du système d’exploitation contre certains programmes qui

stimulent une ouverture de session pour récupérer un mot de passe, il convient d’utiliser
l’option CTRL+ALT+SUPPR pour garantir que l’écran d’ouverture de session apparaisse.
Pour se faire :
1. Dans panneau de configuration cliquer sur compte utilisateurs ;

2. Cliquer sur options avancées ;
3. cocher « les utilisateurs doivent appuyer sur ctrl + alt + suppr ».
De même, en quittant temporairement l’ordinateur, il peut s’avérer nécessaire de le

verrouiller sans le fermer, en procédant de la manière simple suivante :
1. Appuyer sur CTRL+ALT+SUPPR.

2. Cliquer sur Verrouiller l'ordinateur.
Windows affiche la boîte de dialogue Ordinateur verrouillé. Le système est maintenant

verrouillé, ce qui empêche de le déverrouiller et d'afficher les fichiers ou programmes
ouverts.
Pour déverrouiller l’ordinateur, appuyer sur CTRL+ALT+SUPPR, taper votre mot de passe,
puis cliquer sur OK.
1.3.3 – Affecter un mot de passe à l'écran de veille
1. Dans le Panneau de configuration, ouvrir l'élément affichage.

2. Sous l'onglet Écran de veille, cliquer sur économiseur d'écran dans la liste sous Écran
de veille.
3. Activer la case à cocher Protéger par mot de passe par la suite.
_______________________________________194________________________________
1.3.4 – Rendre un dossier privé
1. Ouvrir poste de travail ;

2. Double-cliquer sur le lecteur où Windows est installé (généralement le lecteur C, sauf
s’il existe plusieurs lecteurs sur l’ordinateur).
3. Double-cliquer sur le dossier Documents and Settings.
4. Double-cliquer sur votre dossier utilisateur.
5. Cliquer avec le bouton droit sur un dossier, puis cliquer sur Propriétés.
6. Sous l'onglet Partager, activer la case à cocher Rendre ce dossier privé afin d'être le
seul autorisé à y accéder.
Pour bénéficier de cette option de sécurité, il est nécessaire que le lecteur soit formaté en
NTFS.
1.3.5 – Créer un fichier caché
Pour cacher un fichier :
1. Cliquer avec le bouton droit sur le fichier ou le dossier.

2. Sous l'onglet Général, activer la case à cocher Caché.
Pour afficher des fichiers cachés, dans le menu Outils des fenêtres de dossier, cliquer sur
Options des dossiers. Sous l'onglet Affichage, sous Paramètres avancés, sélectionner
Afficher les fichiers et dossiers cachés.
1.3.6 – Masquer les documents dernièrement utilisés
Afin d’éviter toute tentative « d’espionnage interne » et pour garder secrets certains dossiers
jugés confidentiels ou personnels, il est possible de procéder comme suit :
1. Cliquer avec le bouton droit sur Démarrer, puis cliquer sur Propriétés ;
2. Dans l'onglet Menu Démarrer, cliquer sur Menu Démarrer, puis sur Personnaliser ;
3. Sous l'onglet Avancé, désactiver la case à cocher Afficher les documents ouverts
récemment ;
4. Sous l'onglet Avancé, cliquer sur Effacer la liste pour vider le dossier Mes
documents récents. Cela n'entraîne pas la suppression de documents de l'ordinateur.
_______________________________________195________________________________
PARAGRAPHE 2 : SECURITES AVANCEES
2.1 – Sécurité Internet
2.1.1 – Définir la zone de sécurité

En navigant sur le web, Internet explorer classe les sites à visiter en quatre groupes en
fonction du niveau de sécurité associé. Les niveau de sécurité offerts par défaut sont les
suivants (voir figure 7) :
 Internet : moyen ;
 Intranet local : moyennement bas ;
 Sites de confiance : faible ;
 Sites sensibles : élevé.
Figure 7 : Niveau de sécurité Internet
Ces paramètres peuvent être modifiés en accédant aux paramètres de configuration/options

Internet/sécurité. Toutefois, la fixation du niveau de sécurité Internet à un niveau élevé peut
nuire à la qualité de navigation et au nombre de sites visités, puisque cette option appose des
restriction telles que : demander le nom d’utilisateur et le mot de passe pour autoriser la
connexion, désactiver tous les contrôles activeX, …
_______________________________________196________________________________
En examinant la définition des zones de sécurité Internet, l’auditeur peut identifier des
risques potentiels au cas où il constate par exemple que le niveau de sécurité associé à
Internet est faible, ce qui veut dire que tous les téléchargements sont effectués sans contrôle
ni messages de sécurité et que les contenus actifs pouvant nuire au système, peuvent être
exécutés.
2.2.2 – Définir le style des fichiers téléchargés
En dépit des contrôles de zone de sécurité Internet, certaines pages web visitées peuvent
présenter un risque pour l’entreprise. En effet, les fonctions dynamiques d’une page web
sont possibles grâce à des programmes « ActiveX controls » ou « Java Script »,
téléchargeables automatiquement et qui peuvent être détournés pour définir et exécuter des
actions indésirables pour l’ordinateur client et pour exploiter des failles de sécurité.
Pour limiter l’exécution des AactiveX controls et JavaScript, on doit fixer le niveau de
sécurité Internet explorer au niveau « élevé ». Ainsi, tous les sites inexistants dans la liste de
confiance seront pris en compte dans la zone de sécurité Internet fixée à « élevé », ce qui
permet de réduire les téléchargements des contrôles activeX et Java Script. Toutefois, un tel
paramétrage ne permet plus d’accéder normalement aux sites Internet utilisant ces
programmes. La solution serait alors de définir minutieusement la liste des sites de
confiance ne nécessitant pas la limitation de l’exécution de tels programmes.
La consultation de « affichage fichiers » dans les paramètres de l’options Internet permet

de visualiser les AactiveX controls et JavaScript stockés sur l’ordinateur. Les contrôles
ActiveX et JavaScript de source de confiance doivent avoir une signature numérique que
l’Internet explorer vérifie avant de les exécuter.
2.1.3 – Exploitation des cookies
Les cookies sont des fichiers de données permettant de surveiller les habitudes de
navigation des internautes en affichant les pages web visitées. L’examen de l’historique des
cookies permet de se renseigner sur l’utilisation optimale des moyens informatiques et des
risques associés à la consultation de sites risqués, illicites…
Pour visualiser les cookies aller dans panneau de configuration/options

Internet /paramètres/ affichage objet.
_______________________________________197________________________________
2 .1.4 – Précautions à prendre
En dépit des avantages procurés par l’utilisation de l’Internet comme technologie de

traitement de l’information et de la communication, la navigation sur le Web expose
l’internaute à un ensemble de risques qui peut nuire à la sécurité des données et de matériel
informatique de l’entreprise, d’où le besoin de déployer des mesures de précautions
appropriées pour se prémunir contre les risques véhiculés par Internet. Ainsi, il convient de :
1. Ne télécharger aucun programme inconnu (jeux, économiseurs d’écran, etc.) depuis

l'Internet. Cliquer sur "Interrompre" ou sur "non" lorsqu’une fenêtre de
téléchargement s’affiche.
2. Télécharger les mises à jour des logiciels et applications uniquement sur les sites
Web du fabricant concerné. Vérifier-les ensuite au moyen d’un logiciel antivirus
actualisé.
3. Ne pas communiquer votre nom d'utilisateur ou votre mot de passe sur le web. Cette
remarque vaut également lorsque la demande paraît crédible et comporte des
caractéristiques d’identification évidentes du fournisseur (p. ex. adresse
électronique, site Internet, etc.). En cas de doute, ne pas répondre et poser la
question au fournisseur concerné.
4. Lors d'achats en ligne, il faut veiller à ne traiter qu'avec les fournisseurs sérieux.
N'entrer le numéro de carte de crédit que sur des pages Web utilisant un protocole
sécurisé. On les reconnaît à la petite clé dorée s’affichant sur le bord inférieur
gauche du navigateur ou au protocole indiqué dans l’URL (https au lieu de http).
2.2 – Sécurité de messagerie électronique
Le courrier électronique est un moyen de communication très apprécié et très utilisé de nos
jours. Toutefois, la plupart des infections électroniques sont transmises aux ordinateurs par
les pièces jointes aux courriers. De même, le nombre important de pourriels (courriels
indésirables) contribue à une surcharge de l’infrastructure Internet et serveur de messagerie
et à une perte de temps considérable pour l’utilisateur.
_______________________________________198________________________________
Selon Olivier Breittmayer, directeur général de France blackspider, société de service de

sécurité des courriels « nous traitons 120 millions de messages électroniques par mois, sur
cette masse nous éliminons 67% des messages puisqu’ils correspondent à du spam. A cela
s’ajoute 5% des courriels qui contiennent des virus »70.
Pour se prémunir contre ces risques l’entreprise doit bloquer les pièces jointes à risque,
utiliser des filtres anti-pourriels et en règle général prendre des précautions liées à
l’utilisation de la messagerie électronique.
2.2.1 – Blocage des pièces jointes à risque
Les logiciels de messagerie offrent la possibilité de bloquer les pièces jointes aux messages
électroniques susceptibles de contenir un virus en interdisant l’ouverture et l’enregistrement
de ces pièces.
Cette technique permet grâce à l’examen et au filtrage des courriels entrant d’éliminer ceux
constituant un risque potentiel à la sécurité du système d’information de l’entreprise.
2.2.2 – Filtre anti-pourriels
La plupart des logiciels de messagerie offre des fonctions pour filtrer les courriels entrants.
Pour l’usage domestique ou pour les PME, il existe des filtres anti- pourriels permettant de
traiter les courriels selon un certains nombre de critères paramétrables, tels que par
exemple : l’objet, l’adresse de l’expéditeur, mots clés,…et de les classer soit en courriels
désirables soit en pourriels mis à la poubelle.
Le problème de cette technique est lié aux difficultés de configuration des critères de choix
qui peut amener à rejeter un courriel acceptable. Une bonne règle consiste à utiliser des
filtres pour repérer les messages qu’on veut lire en premier, le courriel restant dans la boite
de réception constitue alors un courrier suspect à examiner avec précaution.
70
Xavier BOUCHET - « transformer l’e-mail en système critique » - le monde informatique n°1071, mai
2005.
_______________________________________199________________________________
2.2.3 – Utiliser les techniques de cryptage
Afin d’assurer l’intégrité aussi bien des données stockées sur l’ordinateur ou transmises via
la messagerie électronique, il est fortement recommandé de procéder au cryptage des
données.
Ce cryptage est possible avec Windows XP professionnel à l‘aide d’un système de cryptage
EFS (Encrypting File System). La démarche à suivre est la suivante:
1. Lancer Windows Explorer ;
2. Sélectionner le classeur à crypter et ouvrir la fenêtre des propriétés
correspondantes ;
3. Cliquer sous l’onglet «Général» sur le bouton «Avancé...»
4. Cocher «Crypter le contenu pour sécuriser les données» (voir figure. 8)
5. Confirmer par «OK»
Figure 8 : Cryptage des données
Tous les fichiers enregistrés sous un tel dossier seront chiffrés et aucun autre utilisateur ne
pourra y accéder, toute tentative sera sanctionnée par le message d’erreur « accès refusé ».
A l’occasion de transmission de courrier électronique, les logiciels de messagerie permettent

