Le document présente une réflexion sur l'audit des systèmes d'information, abordant son importance croissante dans les entreprises, les risques associés et les problématiques spécifiques à chaque phase de vie d'un système d'information. Il explore les différentes missions d'audit, notamment l'audit de la fonction informatique, des projets et de la sécurité, ainsi que les bonnes pratiques et les critères d'efficacité. Enfin, le document souligne la nécessité d'une démarche d'audit rigoureuse pour assurer la conformité et l'efficacité des systèmes d'information.

1. MASNAOUI 1
Journée de Réflexion sur l’Audit
ENCG Agadir, le 1 Mars 2003
Démarche d ’audit des Systèmes d ’information
Nabil BAYAHYA, Directeur Associé
Masnaoui Mazars

2. MASNAOUI 2
Plan de la présentation
1. Notions de base des de l ’audit des SI
2. Présentation de 3 domaines d ’Audit des SI
2.1. Audit de la fonction informatique
2.2. Audit des projets
2.3. Audit de la Sécurité
3. Conduite d ’une mission d ’audit

3. MASNAOUI 3
Contexte des SI dans l ’entreprise
Les systèmes d ’information ont évolué depuis les années 70
pour s ’octroyer une importance cruciale dans la vie des
entreprises en tant que :
Support à l ’outil de production qui contribue à la réalisation
de l ’objet de l ’entreprise (système de facturation, encaissement,
trésorerie, comptabilité, GPAO, GMAO ….)
Référentiel du patrimoine de l ’entreprise et de son savoir faire
(fichier clients, processus de gestion, KM ... )
Moyen de renforcement du contrôle et de maîtrise des
processus de gestion (contrôle informatique, workflow)
… . Ces constats génèrent un niveau de dépendance de
l ’entreprise vis à vis de son système d ’information

4. MASNAOUI 4
Risques
informatiques
Contexte des SI dans l ’entreprise
Certes, le niveau d ’intégration du SI dans les processus de gestion
de l ’entreprise présente un réel tremplin pour sa croissance et son
développement ...
…mais, une telle intégration présente d ’inhérents risques de
vulnérabilité de l ’entreprise
Inadéquation
au processus
de gestion Non conformité
aux dispositions
légales
Absence
d ’information
décisionnel le
Inefficience du
Contrôle
Manque
d ’évolutivité de
l ’architecture
informatique
Accès non
autorisés
Augmentatio
n des coûts
informatique
s
Manque de
Fiabilité des
traitements et
des données
Continuité
d ’exploitation
de l ’entreprise
...
Inefficience de
la politique de
sécurité
Absence de
compétences
qualifiées

5. MASNAOUI 5
Préoccupations des directions générales
Le système d ’information de l ’entreprise contribue-t-il à
améliorer sa profitabilité ?
Comment mesurer les bénéfices liés aux investissements
informatiques ?
La stratégie informatique est-elle conforme à la stratégie de
l ’entreprise ?
Peut-on diminuer les coûts des fonctions administratives
en dépensant plus en informatique ?
Les données produites par les applications informatiques
permettent-elles de prendre des décisions efficaces ?
Les applications fournissent des informations exactes,
exhaustives, authentiques ?
Le système informatique est-il suffisamment protégé contre
les accidents, les malveillances et les erreurs ?
...

6. MASNAOUI 6
Problématiques du Système d ’information
Les problématiques du système d ’information se manifestent tout le long de son cycle
de vie selon une approche itérative:
Choix et orientation du
système d ’information
Mise en œuvre et
développement du SI
Exploitation du SI
Quelle adéquation avec les orientations stratégiques et le
plan de développement du SI ?
Comment faire évoluer le SI actuel vers le SI cible ?
Quels choix technologiques retenir ?
Quelle organisation pour le pilotage des projets
informatiques ?
….
Quelle adéquation avec les orientations stratégiques et le
plan de développement du SI ?
Comment faire évoluer le SI actuel vers le SI cible ?
Quels choix technologiques retenir ?
Quelle organisation pour le pilotage des projets
informatiques ?
….
Quelle adéquation entre les applications en exploitation et
les besoins des utilisateurs
Quelles sont les mesures de contrôles et de sécurité prises
en compte dans les applications informatiques
Quelles sont les procédures d ’exploitation du SI
...
Quelle adéquation entre les applications en exploitation et
les besoins des utilisateurs
Quelles sont les mesures de contrôles et de sécurité prises
en compte dans les applications informatiques
Quelles sont les procédures d ’exploitation du SI
...
Quelle choix pour la mise en œuvre du plan de
développement du SI : Choix de progiciel,
développement spécifique, solutions interfacées
Quelle démarche de conduite de projet informatiques
Quelle organisation et compétences pour la conduite
des projets informatiques
...
Quelle choix pour la mise en œuvre du plan de
développement du SI : Choix de progiciel,
développement spécifique, solutions interfacées
Quelle démarche de conduite de projet informatiques
Quelle organisation et compétences pour la conduite
des projets informatiques
...

