m

 m


m 
m


 




 


  





 
 INTRODUCTION

 L¶informatique est omniprésente et indispensable

 Développement des SI = accroissement des risques

 Le SI est le « système nerveux » de l¶entreprise

 L¶audit est un moyen préventif bien qu¶utilisé trop souvent à

titre curatif (58% des cas)

 L¶audit informatique s¶impose, il y a une prise de conscience

 A vu le jour dans les 60¶s aux USA

 áLAN

I- Généralités
A- Objectifs
B- Démarche générale
C- Conduite de la mission
II- Les outils de l¶auditeur
A- Normes
B- Méthodes
C- Critères de choix
III- Cas pratique
GÉNÉRALITÉS
 GÉNÉRALITÉS

] L¶audit correspond au besoin de faire faire un diagnostic par

un expert indépendant pour établir un état des lieux, définir
des points à améliorer et obtenir des recommandations pour
faire face aux faiblesses de l¶entreprise.

] L¶auditeur intervient en tant que mesureur des risques, il

identifie faiblesses, impacts, solutions et les risques si les
mesures ne sont pas prises.
 GÉNÉRALITÉS (SUITE)

] L¶audit Informatique est un terme largement utilisé, il couvre

donc des réalités souvent différentes, et certaines
prestations réalisées sous le terme d¶ « Audit Informatique »
sont en fait des missions de Conseil.

] Le champ d¶action principal de l¶Audit Informatique doit

rester l¶outil informatique au sens large, en y incluant la
bureautique (application, matériels« ) et de plus en plus les
outils liés à l¶usage des technologies de l¶Internet«
 OBJECTIFS
] 






 

a) L¶intérêt d¶un contrôle interne

b) Les acteurs de l¶audit informatique

c) Composantes d¶un audit de l¶activité informatique

d) Méthodes d¶audit de l¶activité informatique

 OBJECTIFS
!
"#
 
$%

Selon l¶OEC, le contrôle interne est:
r l¶ensemble des sécurités contribuant à la maîtrise de
l¶entreprise.
r Il a pour but:

- d¶assurer la protection, la sauvegarde du patrimoine et

la qualité de l¶information
- l¶application des instructions de la direction et favoriser
l¶amélioration des performances.
r Il se manifeste par l¶organisation, les méthodes et
procédures de chacune des activités de l¶entreprise pour
maintenir sa pérennité
 OBJECTIFS
 bonne organisation d¶ensemble de l¶activité
« informatique »
 existence de procédures
 existence de méthodes



r réduire les risques de malveillance

r des procédures formalisées bien comprises
r amélioration de l¶efficacité de l¶activité informatique.
 OBJECTIFS
!
"
$ 

 

 

 direction de l¶entreprise

 responsable informatique

 contrôleurs externes (commissaires aux comptes,

administration fiscale, banques )
 OBJECTIFS
$!
&'
 
 

$

 
r !
"#

#


  $

r !

 






 

$

r !

 
%"!

&

$

r !
'   (
 OBJECTIFS
!
(
 

$
 

r entretiens avec le personnel du service informatique et les

utilisateurs du service

r contrôles de documents ou d¶états

r outils commercialisés (progiciel)

r méthodes (COBIT, MEHARI )

 OBJECTIFS
] 

$$


'$

r mise en place d¶un plan de secours

r étude approfondie de la performance et du
dimensionnement des machines
r adéquation aux besoins des logiciels système

« En d¶autres termes l¶audit d¶efficacité, constitue une

mission mandatée soit par la direction générale, afin de
s¶interroger sur le coût de son informatique, soit par le
responsable du service, de manière à vérifier la pertinence
de sa configuration ».
 OBJECTIFS
] 



 
''$

 
 Objectif premier:« Se prononcer sur la qualité d¶une
application donnée ».

 Types de contrôle:

r Contrôle de la fiabilité d¶une application, ou son utilisation

r Contrôle de l¶adéquation des logiciels développés aux
spécifications fonctionnelles
r Recherche de fraude ou erreurs
r Contrôle de la qualité des méthodes de développement des
logiciels ou contrôle de la qualité des procédures
d¶exploitation
 DEMARCHE GENERALE

] « La compétence technique de l¶auditeur est un point

fondamental pour la réussite de la mission, il implique aussi
de disposer de certaines qualités humaines, relationnelles,
et des qualités de gestionnaire et d¶organisateur. »

1!