également d’assurer le cryptage des données transmises à condition de disposer d’un
certificat électronique délivré par les organismes compétents (agence nationale de
certification électronique).
_______________________________________200________________________________
2.2.4 – Précautions à prendre
1. Se méfier du courrier électronique dont l’adresse d’expédition est inconnue. Dans un

tel cas, n'ouvrir aucun document ou programme joint et ne sélectionner aucun des
liens y figurant ;
2. N’ouvrir que les fichiers ou les programmes provenant de sources dignes de

confiance et après avoir vérifié le contenu avec un logiciel antivirus actualisé ;
3. N’ouvrir aucune annexe du courrier électronique à deux extensions (p. ex.

picture.bmp.vbs). Pour identifier les extensions des fichiers cliquer sur paramètres,
Panneau de configuration, Options des dossiers, Affichage et désactiver l'option
« Cacher les extensions des fichiers dont le type est connu » ;
4. Vérifier régulièrement les mises à jour des programmes du courrier électronique et

les installer ;
5. Limiter la communication de l’adresse électronique à un minimum strict de

personnes et utiliser-la exclusivement pour les correspondances importantes ;
6. Se doter d’une deuxième adresse e-mail gratuite
pour envoyer et recevoir les messages privés aux salariés de l’entreprise, remplir des
formulaires sur le Net, s'abonner à des bulletins, écrire dans des livres d'hôte, etc. Si
une telle adresse est connue et infectée par des spams, on peut la supprimer ou en
définir une nouvelle ;
7. Ne jamais répondre aux spams, au risque de confirmer votre adresse électronique

auprès de l’expéditeur qui continuera à envoyer les pourriels ;
8. Ne pas suivre les recommandations formulées par courrier électronique pour

supprimer les virus qui consistent souvent des hoaxes (suppression de fichiers,
l'installation d'un programme cité ou la transmission de l'avis à des connaissances).
En cas de doute, consultez les pages Web des fabricants de logiciel antivirus ;
9. Ne pas définir le programme de courriel à « exécution automatique » des fichiers

joints. Vérifier toujours que les courriels reçus sont exempts de virus en exécutant un
programme anti-virus à l’occasion de réception d’un fichier joint à un courriel.
_______________________________________201________________________________
2.3 – Sécurité de réseaux sans fil Wi-Fi
Comme nous l’avons déjà présenté à la première partie, l’utilisation des réseaux sans fil fait
courir à l’entreprise des risques informatiques additionnels aux risques classiques.
La principale vulnérabilité des réseaux sans fil réside dans les points d’accès, qui de part
leur configuration de base ne sont pas sécurisés. Cette configuration par défaut présente les
défaillances suivantes :
 Les points d’accès sont fournis avec un mot de passe administrateur ;

 L’identifiant par défaut d’un point d’accès sans fil (SSID) est librement diffusée ;
 L'authentification et l'encryption sont désactivées ;
 Même changés, la restauration de ces paramètres par défaut est possible grâce à un
simple bouton de reset.
Ainsi, l’expert comptable présente à l’entreprise, utilisant les réseaux sans fil, les solutions
de sécurité suivantes 71 :
1. Remplacer les paramètres de configuration fournis par défaut par les constructeurs
(mot de passe administrateur, SSID, etc.);
2. Remplacer l'identifiant par défaut du point d'accès sans fil (SSID) avec un identifiant
propre à l'entreprise qui sera un identifiant confidentiel à communiquer aux seuls
utilisateurs autorisés du réseau sans fil ;
3. Configurer le point d’accès de telle manière qu'il passe inaperçu en empêchant la
diffusion de son SSID;
4. Protéger l’accès physique aux points d’accès pour empêcher le rétablissement de la
configuration par défaut ;
5. Utiliser des méthodes d'identification et de filtrage pour les stations clientes
autorisées à utiliser le réseau sans fil. La manière la plus simple est de définir une
liste des clients autorisés qui seront identifiés par l'adresse MAC72 de leur carte
Ethernet sans fil ;
6. Utiliser des standards ou des protocoles ouverts tels que le WEP (Wired Equivalent
Privacy), le WPA (Wi-Fi Protected, …..
71
www.awt.be « la protection des réseaux sans fil »
72
Adresse MAC (Medium Access Control) : identifiant unique de la machine
_______________________________________202________________________________
7. Utiliser l’IPSec comme alternative aux techniques WPA et 802.11i. Si la technique

IPSec est déjà opérationnelle pour d'autres besoins au sein de l'entreprise ou de
l'administration, son utilisation peut être élargie à l'encryption de trafic WLAN,
8. Restreindre le trafic issu du réseau sans fil au sein d'un VLAN afin de bénéficier des
outils de sécurité qu'offre cette technologie.
_______________________________________203________________________________
CONCLUSION DEUXIEME PARTIE
L’informatique est la dernière branche d’activité qu’on pense auditer et dans laquelle on ose
entrer et ceci soit parce que73 :
 Les décideurs ont souvent rarement conscience des vulnérabilités introduites par
l’informatique ;
 Le niveau technique de l’auditeur est souvent insuffisant devant une tâche trop
complexe, mal définie, et le temps imparti parfois trop court ;
 Enfin parce que il y’a un manque de normes, de références, de principes et de
règles bien acceptés, voir de terminologies.
Pour assurer la réussite d’une mission d’audit de la sécurité informatique, l’expert

comptable est appelé d’abord à renforcer ses connaissances de gestion par des
connaissances techniques se rattachant aux technologies d’information et de
communication. Ensuite, il lui incombe d’adapter sa démarche d’audit en vue de prendre en
considération l’effet de l’informatique sur l’appréciation des risques de l’entreprise.
La démarche proposée dans ce mémoire est spécifique à la réalisation d’audit de la sécurité

informatique dans le cadre d’une mission d’audit financier, elle peut également être adaptée
à la conduite d’une mission spécifique d’audit de la sécurité informatique.
73
Marc THORIN, audit informatique
_______________________________________204________________________________
CONCLUSION GENERALE
Les risques informatiques peuvent venir de n'importe où (intérieur ou extérieur) et survenir

n'importe quand! Tout défaut d'information, de préparation et d'organisation risque de
laisser les utilisateurs, privés ou professionnels, totalement démunis face aux problèmes de
sécurité informatique et leurs conséquences parfois dramatiques.
La gestion de la sécurité informatique apparaît donc comme une nécessité pour toutes les
entreprises quelque soit leur taille, compte tenu d’une part de l’utilisation répandue de
l’informatique, et de la nature et du coût des risques informatiques, d’autre part. Toutefois,
la sécurité informatique de nos jours reste trop réactive, on réagit pour résoudre un
problème plutôt que de chercher à l'éviter. « Il n'y a actuellement pas de garantie absolue de
sécurité, on assure au mieux la protection, on réduit les risques mais on ne peut pas les
éliminer complètement. Rares sont les entreprises qui adoptent une véritable attitude
proactive pour prévenir les problèmes »74.
Une attitude proactive met en exergue le besoin de procéder à un audit de la sécurité

informatique, qui permet à la fois de prévenir et de faire face aux risques informatiques.
Assurer l’audit de la sécurité informatique constitue pour l’expert comptable une phase
nécessaire à la réalisation de l’audit financier, et ce du fait de l’utilisation accrue de
l’informatique dans le processus de production de l’information financière et comptable
qu’il est appelé à certifier. L’existence d’un environnement informatique ne modifie pas les
objectifs et la démarche de l’audit financier, mais nécessite une modulation compte tenue de
l’importance de l’informatique dans le processus de création de l’information et de la valeur
dans l’entreprise.
74
www.awt.be « sécurité et aspects juridiques des TIC »
_______________________________________205________________________________
En matière d’audit de la sécurité, il n’existe pas d’approche universelle spécifique.

Toutefois, vu la particularité de l’audit de la sécurité à la fois organisationnel, procédural et
technique, il convient de prévoir une démarche inspirée à la fois des normes d’audit des
systèmes d’information et des normes d’audit financier et principalement celui réalisé dans
le cadre d’un environnement informatisé.
L’application des normes internationales d’audit est considérée, pour les PME comme étant
lourde, coûteuse et longue d’application. Partant du fait que « les mesures de sécurité
doivent s’adapter à la valeur des informations » 75, la démarche de sécurité doit s’adapter à
la taille de l’entreprise et à la valeur des informations. La démarche proposée dans ce
mémoire se veut donc être adaptée aux PME, elle peut être également ajustée en vue de
répondre aux besoins plus exigeants des grandes entités.
De même, l’audit des sécurités informatiques représente une nouvelle opportunité

professionnelle qui s’offre à l’expert comptable, suite à l’implication des technologies
d’information et de la communication dans la vie de toutes les entreprises et du besoin
croissant de conseil et d’organisation informatique, tel que l’élaboration de plan de
continuité d’exploitation, la mise en place de nouveaux systèmes, le systrust, le webtrust,….
La mise en œuvre d’une mission d’audit de la sécurité informatique en particulier et le

développement des nouvelles missions associées à l’évolution des technologies de
l’information et de la communication en général, exige de la part de l’expert comptable des
connaissances techniques particulières et pointues en matière informatique, qu’il gagnerait à
développer et mettre à jour périodiquement grâce à un effort personnel de lecture, de
formation et de suivi de l’évolution des technologies.
C’est dans le cadre de cet objectif que ce mémoire a été conçu en vue de présenter les
connaissances informatiques de base ainsi que les contrôles minimaux à mettre en place par
l’expert comptable lors de la réalisation de ses missions.
75
Marc GUILOMAUT, le monde informatique 1068, avril 2005
_______________________________________206________________________________
Compte tenu de l’évolution des risques informatiques et des mesures de sécurité associées,
le questionnaire de sécurité informatique proposé dans ce mémoire constitue un guide à
mettre à jour périodiquement en fonction des développements des risques et solutions
informatiques.
Suivre l’évolution des nouvelles technologies de l’information et de la communication et ses

répercussions sur la profession de l’expert comptable, est devenu un impératif en vue de
garantir le maintien de son rôle de conseil et d’assistance auprès de ses clients et d’accroître
l’efficacité et la valeur ajoutée de ses interventions.
_______________________________________207________________________________
LISTE DES ANNEXES
Annexe 1 : La méthode MARION………………………………………………….…… 204