7. MASNAOUI 7
Périmètre des missions d ’audit des systèmes d’information
REVUE DES CONTRÖLES GENERAUX INFORMATIQUES
A
UDIT
:
A
PPLICATIONS
I
NFORMATIQUES
URBANISATION DU SYSTEME D ’INFORMATION
A
UDIT
:
A
LIGNEMENT
S
TRATEGIQUE
A
UDIT
:
F
ONCTION
I
NFORMATIQUES
Choix et orientation du
système d ’information
Mise en œuvre et
développement
du SI
A
UDIT
:
P
ROJETS
I
NFORMATIQUES
A
UDIT
:
Sécurité
et
Réseaux
Exploitation
du SI

8. MASNAOUI 8
Démarche d ’audit
• Objectif :
S ’assurer que tout se passe bien conformément aux règles et
aux usages professionnels
Pour toutes les faiblesses importantes détectées, évaluer et
justifier les risques, et
Proposer des actions correctives
• Moyens
Observer, analyser et juger des faits
Evaluer l ’adéquation et le fonctionnement des activités par
comparaison avec un référentiel
Appliquer des démarches cohérentes
• Domaines
Toutes les fonctions de l ’entreprise peuvent être auditées

9. MASNAOUI 9
Ne pas confondre audit, expertise et conseil
Audit
– Démarche de généraliste
– Collecte de faits
– Analyse de processus
– Recommandations
Expertise
– Spécialiste d ’un domaine
– Approche technique
– Mesures de performances
– Recherche de solutions
Conseil
– Connaissance d ’un domaine
– Approche généraliste
– Axes d ’amélioration
– Pilotage du changement

10. MASNAOUI 10
Trois grands types d ’audits
L ’audit de conformité (audit de régularité)
– Vérification de l ’existence de normes
– La direction générale fixe des règles et des procédures
– S ’assurer qu ’elles sont effectivement appliquées
– Comparaison par rapport à un référentiel
L ’audit d ’efficacité (audit de progrès)
– Appréciation de la qualité des règles et des procédures par rapport
aux objectifs
– Vérification de l ’impact de ces règles
– Recommandation d ’améliorations
– Etablir un plan d ’action

11. MASNAOUI 11
Trois grands types d ’audits
L ’audit d ’efficience (audit économique)
– Analyser les moyens affectés aux opérations
– Apprécier l ’utilisation des ressources
– Proposer des moyens d ’optimiser ces moyens
Attitude réservée face aux audits sanctions

12. MASNAOUI 12
Quelques Référentiels de l ’audit des
Systèmes d ’information
COBIT (Contrôle Objectives for Information and related Technology)
– Etablis par l ’ISACA (Information Systems Audit and Control
Assiociation)
– Traduit et diffusé par l ’AFAI (Association française de l’audit et
du conseil informatique)
SAC Report (Contrôle et audit du système d ’information)
– Etablis par IAA
– Traduit et diffusé par l ’IFACI, IAI
Le référentiel ne fait pas l ’auditeur...
mais il peut l ’aider

13. MASNAOUI 13
1. Notions de base de l ’audit des SI
2. Présentation de 3 domaines d ’Audit des SI
2.1. Audit de la fonction informatique
2.2. Audit des projets
2.3. Audit de la Sécurité
3. Conduite d ’une mission d ’audit

14. MASNAOUI 14
Audit de la fonction informatique
• Plan
Questions usuelles de la direction générale concernant la
fonction informatique
Positionnement et structure de la fonction informatique
Les bonnes pratiques concernant la fonction informatique
Les points de contrôles
Exemples de mission d ’audit

15. MASNAOUI 15
Audit de la fonction informatique
• Questions usuelles de la direction générale
Est-ce que les utilisateurs sont satisfaits des prestations
informatiques ?
Est-ce que l ’informatique perturbe vraiment le fonctionnement
des services ?
Est-ce que l ’informatique est correctement pilotée ? Y-a-t il un
comité de direction chargé de l ’informatique ?
Quel doit être le positionnement du responsable informatique ?
Combien ça coûte réellement ? Et combien ça rapporte ?
Faut-il décentraliser l ’informatique dans les unités ? Que doit-
on garder en central ?
Comment piloter de manière efficace les projets informatiques ?
Est-ce que les personnes travaillant au sein du service
informatique sont compétences ?