)!
*
'  
 

 DEMARCHE GENERALE
1!


!
  
+
$$ 

r société spécialisée en ingénierie et services

informatique(SSII)
r free-lance
" 


r examen de contrôle interne de la fonction informatique,

r audit de la sécurité physique du centre de traitement,
r audit de la confidentialité d¶accès
r audit des performances

,
,
", ",
",
 m,


m ,
,
m
",
*",
- m
,
""&m-,

   
#
Sécurité logique 80%

Conduite de projets 68%

Revue environnement informatique 66%

ERP / Revue d'application 58%

Production 54%

Maitrise d'ouvrage et Cahier des charges 54%

Analyse de données 50%

Développement et rôle des études 46%

Recettes 42%

Qualité du code et réalisation 30%

Autre 20%

Source: enquête AFAI 2003

 DEMARCHE GENERALE
!
  


r Les missions susceptibles d¶être confiées à l¶auditeur

informatique interne sont a priori les mêmes que celles
susceptibles d¶être confiées à l¶auditeur externe.

r Cependant, l¶auditeur interne qui dépend soit de la direction

informatique ou d¶un service d¶audit, se trouve confronté à
un problème délicat : Comment couvrir dans un délai
raisonnable l¶ensemble des risques informatiques ?
 DEMARCHE GENERALE
$!
&

$'

p Rôle

Le commissaire au compte a pour rôle de vérifier que les

comptes présentés sont réguliers et sincères, et qu¶ils
donnent une image fidèle de la situation de l¶entreprise.
Leur présence est obligatoire dans la plupart des sociétés
commerciales.
 DEMARCHE GENERALE
p Approche en environnement informatique

Source: CRCC de áaris

 DEMARCHE GENERALE
)!
*
'  
 

r Un plan annuel est définit sur une période de 3 à 4 ans,

pour couvrir l¶ensemble des composantes du risque
informatique, par les auditeurs internes qui vont fixer des
programmes annuels de travail détaillés.

r Le programme de travail annuel reprend, en précisant les

dates et modalités d¶intervention, les missions prévues au
plan pluriannuel.
DEMARCHE GENERALE
Ê





 CONDUITE DE LA MISSION
] $(

!





r Objectifs de la mission
r áérimètre de la mission
r áériode d¶intervention
r Contraintes à prévoir pour les services audités
r Méthode
r Constitution de l¶équipe
r Documents préparatoires
 CONDUITE DE LA MISSION
!
"
'.



r Structure de l¶entreprise concernée

r Domaines fonctionnels

r Applications informatiques

r Matériel et réseaux
 CONDUITE DE LA MISSION
$!
 #
'
r délimiter les besoins et analyser le système d¶information de
l¶audité
r interroger en collaboration avec l¶audité, les utilisateurs et
les entreprises qui participent au fonctionnement actuel du
SI
!
 

/(0
r s´assurer :
- que les questions de l´auditeur ont été bien comprises
- que les réponses ont été bien interprétées
 CONDUITE DE LA MISSION
!
''
 

r Le rapport est ensuite rédigé. Il doit être clair et non porté

sur la technique

r mission d´expertise: il proposera un plan d¶action pour

améliorer la performance
 CONDUITE DE LA MISSION
] &
$(

  
  1

r Trois critères majeurs sont donc à retenir :

- l´indépendance de l´auditeur

- professionnel du diagnostic

- sa capacité à remettre des recommandations.

 CONDUITE DE LA MISSION
] 
'

 



$2


$
' 
3'
1

r u

Avec un prix moyen de la journée à environ 1000 euros, le
Groupement national des professionnels de l´informatique
(GáNI) estime le coût global de la procédure entre 500 et
3000 euros.

r $:
- Economies immédiates lors du constat de dépenses
inutiles
- Réduction des risques entrainant réduction de coût
LES OUTILS DE L¶AUDITEUR
 LES NORMES
p ISO 27002

 Généralités: Créée en 2000 (ISO 17799), Renommée en 2005

 Objet: sécurisation de l¶information

=> Confidentialité, intégrité, disponibilité

 Caractère facultatif => guide de recommandations

 4 étapes dans la démarche de sécurisation:

- Liste des biens sensibles à protéger

- Nature des menaces
- Impacts sur le SI
- Mesures de protection
 LES NORMES

p ISO 27001
 Généralités: Créée en 2005
 Objet: áolitique du Management de la Sécurité de l¶Information

=> établir un Système de Management de la Sécurité de

l¶Information :
- Choix des mesures de sécurité

- árotection des actifs

 Utilisation du modèle áDCA

 LES NORMES

 6 domaines de processus :

- Définir une politique de sécurité

- Définir le périmètre du SMSI
- Evaluation des risques
- Gérer les risques identifiés
- Choisir et mettre en œuvre les contrôles
- Rédiger Statement Of Applicability (charte du SMSI)

 Conditions remplies => certification ISO 27001

 LES MÉTHODES
p COBIT
 Généralités : Créée en 1996 par l¶ISACA / AFAI
 Structure
 Contenu:
- Synthèse
- Cadre de référence
- Guide d¶audit
- Guide de management
- Outils de mise en oeuvre

 Intérêts:
- Lien entre les objectifs de l¶entreprise et ceux de technologies
d¶information
- Intégration des partenaires d¶affaires
- Uniformisation des méthodes de travail
- Sécurité et contrôle des services informatiques
- Système de gouvernance de l¶entreprise
 LES MÉTHODES
p MEHARI
 Généralités : Créée en 1995 par le CLUSIF, remplaçant MARION
 Structure:

 Intérêts:
- Appréciation des risques aux regards des objectifs de sécurité
- Contrôle et gestion de la sécurité
 LES MÉTHODES
p EBIOS
 Généralités : Créée en 1995 par la DCSSI
 Structure:

 Intérêts:
- Construction d¶une politique de sécurité basée sur une analyse des risques
- L¶analyse des risques repose sur l¶environnement et les vulnérabilités du SI
LES MÉTHODES
 LES CRITÈRES DE CHOIX
 Origine géographique de la méthode
 Langue
 Existence de logiciels adaptés
 Ancienneté = capacité de recul, témoignages
 Qualité de la documentation
 Facilité d¶utilisation
 Compatibilité avec les normes
 Le coût (matériel et humain)
 La popularité, la reconnaissance
 Généralement, combinaison de méthodes lors d¶un audit
CAS áRATIQUE
 CAS áRATIQUE
c

certaines associations ont l¶obligation de nommer un CAC:
r l¶association exerce une activité économique et remplit deux des critères suivants :
50 salariés, 3,1 millions CA, 1,55 million de bilan

r l¶association perçoit des financements publics supérieurs à 153 000¼.

r les associations reconnues d¶utilité publique

r les associations émettant des obligations

r les associations collectant la participation des employeurs à l¶effort de construction

r les organismes de formation remplissant deux des trois critères suivants: 3 salariés,
153 000¼ de CA, 230 000¼ de bilan

r les associations sportives affiliées collectant des recettes d¶un montant supérieur à
380 000¼ et employant des sportifs dont la masse salariale excède 380 000¼

r les associations et les fondations bénéficiaires de plus de 153 000 euros de dons
 CAS áRATIQUE

Auditeur: Commissaire aux comptes

Audité:

l Nature: Association Affres(association loi 1901)

l Chiffre d¶affaires: 30 millions ¼

 áROBLÈMES DÉTECTÉS

 Accessibilité des imprimantes

 Accès aux applications

 Topologie du réseau

 Absence de véritable administrateur

 árocédure de sauvegarde des données

 Organisation de la comptabilité informatique

 Base de données
 SOLUTIONS
] Mieux répartir les imprimantes dans les locaux

] Restreindre l¶accès aux applications à la fonction de

l¶utilisateur

] Créer 2 sous-réseaux (DAF et E&R) indépendants

] Nommer un administrateur qualifié

] L¶administrateur sera chargé des sauvegardes, en veillant à

les sécuriser

] Valider l¶intégration des écritures tous les jours

] Modifier la structure de la BD informatisée

 CONCLUSION

 L¶audit informatique s¶est imposé et s¶inscrit dans l¶avenir

des entreprises

 La normalisation est synonyme de développement et de

crédibilité

 Le métier d¶auditeur informatique recrute

 SOURCES

www.afai.fr

www.journaldunet.com

www.indexel.net

www.aud-it.ch

www.guideinformatique.com

www.bpms.info

Les techniques de l¶audit informatique, Yann Derrien