Annexe 2 : La norme ISO 17799……………………………………………………….....208
Annexe 3 : La charte des utilisateurs…………………………………………………..….212
Annexe 4 : Les ports les plus attaqués…………………………………………………….215
Annexe 5 : Les outils open source……………………………………………………...…216
Annexe 6 : Exemple de rapport d’audit fourni par le logiciel GFI………………………..218
Annexe 7 : Glossaire………………………………………………..……………………221
_______________________________________208________________________________
Annexe 1
LA METHODE MARION
La méthode MARION (méthodologie d’analyse de risque informatique orientée par niveaux)

est issue du CLUSIF.
La méthode repose sur six principes de base :
1. La sécurité ne peut être assurée que s’il y a une forte implication de l’entreprise ou
de l’organisme, de la direction générale à l’utilisateur final, après une phase de
sensibilisation. La mise en œuvre de moyens et de procédures de sécurité réalistes et
cohérents ne peut dépendre d’un responsable de sécurité isolé, mais d’un comité de
sécurité comprenant des personnes de discipline diverses : informaticiens ,
utilisateurs , vérificateurs ,etc.
2. La méthode vise à réduire les vulnérabilités en accident, erreurs et malveillances afin
d’assurer la sécurité en matière de disponibilités, d’intégration et de confidentialité.
Les règles de base sont : la cohérence des moyens de sécurité et leur adéquation aux
enjeux.
3. Il n’existe pas de recettes ni de solution générale : dans chaque entreprise ou
organisme, le scénario de risque est particulier et complexe. Il n’y a pas de relation
simple et générale du type risque-solution. Les moyens de sécurité doivent être
adaptés aux scénarios spécifiques à l’organisme, puis validés.
4. Il convient de distinguer les risques maximaux (supérieurs à la capacité de
l’organisme d’y résister) et les risques moyens et courants. Dans le premier cas, on
ne peut parler de probabilité. Chaque cas est particulier en terme de scénarios,
d’enjeux et de ripostes. Il faut donc simuler les scénarios correspondants avec les
acteurs concernés. Dans le second cas, au contraire, on doit raisonner statistiquement
sur la base des sinistres observés en pratiquant un audit quantitatif et pondéré.
5. Le choix des moyens de sécurité est fondé sur la priorité des moyens de protection
(blocage des grands risques) par rapport aux moyens de prévention (réduction de la
fréquence des sinistres), sur l’équilibrage des moyens de prévention et de protection,
sur la réduction des incohérences des incohérences (suppression des failles) et
l’optimisation du rapport qualité-coût des moyens de sécurité.
_______________________________________209________________________________
6. Le schéma directeur de sécurité des systèmes d’information est une base de décision
pour la direction générale : toutes les informations doivent y être objectivement
quantifiées pour justifier le budget de sécurité par rapport aux objectifs du plan
d’entreprise. La méthode propose un bilan coût -réduction des risques.
Sur le plan pratique :
Le niveau de sécurité est évalué suivant 27 indicateurs répartis en 6 grand thèmes , chacun
d’eux se voyant attribuer une note de 0 à 4 , le niveau 3 étant le niveau à atteindre pour
assurer une sécurité jugée correcte .
A l’issu de cette analyse, une analyse de risque plus détaillés est réalisée afin d’identifier
les risques (menaces et vulnérabilités) qui pèsent sur l’entreprise.
La méthode est basée sur des questionnaires portant sur des précis. Les questionnaires
doivent permettre d’évaluer les vulnérabilités propres à m’entreprise dans tous les domaines
de la sécurité.
L’ensemble des indicateurs est évalué par le biais de plusieurs centaines de questions dont
les réponses sont pondérées (ces pondérations évoluent suivant les mises à jour de la
méthode).
Les thèmes sont les suivants :

 sécurité organisationnelle
 sécurité physique
 continuité
 organisation informatique
 sécurité logique et exploitation
 sécurité des applications
Déroulement de la méthode MARION
La méthode se déroule en 4 phases distinctes :
 Préparation
 Audit des vulnérabilités
 Analyse des risques
 Plan c’action
_______________________________________210________________________________
Préparation : Durant cette phase, les objectifs de sécurité sont définis, ainsi que le champ
d’action et le découpage fonctionnel permettant de mieux dérouler la méthode par la suite.
Audit des vulnérabilités : Cette phase voit le déroulement des questionnaires ainsi que le
recensement des contraintes propres à l’organisme. Le résultat des questionnaires permet
d’obtenir la rosace propre à l’entreprise. Cette rosace, l’aspect le plus connu de la méthode,
présente les 27 indicateurs sur un cercle, avec le niveau atteint. Cela permet de juger
facilement et rapidement des domaines vulnérables de l’entreprise, la cohérence et
l’homogénéité des niveaux de sécurité des différents indicateurs, et donc d’identifier
également rapidement les points à améliorer.
Analyse des risques : Cette phase voit l’exploitation des résultats précédents et permet
d’effectuer une ségrégation des risques en Risques Majeurs (R M) et Risques Simples (R S).
Le système d’information est alors découpé en fonctions qui seront approfondies en groupes
fonctionnels spécifiques, et hiérarchisés selon l’impact et la potentialité des risques les
concernent (pour l’analyse de risque, la méthode Marion défini 17 types de menaces).
Plan d’action : Durant cette ultime phase de la méthode, une analyse des moyens à mettre
en œuvre est réalisée afin d’atteindre la note ‘’3’’, objectif de sécurité de la méthode, suite
aux questionnaire.
Remarques sur la méthode :

- La démarche sous forme de questionnaires exhaustifs joue un rôle de sensibilisation et
d’information direct lors de son déroulement.
- La méthode prend en compte aussi bien les aspects techniques qu’organisationnels ce
qui est un avantage non négligeable. Les aspects techniques sont cependant peu
approfondis.
- Les rosaces forment des indicateurs synthétiques clairs utilisables par la direction.
- La méthode ne permet pas d’identifier des mesures concrètes à mettre en place pour
sécuriser l’entreprise.
_______________________________________211________________________________
Délivrables de la phase d’audit OP
Les rapports livrés à la fin de cette phase seront constitués des parties suivantes :
Rapports d’audit couvrant les aspects suivants
 Rapport sur l’Etude de la situation existante en terme de sécurité au niveau

du site audité.
 Rapport d’audit organisationnel et physique , couvrant les composantes
organisationnelles , physiques et les éventuelles vulnérabilités de gestion
des composantes du système (réseau, système , application , outil de
sécurité, centre de calcul , plan de continuité) et les recommandations
correspondantes pour la politique de sécurité de l’administration centrale.
Source : séminaire « audit de la sécurité informatique », softway Tunisie, 26 et 27

avril 2006
_______________________________________212________________________________
Annexe 2
LA NORME ISO 17799
La norme iso 17799 est issue de la norme anglaise BS7799 créée en 1999. Cette norme
constitue un code de bonne pratiques pour la gestion de la sécurité de l’information.
DESCRIPTION DES CHAPITRES DE L’ISO 17799
La norme propose plus d’une centaine de mesures possibles réparties en 10chapitres :
 Politique de sécurité
Ce chapitre mentionne notamment la nécessité pour l’entreprise de disposer d’une politique
de sécurité et d’un processus de validation et de révision de cette politique
 Organisation de la sécurité
Ce chapitre comporte 3 parties. Une partie traite de la nécessité de disposer au sein de
l’entreprise d’une organisation dédiée à la mise en place et au contrôle des mesures de
sécurité en insistant sur :
- l’implication de la hiérarchie et sur la coopération qui devrait existe entre les
différentes entités de l’entreprise,
- la désignation de propriétaires de l’information, qui seront responsables de leur
classification,
- l’existence d’un processus pour la mise en place de tout nouveau moyen de
traitement de l’information.
Une deuxième partie traite des accès aux informations de l’entreprise par une tierce partie.
Ces accès doivent être encadrés par un contrat qui stipule les conditions d’accès et les
recours en cas de problèmes.
Une troisième partie indique comment traiter du cas ou la gestion de la sécurité est
externalisée (outsourcing).
 Classification des informations

Ce chapitre traite de la nécessité de répertorier l’ensemble des informations (ou types
d’information) de l’entreprise et de déterminer leur classification. La mise en place d’une
classification de l’information doit s’accompagner de la rédaction de guides pour la
définition des procédures de traitement de chaque niveau de classification.
_______________________________________213________________________________
 Sécurité du personnel
Ce chapitre mentionne trois types de mesures :
- lors du recrutement de personnel, il est aussi important d’enquêter sur le niveau
de confiance que l’on peut accorder aux personnes qui auront accès à des
informations sensibles que de mentionner dans les contrats d’embauche des
clauses spécifiques à la sécurité comme une clause de confidentialité.
- une sensibilisation à la sécurité doit être
- proposée à toute personne accédant à des informations sensibles (nouvel
arrivant, tierce partie)
- l’ensemble du personnel doit être informé de l’existence et du mode

d’emploi d’un processus de remontée d’incidents
 Sécurité de l’environnement et des biens physiques

Ce chapitre traite de toutes les mesures classiques pour protéger les bâtiments et les
équipements :
– Délimitation de zone de sécurité pour l’accès aux bâtiments (attention aux accès
par les livreurs)
– Mise en place de sécurité physique comme la lutte contre l’incendie ou le dégât
des eaux
– Mise en place de locaux de sécurité avec contrôle d’accès et alarmes, notamment
pour les salles machines
– Mise en place de procédures de contrôle pour limiter les vols ou les
compromissions
– Mise en place de procédures pour la gestion des documents dans les bureaux
 Administration
Ce chapitre traite des points suivants :
– Rédiger et mettre à jour des procédures d’exploitation de l’entreprise (que se doit
pour de l’exploitation réseau, système ou sécurité)
– Rédiger et mettre à jour critères d’acceptation de tout nouveau système$prévoir un
planning pour l’achat de composants ou matériels pour éviter tout interruption de
service
_______________________________________214________________________________
– Mettre en place un certain nombre de politique organisationnelle et technique