16. MASNAOUI 16
Audit de la fonction informatique
• Positionnement et structure de la fonction informatique
Le comité de planification ou de pilotage de l ’informatique
Position des services informatiques dans l ’organisation &
Séparation des tâches
Intervention de l ’informatique dans l ’organisation et les
processus
Responsabilité de l ’assurance qualité
Responsable de la sécurité Propriété des données et des
applications
Gestion du personnel informatique et des sous-traitants

17. MASNAOUI 17
Audit de la fonction informatique
• Les bonnes pratiques concernant la fonction informatique
Les relations entre la direction générale et les utilisateurs
La clarté des structures et des responsabilités
L ’existence de dispositifs de mesures
Compétence et qualification du personnel

18. MASNAOUI 18
Audit de la fonction informatique
• Les relations entre la direction générale et les utilisateurs
La mission de la direction informatique doit être clairement
définie et un document écrit doit la décrire.
Les objectifs et les règles de fonctionnement de l ’informatique
doivent être connus des décideurs et des utilisateurs.
Un comité de direction doit prendre des décisions concernant
l ’informatique et des comptes-rendus doivent être publiés.
La direction de la fonction informatique doit périodiquement
faire réviser les plans concernant l ’informatique

19. MASNAOUI 19
Audit de la fonction informatique
• La clarté des structures et des responsabilités
Les responsables opérationnels doivent avoir une relation de
partenariat avec la fonction informatique
La fonction informatique doit avoir la responsabilité de
l ’architecture du système informatique
La fonction informatique doit avoir la responsabilité de
l ’assurance qualité du système informatique
La fonction informatique doit avoir la responsabilité de la
sécurité physique et logique des actifs informationnels

20. MASNAOUI 20
Audit de la fonction informatique
• L ’existence de dispositifs de mesures
C ’est un vaste programme
Un suivi économique est nécessaire mais n ’est pas suffisant.
Généralement c ’est un suivi budgétaire mais cela peut être aussi
un mécanisme de refacturation
Il faut que l ’informatique rend des comptes aux différents
partenaires de l ’informatique.
Mais la réalité montre que ce n ’est pas facile à faire et on parle
souvent du « manque de transparence de l ’informatique ».

21. MASNAOUI 21
Audit de la fonction informatique
• L ’existence de dispositifs de mesures
Il est nécessaire de mieux communiquer sur les objectifs, les
politiques mises en oeuvre, les ressources affectées et leur
utilisation
Et surtout il est nécessaire de contrôler l ’activité informatique :
gestion de projet, CAE, gestion des investissements,...

22. MASNAOUI 22
Audit de la fonction informatique
• Compétences et qualification du personnel
Les besoins en personnel informatiques doivent périodiquement
être évalués (au moins une fois par an).
Une supervision effective du personnel informatique doit être
faite notamment pour juger s ’il dispose des moyens pour faire
son travail et s ’il est performant.
Tous les postes doivent disposer d ’une description de poste
mettant en avant les compétences et l ’expérience nécessaire.
Il doit exister une claire séparation des tâches notamment entre
la maintenance des applications et l ’exploitation.

23. MASNAOUI 23
Audit de la fonction informatique
• Compétences et qualification du personnel
Le personnel clé doit être identifié
Le personnel sous contrat doit faire l ’objet d ’un contrôle
particulier notamment pour s ’assurer que les actifs
informationnels sont garantis.