(anti-virus, messagerie, diffusion de documents électronique en interne ou vers
l’extérieur, sauvegarde et restauration, …)
 Contrôle d’accès
Ce chapitre comprend beaucoup de propositions de mesures par rapport aux autres
chapitres. Sans être exhaustif, on peut cependant retenir :
– La nécessité pour l’entreprise de disposer d’une politique de contrôle d’accès (qui
a droit à quoi et comment il peut y accéder)
– La mise en place d’une gestion des utilisateurs et de leurs droits d’accès sans
oublier la révision de ces droits (gestion de droits, gestion des mots de passe ou
plus généralement d’authentifiant)
– La responsabilité des utilisateurs face à l’accès aux informations (ne pas divulguer
son mot de passe, verrouiller son écran quand on est absent par exemple)
– Des propositions de mesures pour mettre en œuvre la politique de contrôle d’accès
comme l’utilisation de la compartimentation des réseaux des firewalls, de
proxies,…, la limitation horaire d’accès, un nombre d’accès simultanés limité, etc
– La mise en place d’un système de contrôle de la sécurité et de tableaux de bord
– L’existence et la mise en place de procédures concernant le télétravail
 Développement et maintenance
Ce chapitre, de la même manière que précédemment, propose des mesures incontournables
comme des exemples de mise en œuvre. Sans être exhaustif, on peut retenir :
– La nécessité d’intégrer les besoins de sécurité dans les spécifications
fonctionnelles d’un système
– Des conseils de développement comme la mise en place d’un contrôle
systématique des entrées sorties au sein d’un programme
– Des propositions d’intégration des services de sécurité comme le chiffrement, la
signature électronique, la non répudiation, ce qui nécessiterait pour l’entreprise la
définition d’une politique d’usage et de contrôle d’outils à base de cryptographie
ainsi qu’une politique de gestion de clés associés
– La mise en place de procédures pour l’intégration de nouveaux logiciels dans un
système déjà opérationnel
– La mise en place d’une gestion de configuration
_______________________________________215________________________________
 Plan de continuité
Ce chapitre traite de la nécessité pour l’entreprise de disposer de plans de continuité ainsi
que de tout le processus de rédaction, de tests réguliers, de test de mise à jour de ces plans
 Conformité légale et audit de contrôle

Ce chapitre traite pour l’essentiel de deux points :
– La nécessité pour l’entreprise de disposer de l’ensemble des lois et
règlements qui s’appliquent aux informations qu’elle manipule et des
procédures associées
– La mise en place de procédures pour le déroulement d’audit de contrôle
On peut donc noter que le contenu de l’ISO 17799 est à la fois un ensemble de mesures
techniques et organisationnelles que l’entreprise devrait mettre en place pour gérer de manière
sécurisée ses informations mais aussi un ensemble de propositions de solutions comme
l’utilisation de firewall ou la composition des mots de passe (8caratères, caractères
alphanumériques..)
Par conséquent, il est très intéressant de s’inspire de cette norme pour s’informer sur les
mesures qu’une entreprise peut mettre en place pour gérer la sécurité de ses informations. Par
contre comme il n’existe pas encore de référence qui permet de situer une entreprise une
échelle de gestion allant d’une mauvaise gestion à la gestion idéale, il est aujourd’hui très
difficile d’apprécier
From : livre le respect
blanc sécurité desde cette norme
réseaux par une
; des enjeux entreprise.
aux solutions
Source : séminaire « audit de la sécurité informatique », softway Tunisie, 26 et 27

avril 2006
_______________________________________216________________________________
Annexe 3
CHARTE DE BONNE CONDUITE
Le premier accès au réseau du centre, et/ou la première utilisation de matériels

informatiques et de logiciels appartenant au centre doivent être précédés d'un engagement
pris par les utilisateurs de respecter les dispositions de la présente charte de sécurité
informatique. Nous sommes à votre entière disposition pour vous expliquer les raisons de
promulgation de cette charte et la nature des risques informatiques encourus, en cas de non
application des règles de cette charte de bonne conduite.
A - Utilisation du réseau
 L'utilisateur s'engage à un usage responsable du réseau et à utiliser Internet dans le cadre
des activités pédagogiques et scientifiques du centre. En particulier :
 Il doit s’abstenir de réaliser des opérations menaçant la sécurité du réseau et de
leur poste, étant donné les risques d’infection virale qui pourraient en découler
(voir brochure descriptive des dangers potentiels, disponible dans le centre). En
particulier, ils doivent :
 S’abstenir de désactiver l’anti-virus installé sur le poste ou d’essayer de
gêner son fonctionnement ou changer sa configuration.
 S’abstenir de télécharger des fichiers depuis des sites non certifiés.
 S’abstenir d’utiliser les services Peer-To-Peer (KaZaA, …), sans
autorisation (et protection) préalable.
 S’abstenir d’utiliser les services de Chat, sans autorisation (et protection)
préalable.
 Et d’une manière générale : s’abstenir d’utiliser d’autres services que le
Web, sans autorisation (et protection) préalable.
 Il doit faire preuve de la plus grande correction à l'égard de ses interlocuteurs dans
les échanges électroniques par courrier, forums de discussions... ; et à ne visionner
ou diffuser aucun document à caractère raciste, xénophobe ou pornographique.
 Il ne doit pas se livrer à des actions mettant en péril la sécurité ou le bon
fonctionnement des serveurs Internet auxquels ils accèdent ;
_______________________________________217________________________________
 Si un utilisateur souhaite utiliser Internet à des fins privées, autres que celles liées aux
activités du centre, il doit recourir à un Publinet. En aucun cas un tiers extérieur au
centre ne peut bénéficier de ce service.
 En cas de dotation d’un compte, les utilisateurs s'engagent à ne jamais communiquer
leur mot de passe et à ne jamais permettre à un tiers d'accéder à leur compte.
L'usurpation d'un compte et son utilisation malveillante entraînera des sanctions et la
suspension des comptes des contrevenants.
 Tout usager s'engage à signaler auprès des services du centre toute tentative de
violation de son compte. Toute négligence est considérée comme fautive. Elle
entraînera pour l'utilisateur la fermeture immédiate de son compte.
B- Utilisation des matériels informatiques et des logiciels appartenant au Centre
 L’utilisateur s'engage à ne procéder à aucune installation de logiciels sur les postes,

sauf autorisation préalable du moniteur.
 Les utilisateurs doivent suivre les règles de bon usage du réseau et respecter les
consignes de travail : conditions d'accès aux postes, respect des matériels et des lieux
mis à leur disposition, et observation des règles de priorité pour le travail. En
particulier, les utilisateurs s’engagent à respecter les consignes suivantes :
 Appliquer rigoureusement les instructions données par les moniteurs ou affichées à
l’intérieur du centre
 Usage de supports amovibles (disquettes, CDs, disques USB, …) : Les supports
amovibles (disquettes, CDs, …) peuvent renfermer des virus qui menaceraient
l’intégralité des postes du réseau. Ainsi, avant toute utilisation de supports
amovibles, il faudra s’assurer de son scan par les outils anti-virus installés et
accepter les consignes données par ces outils (refus de lecture ou destruction des
fichiers infectés).
 Signaler immédiatement tout problème rencontré lors de l’utilisation du PC au
responsable du centre (surtout en début de session de travail).
 Pour les postes Windows 2000 et XP, fermer votre session de travail à la fin de
votre travail, tout en ayant pris le soin de fermer correctement les logiciels que
vous avez utilisé lors de cette session et ne pas effacer de fichiers en dehors de
ceux qui se trouvent dans votre répertoire personnel.
_______________________________________218________________________________
 ET Si vous êtes le dernier à utiliser le PC (fin de séance), fermer correctement le

PC, en utilisant la procédure Windows d’extinction du PC (menu «Démarrer »à
Arréter).
 S’abstenir de manger, fumer ou utiliser des produits nuisibles au matériel (craie,
…) dans la salle informatique,
 Ne pas déplacer, ni débrancher de périphériques sans autorisation préalable du
Responsable du centre et s’abstenir de modifier la configuration du PC.
 L’utilisateur s'engage à ne procéder à aucune copie de logiciels, autre que celles admises
dans le cadre des licences délivrées par le fournisseur. La mise à disposition de logiciels
est assurée par le centre, en fonction d'accords spécifiques avec des distributeurs, ou en
référence aux accords passés par les autorisés de tutelle.
Je soussigné …………………………………………., m'engage à respecter les dispositions

de la présente charte de sécurité informatique, en sachant que tout usager qui méconnaîtrait
les règles définies à la présente charte, s'expose à des poursuites disciplinaires (et
judiciaires, en cas d'infractions pénales).
Lu et Approuvé, le ………………………………..
Nom, Prénom
Signature
Source : Agence Nationale de la Sécurité Informatique
_______________________________________219________________________________
Annexe 4
Source : rapport ISS 2002-4, graphique par N.Chazot.www.3sip.com (internet security

system site www.iss.net)
_______________________________________220________________________________
Annexe 5
OUTILS OPEN SOURCE
Anti-virus
Clamav : Télécharger Site Officiel
Amavis : Télécharger Site Officiel
Firewall
Netfilter/Iptables : Télécharger Site Officiel
Firestarter : Télécharger Site Officiel
Guarddog : Télécharger Site Officiel
Ipcop : Télécharger Site Officiel
Turtle : Télécharger Site Officiel
Proxy
Squid : Télécharger Site Officiel
Linux Hardning
Bastille : Télécharger Site Officiel
IDS
Prelude : Télécharger Site Officiel
Snort : Télécharger Site Officiel
Snort_inline : Télécharger Site Officiel
Kismet : Télécharger Site fficiel
Host IDS
AIDE : Télécharger Site Officiel
Cryptage
gnu-crypto : Télécharger Site Officiel
GPG : Télécharger Site Officiel
Générateurs de scripts IPtables
Firewall Builder : Télécharger Site Officiel
_______________________________________221________________________________
Narc : Télécharger Site Officiel

QuickTables : Télécharger Site Officiel
Outil d'administration
webmin : Télécharger Site Officiel
Analyseur de Log
Swatch : Télécharger Site Officiel
Scanneur de vulnérabilités
Nessus : Télécharger Site Officiel
Wikto : Télécharger Site Officiel
Nikto : Télécharger Site Officiel
Attack Tool Kit : Télécharger Site Officiel
Scanneur de ports
Nmap : Télécharger Site Officiel
Honeypot
honeyd : Télécharger Site Officiel
Anti-spams
SpamAssassin : Télécharger Site Officiel
Autres utilitaires
Hping2 : Télécharger Site Officiel
Openldap : Télécharger Site Officiel
Source : Agence Nationale de la Sécurité Informatique
_______________________________________222________________________________
Annexe 6
EXEMPLE DE RAPPORT D’AUDIT FOURNI PAR LE LOGICIEL GFI
Filter: Full Report

Source: Current scan
Scan target : file:domain_list.txt [ 8 computers meet filter conditions ]

IP Ad d re ss Details Hos tn ame O pe ra ting S ys t e m
192.168.2.123 SAMIA Windows 2000
192.168.2.14 PC-SALEM Windows 2000
192.168.2.2 SERVEUR Windows 2000
192.168.2.250 SOFTWAY8 Windows XP
192.168.2.3 FAYZA Windows XP
192.168.2.4 NEDIA Windows XP
192.168.2.43 LOBNA Windows 2000
192.168.2.5 BASSCHT Windows XP
192.168.2.123 [ SAMI A ] Windows 2000 Gold
Vulnerabilities - 49
Missing Security Patches/Service Packs - 36
Internet Explorer 5.01 Gold
The latest service pack for this product is not installed !
Latest SP available : Service Pack 4
MS00-009 (251109)
Image Source Redirect Vulnerability
Wrong file version (5.0.2920.0) for file "\\192.168.2.123\C$\WINNT\system32\mshtml.dll", should be
(5.0.3013.2600)
http://download.microsoft.com/download/ie501/secpach5/5.01/w9xnt4/en-us/q251109.exe
MS00-055 (269368)
Scriptlet Rendering Vulnerability
Wrong file version (5.0.2920.0) for file "\\192.168.2.123\C$\WINNT\system32\mshtml.dll", should be
(5.0.3019.2500)
http://www.microsoft.com/windows/ie/download/critical/patch11.htm
MS00-046 (261255)
Cache Bypass Vulnerability
Wrong file version (5.0.2919.6700) for file "\\192.168.2.123\C$\WINNT\system32\inetcomm.dll", should be
(5.0.3018.1300)
MS00-045 (261255)
Persistent Mail-Browser Link Vulnerability
(5.0.3018.1300)
MS00-043 (261255)
Malformed E-mail Header Vulnerability
_______________________________________223________________________________
(5.0.3018.1300)
MS00-037 (259166)
HTML Help File Code Execution Vulnerability
Registry key not found. (software\microsoft\updates\windows 2000\sp0\q259166)
http://download.microsoft.com/download/ie501/patch/1.0/nt5/en-us/q259166_w2k_sp1_x86_en.exe
MS00-042 (265258)
Active Setup Download Vulnerability
Registry key not found. (software\microsoft\active setup\installed components\{3ca73edc-4ee6-4548-8064-
268921e8bd50})
M D AC 2 .5 Gold
http://download.microsoft.com/download/1/6/7/167ece3e-8712-4798-8514-9e1c7255985d/mdac_typ.exe
MS02-065 (329414)
Buffer Overrun in Microsoft Data Access Components Could Lead to Code Execution (Q329414)
Wrong file version (2.50.4403.6) for file "\\192.168.2.123\C$\Program Files\Fichiers
communs\system\msadc\msadce.dll", should be (2.53.6202.0)
http://download.microsoft.com/download/dasdk/patch/q329414/w98nt42kme/en-us/q329414_mdacall_x86.exe
Office 2000 Gold

http://download.microsoft.com/download/office2000/SP/3/WIN98MeXP/fr/O2kSp3.exe
Office XP Gold
http://download.microsoft.com/download/4/2/0/4200177e-90c4-473e-89e3-afc23720bc97/OfficeXpSp3-kb832671-
fullfile-fra.exe
Windows 2000 Professional Gold

http://download.microsoft.com/download/c/f/0/cf065ae8-0c96-47f5-ba2b-3220da77076e/w2ksp4_fr.exe
MS00-070 (266433)
Multiple LPC and LPC Ports Vulnerabilities
http://download.microsoft.com/download/win2000platform/patch/q266433/nt5/en-
us/q266433_w2k_sp2_x86_en.exe
MS00-029 (259728)
IP Fragment Reassembly Vulnerability
MS00-032 (260219)
Protected Store Key Length Vulnerability
MS00-021 (257870)
Malformed TCP/IP Print Request Vulnerability
_______________________________________224________________________________
Medium security vulnerabilities - 6
Registry vulnerabilities - 6
G ue st us er s h av e a c ces s to th e s ys t em log (1)

You should disable guest access by creating a DWORD key named "RestrictGuestAccess" with value of "1"
(HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/EventLog/System)
LM Hash
It is recommended to use NTLM authentication instead of LM
http://support.microsoft.com/support/kb/articles/q147/7/06.asp
Windows 2000 Relative Shell Path

A malicious user can elevate his privileges
tp://www.microsoft.com/technet/security/bulletin/ms00-052.asp
Windows 2000 SNMP parameters

Access/modify sensitive informations (on network devices)
2066
Guest users have access to the application log (1)

(HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/EventLog/Application)
Guest users have access to the security log (1)

(HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/EventLog/Security)
Low security vulnerabilities - 7
Registry vulnerabilities - 7
Last logged-on username visible
By default, NT/2k displays the last logged-on user
http://support.microsoft.com/support/kb/articles/q114/4/63.asp
NetBIOS Name Server Protocol Spoofing (Win2k)

Custom crafted packets can cause NETBIOS Name Service to stop responding
http://www.microsoft.com/technet/security/bulletin/ms00-047.asp
Shutdown without logon

Anybody is allowed to shutdown this computer
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/gp/559.asp
AutoShareServer (1)
The administrative shares (C$,D$,ADMIN$,etc) are available on this machine. Internal networks: Generally
required for administration tasks. Web Servers: Should be turned off.
http://support.microsoft.com/support/kb/articles/Q245/1/17.asp
AutoShareWKS (2)
The administrative shares (C$,D$,ADMIN$,etc) are available on this machine. Internal networks: Generally
required for administration tasks. Web Servers: Should be turned off.
Cached Logon Credentials

Could lead to information exposure. Should be set to 0
http://is-it-true.org/nt/atips/atips36.shtml
DCOM is enabled
DCOM is used to execute code on remote computers.Should be disabled if not used.
Potential Vulnerabilities - 13
Information based vulnerability checks - 2

A modem is installed on this computer
Modems can be a network security threats because they allow insiders to make unfiltered connections using the
telephone system
_______________________________________225________________________________
Glossaire
ActiveX
Technologie Microsoft pouvant être mise en oeuvre par un navigateur internet, et permettant
l'accès aux éléments d'un environnement Windows ; les contrôles ActiveX sont utilisés par
Windows Update, mais aussi par des programmes malveillants
Antispyware
Logiciel destiné à supprimer les logiciels espions installés sur votre ordinateur
Antivirus
Logiciel spécialisé dans la lutte contre les virus informatiques. Il est généralement composé
de deux modules : le moniteur (surveillance permanente) et le scanneur (analyse sur
demande).
Attaque
Action malveillante entreprise par une entité visant à effectuer une action interdite au sein
du système d'information.
Authentification
Procédure dont le but est de s'assurer de l'identité d'une personne pour contrôler l'accès à un
système d'information ou à un logiciel.
BIOS
Programme d'initialisation de l'ordinateur s'exécutant avant le chargement du système
d'exploitation
Brut Force
Méthode permettant de briser un code chiffré en essayant systématiquement toutes les clefs
de chiffrement une à une.
Canular
Courriel incitant celui qui le reçoit à le faire suivre à un maximum d'autres personnes ; le
canular a souvent pour but de saturer un serveur de messagerie, et utilise généralement le
registre émotionnel pour parvenir à ses fins.
Certificat électronique
Code d'identification d'un site Internet ou d'un utilisateur de messagerie délivré par un
organisme de certification et destiné à garantir l'identité du titulaire.
_______________________________________226________________________________
Cheval de Troie
Programme dont le rôle est de faciliter l'intrusion de pirates ou de virus.
Chiffrement
Action consistant à rendre une information incompréhensible au moyen d'un algorithme et
d'une clé.
Commutateur
Elément de réseau qui permet l'envoi, le filtrage et la réexpédition de paquets, en se basant
sur l'adresse de destination de chaque paquet.
Cookie
Fichier enregistré sur votre disque dur par un site internent que vous avez visité et contenant
des informations sur vous et votre parcours dans le site. Il permet de vous reconnaître et de
faciliter une visite ultérieure.
Correctif
Ensemble de fichiers destinés à corriger les défauts ou améliorer les fonctionnalités d'un
logiciel
Cryptage
Action consistant à rendre une information incompréhensible au moyen d'un algorithme et
d'une clé.
Déni de service
Méthode consistant à refuser l'accès d'un service à un utilisateur qui n'a pu s'authentifier de
manière correcte
Firewall
Logiciel destiné à contrôler les communications Internet et à s'opposer aux intrusions et à
l'émission de données confidentielles.
Hacker
Personne se livrant au piratage. Les motivations des pirates sont diverses et non
nécessairement malveillantes.
Hoax
Courrier électronique incitant celui qui le reçoit à le faire suivre à un maximum d'autres
personnes ; le canular a souvent pour but de saturer un serveur de messagerie, et utilise
généralement le registre émotionnel pour parvenir à ses fins.
_______________________________________227________________________________
HTTPS
Hypertext Transfer Protocol Secure, protocole web qui réalise le chiffrement des requêtes et
des pages retournées par le serveur.
Le protocole HTTPS est associé au port réseau 443.
Identification
Procédure dont le but est de reconnaître un utilisateur afin de lui accorder les droits
correspondant à son profil.
Ingénierie sociale
Technique consistant à utiliser une fausse identité ou un prétexte afin de soutirer un mot de
passe à un utilisateur.
Intrusion
Une connexion non autorisée au sein d’un système d'information.
MEHARI
Méthode permettant l'analyse des risques, ainsi que le contrôle et la gestion de la sécurité
informatique.
Mouchard
Logiciel ou module d'un logiciel dont le but est de collecter des informations sur l'internaute
pour les transmettre à son insu à l'éditeur du logiciel ou à une régie publicitaire via internet.
Netbios
Composant de Windows destiné à gérer le partage de fichiers sur un réseau.
Onduleur
Un dispositif de protection, s'intercalant entre le réseau électrique standard et les
équipements informatiques y étant normalement raccordés. Son rôle consiste généralement
à filtrer les parasites de la ligne électrique, stabiliser la tension, palier temporairement
(quelques minutes) à une panne électrique et de protéger de surtensions extrêmes (foudre).
Pare-feu
Logiciel destiné à contrôler les communications Internet et à s'opposer aux intrusions et à
l'émission de données confidentielles.
Patch
Ensemble de fichiers destinés à corriger les défauts ou améliorer les fonctionnalités d'un
logiciel.
PGP
Algorithme de chiffrement de données.
_______________________________________228________________________________
Phishing : un courrier électronique dont l'expéditeur se fait généralement passer pour un