24. MASNAOUI 24
Audit de la fonction informatique
• Les points de contrôles
Rôle des directions dans le système d ’information
Existence de politique, de normes et de procédures
Responsabilité du service informatique : relations maîtrise
d ’oeuvre-maîtrise d ’ouvrage
Existence de dispositifs de contrôle interne

25. MASNAOUI 25
Audit de la fonction informatique
• Rôle des directions dans le système d ’information
Il doit exister un comité informatique
Il peut avoir différents noms : commission informatique, comité
de pilotage,...
Il est rattaché au directeur général
Les principaux décideurs de l ’entreprise doivent y participer
Il doit se réunir régulièrement
L ’essentiel des orientations informatiques doit être débattu au
sein de ce comité

26. MASNAOUI 26
Audit de la fonction informatique
• Rôle des directions dans le système d ’information
Un suivi régulier du schéma directeur doit être fait
Etudier le positionnement de ce comité dans la structure de
l ’entreprise
Examiner les comptes-rendus de ce comité sur un an.
Rencontrer quelques membres du comité.

27. MASNAOUI 27
Audit de la fonction informatique
• Responsabilité du service informatique (relations maîtrise
d ’oeuvre-maîtrise d ’ouvrage)
Les responsabilités du service informatique doivent être
clairement définies
La position du service informatique dans l ’organigramme de
l ’entreprise doit être claire.
Le service informatique doit avoir une autorité suffisante pour
faire appliquer les mesures nécessaires pour atteindre les
objectifs qui lui ont été fixés.

28. MASNAOUI 28
Audit de la fonction informatique
• Responsabilité du service informatique (relations maîtrise
d ’oeuvre-maîtrise d ’ouvrage)
Examiner les différents documents pour apprécier la clarté des
définitions des responsabilités
Interroger différents responsables pour apprécier leur degré de
connaissance des responsabilités respectives
Vérifier le respect de la séparation des tâches

29. MASNAOUI 29
Audit de la fonction informatique
• Existence de dispositifs de contrôle interne
On doit disposer d ’une stratégie formalisée du développement
du système d ’information
Les facteurs de risques doivent être repérés
Des priorités doivent être fixées de manière claire
Les choix doivent être faits en tenant compte des enjeux
économiques
Mesurer leur impact sur les performances de l ’entreprise
Examiner les principales procédures de l ’entreprise et apprécier
l ’impact de l ’informatique

30. MASNAOUI 30
Audit de la fonction informatique
• Existence de dispositifs de contrôle interne
Analyser les missions des auditeurs internes et externes et leurs
impacts
Evaluer l ’impact des procédures de l ’assurance qualité
• Exemples de mission d ’audit
Evaluation de l ’efficacité d ’un service informatique
Audit de la procédure de suivi des coûts informatiques

31. MASNAOUI 31
Audit de la fonction informatique
• Evaluation de l ’efficacité d ’un service informatique
La direction générale a des doutes sur l ’efficacité de son service
informatique
En fait elle a des doutes sur les compétences du responsable
informatique
Effectivement le responsable a du mal à faire son travail dans de
bonnes conditions
Peu de contact avec la direction générale
Mauvaises relations avec les utilisateurs

32. MASNAOUI 32
Audit de la fonction informatique
• Evaluation de l ’efficacité d ’un service informatique
Mise en place d ’un comité de direction trimestriel consacré à
l ’informatique
Redéfinition du rattachement hiérarchique
Rédaction des principales politiques, procédures et normes à
appliquer.

33. MASNAOUI 33
Audit de la fonction informatique
• Audit de la procédure de suivi des coûts informatiques
Il existe une comptabilité analytique permettant de suivre les
coûts informatiques
Les résultats de cette comptabilité sont contestés par les
principaux décideurs
L ’analyse de la méthode montre qu’elle est globalement bonne
Ses résultats montre bien les problèmes qui se posent et
notamment les erreurs qui sont commises
Par contre cette CAE peut être simplifiée et améliorée

34. MASNAOUI 34
Audit de la fonction informatique
• Audit de la procédure de suivi des coûts informatiques
Rédiger chaque mois une note d ’analyse des coûts
informatiques
Simplifier les traitements les plus délicats
Réduire le coût des opérations anormalement coûteuses

35. MASNAOUI 35
Audit de la fonction informatique
• Exemple de mission d ’audit : Evaluation de l ’efficacité d ’un
service informatique
La DG a des doutes sur l ’efficacité de son service informatique
En fait elle a des doutes sur les compétences du DSI
Effectivement le responsable a du mal à faire son travail dans de
bonnes conditions
Peu de contact avec la DG
Mauvaises relations avec les utilisateurs
Mise en place d ’un comité de direction trimestriel consacré au SI
Redéfinition du rattachement hiérarchique
Rédaction des principales politiques, procédures et normes à
appliquer.