organisme financier et demandant au destinataire de lui fournir des informations
confidentielles.
Piratage
Intrusion ou prise de contrôle sur un ordinateur à l'insu de son propriétaire par
l'intermédiaire d'Internet.
Porte dérobée
Programme visant à détourner les fonctionnalités d'un service ou d'un système en ouvrant
des canaux d'accès masqués. Une porte dérobée est généralement mise en place à l'aide d'un
cheval de Troie.
Pourriel (ou Spam)
Un courrier électronique non sollicité, la plupart du temps de la publicité, encombrant le
réseau, et faisant perdre du temps à ses destinataires.
Pot de miel
Serveur destiné à attirer les pirates dans le but d'étudier leurs méthodes d'attaques.
SSH
Le protocole SSH (Secure Shell) définit les méthodes de connexion distante sécurisées
(authentifiées et chiffrées) entre un client et un serveur.
SSH est beaucoup plus sûr que Tel net car les mots de passe ne circulent plus en clair sur le
réseau.
SSL
Protocole de sécurité, permet d’assurer la confidentialité des échanges sur Internet. Il est
utilisé pour la sécurisation de sites Web via https.
Sniffer
Outil permettant d'étudier le trafic d'un réseau, les détecteurs d'intrusion (IDS) sont basés
sur un sniffer pour la capture des trames, et utilisent une base de données de règles (rules)
pour détecter des trames suspectes. Le sniffer peut servir à une personne malveillante ayant
accès au réseau pour collecter des informations.
Spoofing
Technique consistant à prendre l'identité d'une autre personne ou d'une autre machine pour
récupérer des informations sensibles, que l'on ne pourrait pas avoir autrement.
Spyware
Logiciel ou module d'un logiciel dont le but est de collecter des informations sur l'internaute
pour les transmettre à son insu à l'éditeur du logiciel ou à une régie publicitaire via internet.
_______________________________________229________________________________
Trojan
Troyen
Ver
Programme détournant les fonctions de logiciels de messagerie pour se propager par envoi
de courriels.
Virus
Logiciel programmé pour s'installer sur votre ordinateur à votre insu, puis pour se répliquer
et se disséminer dans d'autres fichiers avant de déclencher des actions préjudiciables.
VLAN (Virtual Local Area Network)
Un VLAN Ethernet est un réseau local virtuel utilisant la technologie Ethernet (IEEE
802.1q) pour regrouper les éléments du réseau.
_______________________________________230________________________________
BIBLIOGRAPHIE
Ouvrages :
 Association Française de l’Audit et du Conseil Informatique, « COBIT :
gouvernance, contrôle et audit de l’information et des technologies associées »,
AFAI 2000 ;
 ALEXANDER Michael, « la sécurité des ordinateurs », international Thomson pub
listing, France 1997 ;
 BERNSTEIN Terry, B. BHIMANI Anish, SCHULTZ Eugene et A. SIEGEL Carol,
« sécurité internet pour l’entreprise», international Thomson pub listing, France
1997 ;
 BLOCH Laurent, WOLFHUGEL Christophe, « sécurité informatique, principe et et
méthode » édition EYROLLES, 2007 ;
 Compagnie Nationale des Commissaires aux Comptes, « prise en compte de
l’environnement informatique et incidence sur la démarche d’audit », CNCC 2003 ;
 DERRIEN Yann « les techniques de l’audit informatique », , édition Dunod , 1992.
 FAURIE Sylvain et SARRET Philippe, « audit informatique », édition Masson,
1991
 FILIOL Eric, RICHARD Phillipe, « cybercriminalité », édition DUNOD, 2007 ;
 IFACI, guide d’audit, « les principes de la sécurité informatique », Clet- Dunod,
1990 ;
 LAMERE J-M « la sécurité informatique, approche méthodique », édition Dunod,
1985 ;
 LAMY Jean-Paul, « Audit et certification des comptes en milieu informatisé », les
éditions d’organisation, 1996 ;
 PLANS J « la qualité informatique, comment maîtriser les systèmes d’information
dans les entreprises », Dunod, 1988 ;
 PLANS J, « la pratique d’audit informatique », Eyrolles.
_______________________________________231________________________________
 RAFFAGEAU (j), RITZ (A), « audit et informatique », coll. « que sais-je ? », PUF,
1986 ;
 SABAIER Jan, « la sécurité informatique », édition Eyrolles 1989 ;
 THORIN Marc, « l’audit informatique, méthodes, règles, normes », Masson, 1991.
Normes, recommandations et référentiels
 La norme ISA 315 « connaissances de l’entité et de son environnement et évaluation

du risque d’anomalies significatives » ;
 La norme ISA 330 « Audit réalisé dans un environnement informatique» ;
 La norme ISA 500 «éléments probants » ;
 La norme 2-300 du la CNCC « appréciation du contrôle interne» ;
 La norme 2-301 du la CNCC « évaluation du risque et contrôle interne » ;
 La norme 2-302 du la CNCC « audit réalisé dans un environnement informatique » ;
 La directive internationale d’audit N°1001 « environnement informatique -
microordinateurs autonomes » ;
 La directive internationale d’audit N°1002 « environnement informatique – systèmes
d’interconnexions informatique » ;
 La directive internationale d’audit N°1003 « environnement informatique – systèmes
de bases de données » ;
 La directive internationale d’audit N°1009 « environnement informatique –
techniques d’audit assistées par ordinateurs ».
Articles de base
 BARDY Christophe, « ne pas s’empêtrer dans le sans-fil », le monde informatique
n°1086, octobre 2005 ;
 BOUCHET Xavier, « Transformer l’e-mail en système critique », le monde
informatique n°1071, mai 2005 ;
 CLEUET Fabien (CISA), « Sécuriser la production et l’exploitation informatique »
revue AFAI n°62/2000 ;
 DESCAMPS Olivier et ROGNON jean luc « sécurité : maîtriser les risques
internes », le monde informatique n°1068, avril 2005 ;
_______________________________________232________________________________
 DUPOND Christophe « monsieur sécurité, politique ou technicien », 01 DSI n°2,

Juin 2003 ;
 GELUCK Philippe « la sécurité informatique, les référentiels et l’auditeur » ;
 KHADIR Sofiane maxime, « sécurité des systèmes d’information, du principe
d’exclusion à la gestion d’identité » ;
 MARTINS DA CRUZ Jose marcio “ la protection contre les vers de messagerie”
sécurité informatique n°41, octobre 2002 ;
 POGROB Kenneth et ISENBERG Greg, “ accountants corner : auditing in a
paperless society» the secured lender 1999;
 QUIDOZ Marie Claude «l’accueil des portables sur nos réseaux informatiques »,
sécurité informatique n°51, décembre 2004 ;
 WALLACE Eric, « the influence of technology on auditing », CPA journal winter
2002 ;
 « le 60ème congrès de l’ordre et l’informatique », revue française de comptabilité
n°382 novembre 2005 ;
 « La sécurité concerne aussi les PME », le monde informatique n°1078 juillet 2005 ;
 « sécurité informatique : une priorité pour toutes les entreprises », experts et
décideurs n°36, juin 2005 ;
Lois et règlements
 Loi n°2004-5 du 3 février 2004, relative à la sécurité informatique ;

 Loi n°96-112 du 30 décembre 1996, portant promulgation du système comptable des
entreprises;
 Loi n°94-36 du 24 février 1994, relative à la propriété littéraire et artistique ;
 Loi n°2001-1 du 15 juin 2000, relative au code des télécommunications ;
 Loi n°2000-83 du 9 août 200à, relative aux échanges et au commerce électronique ;
 Décret n° 2004-1248 du 25 mai 2004, fixant l’organisation administrative et
financière et les modalités de fonctionnement de l’agence nationale de la sécurité
informatique ;
 Décret n° 2004-1249 du 25 mai 2004, fixant les conditions et les procédures de
certification des experts dans le domaine de la sécurité informatique ;
_______________________________________233________________________________
 Décret n° 2004-1250 du 25 mai 2004, fixant les systèmes informatiques et les

réseaux des organismes soumis à l’audit obligatoire périodique de la sécurité
informatique et les critères relatifs à la nature de l’audit et à sa périodicité et aux
procédures de suivi de l’application des recommandations contenues dans le rapport
d’audit ;
 Loi organique n° 2004-63 du 27 juillet 2004, portant sur la protection des données à
caractère personnel ;
 Code de l’impôt sur le revenu des personnes physiques et de l’impôt sur les
sociétés ;
 Code des droits et procédures fiscaux.
Mémoires
 ANGELONI Pascal, « sécurité informatique en milieu TPE-PME : rôle du

professionnel du chiffre », mémoire d’expertise comptable, France, novembre 2004 ;
 BEN SALAH Atef, « la sécurité de l’information face au risque informatique :
approche méthodologique de diagnostic », mémoire d’expertise comptable, ISCAE,
novembre 1995 ;
 BORGI Mohamed lassaad, « l’évolution des technologies de l’information et de la
communication : impact sur l’audit financier », mémoire d’expertise comptable,
ISCAE, juin 2002 ;
 DJEMEL Abdelhédi, « l’informatique au service de l’expert comptable », mémoire
d’expertise comptable, ISCAE, décembre 1997 ;
 GOBBI Laurent, « La valeur ajoutée de l’audit informatique dans le cadre de
commissariat aux comptes », mémoire d’expertise comptable, France, mai 2000 ;
 GUYARD Alain, « Sécurité de la micro informatique dans les PME, les techniques
adaptées et leur audit par l’expert comptable », mémoire d’expertise comptable,
France, novembre 1998.
 MARAKCHI Iskander, « l’audit des comptes au vu de l’évolution des technologies
de l’informatique », mémoire d’expertise comptable, ISCAE, juin 1999 ;
 ZANOTTI William, « Audit, plaidoyer pour l’innovation technologique ou
comment se préparer à l’audit du XXIème siècle », mémoire d’expertise comptable,
France, novembre 1999.
_______________________________________234________________________________
Sites Internet
www.ansi.tn;
www.certification.tn;
www.infocom.tn;
www.juristetunisie.com;
www.isaca.org;
www.afai.asso.fr;
www.secuser.com ;
www.hsc.fr;
www.ifaci.org;
www.ifac.org;
www.referencielcoso.yahoo;
www.clusif.asso.fr.
_______________________________________235________________________________
SOMMAIRE
INTRODUCTION GENERALE……………………………………………………………..3
PREMIERE PARTIE : 13LA SECURITE INFORMATIQUE : UN

IMPERATIF DÜ A 13L’EVOLUTION DE L’ENVIRONNEMENT ET
DES RISQUES DE L’ENTREPRISE ............................................................... 13
INTRODUCTION PREMIERE PARTIE ........................................................ 14
CHAPITRE I : EVOLUTION DE L’ENVIRONNEMENT ET DES

RISQUES INFORMATIQUES ......................................................................... 16
SECTION 1 – MUTATION DE L’ENVIRONNEMENT INFORMATIQUE DE

L’ENTREPRISE 16
PARAGRAPHE 1 : APERÇU SUR L’EVOLUTION DES MATERIELS ET LOGICIELS
INFORMATIQUES ................................................................................................................ 17
1.1 – Les premières générations d’ordinateurs............................................................... 17
1.2 – Les systèmes interactifs......................................................................................... 18
1. 3 – Les systèmes de gestion des bases de données : data base management
systems (DBMS) ............................................................................................................ 19
1.4 – Les logiciels intégrés ............................................................................................. 20
PARAGRAPHE 2 : LES RESEAUX INFORMATIQUES ............................................................ 20
2.1 – Les types de connexions réseaux .......................................................................... 21
2.1.1 – Connexion avec câbles ................................................................................... 21
2.1.2 – Connexion avec modem ................................................................................. 22
2.1. 3 – Connexion avec cartes réseaux ..................................................................... 22
2.1.4 – Connexion de plusieurs ordinateurs ............................................................... 22
2.2 – Les catégories des réseaux .................................................................................... 23
2.2.1 – Etendue des réseaux : ..................................................................................... 23
2.2.2 – Relations fonctionnelles des réseaux.............................................................. 25
2.3 – L’organisation des réseaux .................................................................................... 26
2.3.1 – Topologies des réseaux locaux classiques ..................................................... 27
2.3.2 – Le réseau Internet ........................................................................................... 29
_______________________________________236________________________________
PARAGRAPHE 3 : LES NOUVELLES TECHNOLOGIES DE L’INFORMATION ET DE LA

COMMUNICATION ............................................................................................................... 30
3.1 – Présentation des NTIC .......................................................................................... 30
3.1.1 – Définition ....................................................................................................... 30
3.1.2 – Fonctions des NTIC ....................................................................................... 30
3.2 – Application des NTIC ........................................................................................... 31
3.2.1 – L’échange de données informatisées (EDI) ................................................... 31
3.2.2 – L’Internet ........................................................................................................ 32
3.2.3 – L’intranet et l’extranet .................................................................................... 33
3.2.3 – Le commerce électronique ............................................................................. 33
3.2.4 – Le datawarehouse ........................................................................................... 34
3.2.5 – Le datamining ................................................................................................. 35
SECTION 2 - AMPLIFICATION DES RISQUES LIES A L’INFORMATIQUE ........... 35
PARAGRAPHE 1 : LES DIFFERENTES FORMES DES RISQUES INFORMATIQUES ................. 36
1.1 – Les risques généraux ............................................................................................. 36
1.1 .1 – Risques humains............................................................................................ 36
1.1.2 – Risques techniques ......................................................................................... 37
1.2 – Les risques lies aux réseaux .................................................................................. 38
1.2.1 – Origines des risques ....................................................................................... 38
1.2.2 – Nature des risques .......................................................................................... 42
1.2.3 – Acteurs des risques ......................................................................................... 44
1.3 – Les contraintes juridiques ..................................................................................... 46
1.3.1 – Conservation des documents comptables ....................................................... 46
1.3.2 – Protection des données à caractère personnel ................................................ 47
1.3.3 – Protection de la propriété littéraire et artistique ............................................. 48
1.3.4 – Organisation du secteur de télécommunications ............................................ 49
PARAGRAPHE 2 : LES MOYENS DE MESURE DES RISQUES ................................................. 49
2.1 – Eléments de risques ............................................................................................... 50
2.1.1 – Identifier les menaces ..................................................................................... 50
2.1.2 – Déterminer les vulnérabilités ......................................................................... 52
3.1.3 – Evaluer le coût......................................................................................... 52
2.2 – Méthodes d’évaluation des risques ....................................................................... 54
2.2.1 – La méthode statique empirique ...................................................................... 55
2.2.2 – La méthode CURCHMAN – ACKOFF ......................................................... 55
2.2.3 – La méthode d’analyse des risques informatiques orientée par niveau
« MARION ».............................................................................................................. 55
2.2.4 – La Méthode Harmonisée d'Analyse de Risques : MEHARI .......................... 56
_______________________________________237________________________________
2.2.5 – Control Objectives for Information and Technology : COBIT ..................... 57

CHAPITRE 2 : LA SECURITE INFORMATIQUE ...................................... 58
SECTION 1 – LA MISE EN PLACE D’UNE POLITIQUE DE SECURITE

INFORMATIQUE ................................................................................................................... 58
PARAGRAPHE 1 : LES OBJECTIFS DE LA SECURITE INFORMATIQUE ................................ 59
1.1 – La disponibilité...................................................................................................... 59
1.2 – La confidentialité .................................................................................................. 60
1.3 – L’intégrité .............................................................................................................. 60
1.4 – La possibilité de contrôle et de preuve .................................................................. 61
PARAGRAPHE 2 : CONCEPTION D’UNE POLITIQUE DE SECURITE INFORMATIQUE ........... 62
2.1 – Un besoin de normalisation ................................................................................... 62
2.1.1 – La Norme BS 7799......................................................................................... 62
2.1.2 – La norme ISO 17799 ...................................................................................... 63
2.1.3 – La norme ISO 13335 ...................................................................................... 64
2.1.4 – La norme ISO 27001 ..................................................................................... 64
2.2 – Au delà des normes ............................................................................................... 65
2.2.1 – L’adhésion de la direction générale ............................................................... 65
2.2.2 – La sensibilisation des utilisateurs ................................................................... 66
2.2.3 – La mise en place d’une charte de sécurité ...................................................... 66
2.2.4 – Le plan de continuité d’activité ...................................................................... 67
SECTION 2 – LES TECHNIQUES DE SECURITE INFORMATIQUE .......................... 67
PARAGRAPHE 1 : SECURITE DES POSTES DE TRAVAIL ...................................................... 68
1.1 – Sécurité physique d’accès aux données ................................................................ 68
1.1.1 – Mesures générales de sécurité ........................................................................ 68
1.1.2 – Contrôle des accès .......................................................................................... 69
1.2 – Sécurité logique des données ................................................................................ 69
1.2.1 – Création de comptes utilisateurs .................................................................... 69
1.2.2 – Création de groupes de travail ........................................................................ 70
1.2.3 –- Partage de fichiers sous Windows ................................................................ 70
1.2.4 – Gestion des mots de passe .............................................................................. 71
1.2.5 – Les solutions virales ....................................................................................... 72
PARAGRAPHE 2 : SECURITE DES RESEAUX........................................................................ 74
2.1 – L’administration des réseaux ................................................................................ 74
2.1.1 – Gestion des correctifs ..................................................................................... 75
2.1.2 – Choix de système de fichiers .......................................................................... 76
2.1.3 – Audit de la sécurité ........................................................................................ 77
2.2 – Les solutions firewall ............................................................................................ 78
2.2.1 – Fonctionnement d’un firewall ........................................................................ 78
_______________________________________238________________________________
2.2.2 – Quel firewall utiliser ? ................................................................................... 80

2.2.3 – Limites des firewalls ...................................................................................... 81
2.3 – La détection des anomalies ................................................................................... 82
2.3.1 – La surveillance du système ............................................................................ 83
2.3.2 – Les systèmes de détection d’intrusion ............................................................ 83
2.4 – La sécurité des réseaux WiFi ................................................................................ 84
2.4.1 – Vulnérabilités des réseaux WiFi .................................................................... 84
2.4.2 – Les solutions de sécurité ................................................................................ 85
PARAGRAPHE 3 : SECURITE DES TELECOMMUNICATIONS ............................................... 85
3.1 – Passage au mode sécurisé...................................................................................... 86
3.2 – Le chiffrement ....................................................................................................... 86
3.3 – La signature numérique ......................................................................................... 87
3.4 – Les réseaux virtuels privés VPN ........................................................................... 88
3.5 – La biométrie .......................................................................................................... 89
PARAGRAPHE 4 : SECURITE DES DONNEES ....................................................................... 89
4.1 – Types de sauvegarde ............................................................................................. 89
4.2 – Techniques de sauvegarde..................................................................................... 90
4.3 – Les lieux de stockage ............................................................................................ 91
PARAGRAPHE 5 : SECURITE DES APPLICATIONS ............................................................... 92
5.1 – Sécurité d’une application interne ......................................................................... 92
5.1.1 – Organisation de travail ............................................................................ 92
5.1.2 – La méthodologie ............................................................................................. 93
5.1.3 – La maintenance .............................................................................................. 94
5.2 – Sécurité d’une application externe ........................................................................ 94
PARAGRAPHE 6 : LES ASSURANCES INFORMATIQUES ....................................................... 95
CONCLUSION PREMIERE PARTIE............................................................. 96
DEUXIEME PARTIE : PROPOSITION D’UNE DEMARCHE D’AUDIT

DE LA SECURITE INFORMATIQUE POUR L’EXPERT
COMPTABLE ..................................................................................................... 98
INTRODUCTION DEUXIEME PARTIE ....................................................... 99
CHAPITRE 1 : AUDIT DE LA SECURITE INFORMATIQUE ET ROLE

DE L’EXPERT COMPTABLE ....................................................................... 101
SECTION 1 – INTRODUCTION A L’AUDIT DE LA SECURITE INFORMATIQUE101
_______________________________________239________________________________
PARAGRAPHE 1 : DEFINITION ET OBJECTIFS DE L’AUDIT DE LA SECURITE

INFORMATIQUE ................................................................................................................ 101
1.1 – Définition ............................................................................................................ 101
1.2 – Objectifs de l’audit de la sécurité informatique .................................................. 103
1.2.1 – Objectif de sécurité au quotidien .................................................................. 104
1.2.2 – Objectif de disponibilité ............................................................................... 104
1.2.3 – Autres objectifs ............................................................................................ 105
PARAGRAPHE 2 : STRATEGIE NATIONALE EN MATIERE DE SECURITE INFORMATIQUE 105
2.1 – L’Agence Nationale de la Sécurité Informatique ................................................ 107
2.2 – Audit obligatoire de la sécurité informatique ...................................................... 108
2.3 – Encourager la formation ...................................................................................... 109
2.4 – Cert-TCC: Computer Emergency Response Team-Tunisian Coordination
Center: .......................................................................................................................... 109
SECTION 2 – INTERVENTION DE L’EXPERT COMPTABLE DANS LE ACDRE