36. MASNAOUI 36
1. Notions de base de l ’audit des SI
2. Présentation de 3 domaines d ’Audit des SI
2.1. Audit de la fonction informatique
2.2. Audit des projets
2.3. Audit de la Sécurité
3. Conduite d ’une mission d ’audit

37. MASNAOUI 37
Audit des projets
• Plan
La notion de projet
Particularités des projets informatiques
Tenir les délais et les budgets
Evaluation des risques liés aux projets
Les bonnes pratiques concernant les projets informatiques
Les points de contrôles
Exemples de mission d ’audit

38. MASNAOUI 38
Audit des projets
• La notion de projet
Un projet c ’est d ’abord une équipe
C ’est ensuite un délai
– Une date de début
– Une date de fin
C ’est aussi une organisation spécifique
Et, bien entendu, un budget particulier
Rôle clé du chef de projet dans la réussite du projet
C ’est une activité voisine de celle du :
– Bâtiment
– Ingénierie

39. MASNAOUI 39
Audit des projets
• Particularités des projets informatiques
Le pilotage des projets informatiques est une opération
délicate
– Dérapage sur les délais
– Dérive fréquente des coûts
– Nécessité de mettre en place un pilotage rigoureux
La qualité des applications informatiques
– Difficulté de valider la qualité d ’une application
– Aspect subjectif de la qualité
– Nécessité de mettre en place des procédures de certification de
la qualité

40. MASNAOUI 40
Audit des projets
• Tenir les délais et les budgets
Gestion de projet :
– Découper
– Evaluer
– Planifier
– Animer
– Suivre
– Ajuster
Découpage du projet en étape :
– Conception générale
– Conception détaillée
– Développement
– Test
– Installation et déploiement
– Bilan

41. MASNAOUI 41
Audit des projets
• Mettre en place un système de pilotage efficace
Un découpage en phase
Un livrable à la fin de chaque phase
Pilotage des phases :
– Valider les résultats en fin de phase
– Valider les objectifs de la phase suivante
– Informer le comité de pilotage
Procédure d ’assurance qualité :
– Normes et standards
– Contrôles
– Conseils

42. MASNAOUI 42
Audit des projets
• Evaluation des risques liés aux projets
Efficacité de l ’organisation de la fonction d ’études :
– Système de management
– Gestion des ressources
– Productivité des études
– Formation
Sur un ensemble de projets rechercher les causes de dérapages :
– Les fonctions livrées
– Les coûts
– Les délais
Efficacité de la méthode de conduite des projets :
– La gestion de projet
– Le processus de développement
– L ’assurance qualité
– Le système de pilotage

43. MASNAOUI 43
Audit des projets
• Les bonnes pratiques concernant les projets informatiques
Le respect des phases du projet
Existence d ’une méthodologie de conduite de projets
Conformité des projets aux objectifs généraux de l ’informatique
et à ceux de l ’entreprise
Qualité des études amonts : expression des besoins, cahier des
charges
Importance des tests, notamment des tests utilisateurs

44. MASNAOUI 44
Audit des projets
• Les points de contrôles
Audit du processus de développement
Existence de processus, de méthodes et de standards
Vérification de l ’application de la méthodologie
Analyse des causes d’échecs de projet
Adéquation des fonctions aux besoins des utilisateurs

45. MASNAOUI 45
Audit des projets
• Exemple de mission d ’audit : Audit d ’un grand projet à la fin du
cahier des charges
Les équipes de MOE et MOA ont fini de rédiger le cahier de
charges
La direction s ’interroge sur le document ainsi produit
L ’analyse du document montre qu’il est très complet
Par contre, le projet sera très lourd et très complexe à
développer
Et l ’application risque de poser des problèmes de performances
(accès aux bases de données)
Réaliser un benchmark du système d ’interrogation d ’une
transaction simple
Limiter l ’intégration des fonctions
Planifier la mise en place de versions successives

46. MASNAOUI 46
Audit des projets
• Audit d ’un projet en RAD
On a développé un projet vital pour l ’entreprise à l ’aide d ’une
approche RAD, Rapid Application Developpement
Après la mise en place réussite d ’une partie du système, le
projet s ’enlise
La méthode RAD permet de mettre en place rapidement une
application (3mois)
Par contre il faut que les utilisateurs et les informaticiens soient
réellement disponibles
L ’équipe mixte sature
Segmenter le projet en plusieurs sous-projets
Confier chaque sous-projet à une équipe différente
Réaliser la partie centrale du projet de manière classique