DE L’AUDIT DE LA SECURITE INFORMATIQUE ...................................................... 110
PARAGRAPHE 1 : ROLE DE L’EXPERT COMPTABLE ......................................................... 110
1.1 – Champ d’intervention de l’expert comptable ...................................................... 111
1.2 – Limites à la réalisation d’une mission d’audit de la sécurité informatique ......... 112
1.2.1 – Limites inhérentes à l’expert comptable ...................................................... 112
1.2.2 – Limites relatives à la démarche d’audit........................................................ 113
1.2.3 – Limites liées à l’organisation des clients...................................................... 114
1.3 – Recours à un spécialiste en sécurité informatique .............................................. 115
1.3.1 – Compétence et objectivité du spécialiste ..................................................... 116
1.3.2 – Suivi et évaluation des travaux du spécialiste .............................................. 116
PARAGRAPHE 2 : REFERENTIELS ET NORMES D’AUDIT EN MILIEU INFORMATIQUE ..... 117
2.1 – Compagnie Nationale des Commissaires aux Comptes ...................................... 117
2.2 – IFAC :.................................................................................................................. 119
2.3 – SAC Report ......................................................................................................... 120
2.4 – Normalisation nationale ...................................................................................... 121
CHAPITRE 2: DEMARCHE D’AUDIT DE LA SECURITE

INFORMATIQUE ............................................................................................ 122
SECTION 1 – PHASES DE REALISATION DE LA MISSION ...................................... 122
PARAGRAPHE 1 : PRISE DE CONNAISSANCE DE L’ENVIRONNEMENT INFORMATIQUE .... 123
1.1 – Portée................................................................................................................... 123
l.1.1 – La stratégie informatique .............................................................................. 123
1.1.2 – Le degré de dépendance de la fonction informatique .................................. 125
1.1.3 – L’organisation de la fonction informatique .................................................. 126
1.2 – Déroulement ........................................................................................................ 127
1.2.1 – Examen préalable de la documentation ....................................................... 127
1.2.2 – Entretiens ...................................................................................................... 128
_______________________________________240________________________________
1.2.3 – Inventaire physique du matériel informatique ............................................. 130

1.2.4 – Inventaire logique des applications informatiques ....................................... 132
PARAGRAPHE 2 : APPRECIATION DES RISQUES INHERENTS A L’INFORMATIQUE .......... 137
2.1 – Risques organisationnels ..................................................................................... 138
2.1.1 – Domaines d’investigation ............................................................................. 138
2.1.2 – Questionnaire d’audit ................................................................................... 140
2.1.3 – Incidences sur le risque inhérent .................................................................. 146
2.2 – Risques liés à la sécurité physique ...................................................................... 147

2.2.2 – Questionnaire d’audit : ................................................................................. 148
2.3 – Risques liés à la sécurité logique ........................................................................ 158
2.3.2 – Questionnaire d’audit : ................................................................................. 161
2.4 – Risques liés à la gestion des sauvegardes ........................................................... 174
2.4.2 – Questionnaire d’audit ................................................................................... 176
PARAGRAPHE 3 : APPRECIATION DU RISQUE LIE AU CONTROLE .................................... 180
3.1 – Les contrôles programmés .................................................................................. 180
3.1.1 – Les contrôles d’accès à l’application ........................................................... 181
3.1.2 – Les contrôles à la saisie des données .......................................................... 181
3.1.3 – Les contrôles de traitement .......................................................................... 181
3.1.4 – Les contrôles des sorties ............................................................................... 182
3.2 – Les contrôles utilisateurs ..................................................................................... 183
PARAGRAPHE 4 : RECOMMANDATIONS D’AUDIT ............................................................ 183
4.1 – Finalité des recommandations d’audit ................................................................ 184
4.2 – Note de synthèse ................................................................................................. 184
SECTION 2 : LES BONNES PRATIQUES DE SECURITE INFORMATIQUE ........... 185

PARAGRAPHE 1 – SECURITES ELEMENTAIRES ................................................................ 186
1.1 – Stratégie de groupe .............................................................................................. 187
1.1.1 – Vérification de la stratégie de groupe .......................................................... 187
1.1.2 – Création d’un compte utilisateur .................................................................. 187
1.2 – Mots de passe ...................................................................................................... 190
1.2.1 – Utilisation des mots de passe ....................................................................... 190
1.2.2 – Vérification de la solidité des mots de passe................................................ 190
_______________________________________241________________________________
1.3 – Autres mesures de sécurité .................................................................................. 192

1.3.1 – Utiliser le centre de sécurité Windows XP................................................... 193
1.3.2 – Verrouiller l’ordinateur ................................................................................ 194
1.3.3 – Affecter un mot de passe à l'écran de veille ................................................. 194
1.3.4 – Rendre un dossier privé ................................................................................ 195
1.3.5 – Créer un fichier caché .................................................................................. 195
1.3.6 – Masquer les documents dernièrement utilisés .............................................. 195
PARAGRAPHE 2 : SECURITES AVANCEES ........................................................................ 196

2.1 – Sécurité Internet .................................................................................................. 196
2.1.1 – Définir la zone de sécurité ............................................................................ 196
2.2.2 – Définir le style des fichiers téléchargés........................................................ 197
2.1.3 – Exploitation des cookies............................................................................... 197
2 .1.4 – Précautions à prendre .................................................................................. 198
2.2 – Sécurité de messagerie électronique ................................................................... 198
2.2.1 – Blocage des pièces jointes à risque .............................................................. 199
2.2.2 – Filtre anti-pourriels....................................................................................... 199
2.2.4 – Précautions à prendre ................................................................................... 201
2.2.3 – Utiliser les techniques de cryptage ............................................................... 200
2.3 – Sécurité de réseaux sans fil Wi-Fi ....................................................................... 202
CONCLUSION DEUXIEME PARTIE .......................................................... 204
CONCLUSION GENERALE .......................................................................... 205
LISTE DES ANNEXES .................................................................................... 208
BIBLIOGRAPHIE............................................................................................ 231
_______________________________________242________________________________

M414

Transféré par

Droits d'auteur :

Formats disponibles

M414

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

M414

Transféré par

Droits d'auteur :

Formats disponibles

UNIVERSITE DE LA MANOUBA

Institut Supérieur de Comptabilité et d’Administration des Entreprises

Commission d’Expertise Comptable

MEMOIRE EN VUE DE L’OBTENTION DU DIPLOME

INCIDENCES DE L’EVOLUTION DES TECHNOLOGIES DE

PRESENTE PAR : Mme Jihed BESGHAIER EPOUSE LEHBAIEL

ENCADRE PAR : Mr Mohamed BOUATTOUR

A mon père pour son soutien ;

A ma belle famille pour ses aides précieuses;

A tous ceux que j’aime et qui m’aiment.

J’adresse l’expression de ma très grande reconnaissance et toute ma gratitude à :

 Mon professeur et encadreur M.Mohamed BOUATTOUR pour son énorme soutien,

 Messieurs les membres du jury pour avoir accepter d’évaluer ce travail ;

 Et à tous ceux qui m’ont aidé dans l’élaboration de ce travail.

LISTE DES ABREVIATIONS

AFAI : l’Association Française d’Audit et de Conseil Informatique

IPX/SPX : Internetwork Packet Exchange/Sequenced Packet Exchange

TABLE DES MATIERE

PREMIERE PARTIE : LA SECURITE INFORMATIQUE : UN IMPERATIF DU A

INTRODUCTION PREMIERE PARTIE .................................................................. 14

CHAPITRE I : EVOLUTION DE L’ENVIRONNEMENT ET DES RISQUES

SECTION 2 - AMPLIFICATION DES RISQUES INFORMATIQUES ................... 35

CHAPITRE 2 : LA SECURITE INFORMATIQUE ................................................... 58

SECTION 2 : LES TECHNIQUES DE SECURITE INFORMATIQUE ........................... 67

CONCLUSION PREMIERE PARTIE ...................................................................... 96

DEUXIEME PARTIE : PROPOSITION D’UNE DEMARCHE D’AUDIT DE LA

INTRODUCTION DEUXIEME PARTIE ................................................................. 99

CHAPITRE 1 : AUDIT DE LA SECURITE INFORMATIQUE ET ROLE DE

Paragraphe 1 : Définition et objectifs de l’audit de la sécurité informatique 101

SECTION 2 : INTERVENTION DE L’EXPERT COMPTABLE DANS LE CADRE

Paragraphe 1 : Rôle de l’expert comptable 110

CHAPITRE 2 : DEMARCHE D’AUDIT DE LA SECURITE INFORMATIQUE ...... 122

Paragraphe 1 : Prise de connaissance de l’environnement informatique 123

SECTION 2 : LES BONNES PRATIQUES DE SECURITE INFORMATIQUE ........... 185

Paragraphe 1 – Sécurités élémentaires 186

CONCLUSION DEUXIEME PARTIE .................................................................... 204

CONCLUSION GENERALE ................................................................................. 205

LISTE DES ANNEXES .......................................................................................... 208

BIBLIOGRAPHIE ................................................................................................ 231

Corrélativement aux améliorations apportées aux entreprises en terme de rapidité de

Les petites et moyennes entreprises (PME), constituant la majeure partie de l’économie

De même, avec le développement des technologies de l’information et l’utilisation accrue

Le contrôle de la fiabilité des informations et du système de contrôle interne relève de la

A cet effet, il y a lieu de s’interroger sur la définition de l’audit de la sécurité informatique

Loin d’être un spécialiste en informatique, l’intervention de l’expert comptable a pour

 L’utilisation des techniques d’audit assistées par ordinateur.

Les conséquences dommageables occasionnées par la survenance d’un sinistre informatique

Cette première partie du mémoire se propose de mettre à la disposition de l’expert

CHAPITRE I : EVOLUTION DE L’ENVIRONNEMENT ET DES

SECTION 1 – MUTATION DE L’ENVIRONNEMENT INFORMATIQUE DE

En 1885, fut l’invention par Herman HOLLERITH de la première machine à calculer

La première machine portant le nom d’ordinateur fut l’ENIAC (Electronic Numerical

A partir de cette date, on assiste à une évolution vertigineuse de l’informatique tant au

 les matériels et logiciels informatiques ;

PARAGRAPHE 1 : APERÇU SUR L’EVOLUTION DES MATERIELS ET LOGICIELS

1.1 – Les premières générations d’ordinateurs

L’apparition de la troisième génération des ordinateurs avec l’utilisation des circuits

En 1972, les premiers micro-ordinateurs ont vu le jour suite à la découverte des

1.2 – Les systèmes interactifs