47. MASNAOUI 47
1. Notions de base de l ’audit des SI
2. Présentation de 3 domaines d ’Audit des SI
2.1. Audit de la fonction informatique
2.2. Audit des projets
2.3. Audit de la Sécurité
3. Conduite d ’une mission d ’audit

48. MASNAOUI 48
Audit de la sécurité
• Plan
Existence de risques importants liés aux systèmes d ’information
Quatre notions fondamentales
Les facteurs de limitation des risques
Les bonnes pratiques concernant la sécurité
Les points de contrôle
Exemples de missions d ’audit

49. MASNAOUI 49
Audit de la sécurité
• Existence de risques importants liés aux systèmes d ’information
Il existe en informatique des risques importants liés à la nature
même de cette activité
Existence d ’un patrimoine important en matériel informatique
(vol, dégradation,..) et logiciel (piratage)
Importance de la valeur des données stockées et des traitements
effectuées
Niveau de risques importants pour l ’entreprise
Il est nécessaire de mettre en place une organisation adaptée
avec des outils, des hommes et des méthodes
Il doit exister une politique au niveau de l ’entreprise (sécurité
physique et sécurité logique)
Il est nécessaire qu’il existe un responsable de la sécurité
informatique

50. MASNAOUI 50
Audit de la sécurité
• Quatre notions fondamentales
La menace
Le facteur de risque
La manifestation du risque
La maîtrise du risque

51. MASNAOUI 51
Audit de la sécurité
• La menace
Il existe de nombreuses menaces dans le domaine de
l ’informatique :
– Les erreurs
– Les malveillances
– Les accidents
– ....
Elles concernent :
– Les biens matériels
” Les bâtiments
” Le réseau
” Les équipements informatiques

52. MASNAOUI 52
Audit de la sécurité
• La menace
– Les biens immatériels
” des logiciels (de base, applications,...)
” des données de gestion
” des ressources humaines

53. MASNAOUI 53
Audit de la sécurité
• Le facteur de risque
Un facteur de risque est une cause de vulnérabilité due à une
faiblesse de l ’organisation, des méthodes, des techniques des
outils ou du système de contrôle
Les risques informatiques peuvent être accrus de différentes
manière :
– Absence de politique informatique
– Faible participation des utilisateurs
– Méthodes inadaptées aux objectifs
– Obsolescence des techniques utilisées
– Compétences insuffisantes
– Faiblesse des processus de gestion
– ...
La médiocrité du management informatique est un facteur
accroissant le niveau de risque

54. MASNAOUI 54
Audit de la sécurité
• La manifestation du risque
La destruction physique du centre de calcul (incendie,
inondation,...) est spectaculaire mais en fait peu fréquente
Le vrai risque est invisible
Il se manifeste de différentes manières :
– Pénétration du réseau par des intrus
– Vols d ’informations
– Concurrence faussée
– Falsification des données
– ...
L ’entreprise victime d ’un concurrent risque de ne s ’en
apercevoir que lorsqu’elle va perdre des marchés et des clients
sans savoir pourquoi

55. MASNAOUI 55
Audit de la sécurité
• La maîtrise du risque
Méthodes pour identifier les risques en terme de menace ou de
facteurs de risques (Marion)
Identification des parades
La sécurité physique
– Contrôle d ’accès aux locaux
– Protection incendie
– ...
La sécurité logique
– Contrôle d ’accès aux systèmes, aux programmes, aux données
– ....
Importance du plan de secours permettant de faire face à la
disparition totale ou partielle du système d ’information

56. MASNAOUI 56
Audit de la sécurité
• Les facteurs de limitation des risques
les bonnes pratiques concernant la sécurité sont :
Existence d ’une politique du système d ’information
Implication des utilisateurs
Méthodes de travail et outils adaptés aux objectifs
La compétence du personnel
Outil de gestion efficace

57. MASNAOUI 57
Audit de la sécurité
• Existence d ’une politique du système d ’information
Une des meilleures protection contre les risques liés à la faiblesse
de la sécurité repose sur la politique du système d ’information
Les services informatiques ayant une vision globale de leur
démarche sont les mieux protégés que les autres
Cette politique doit notamment préciser les responsabilités des
différents intervenants sur les systèmes informatiques
Il est en particulier très important de savoir ce qui est sous la
responsabilité des informaticiens et ce qui relève des utilisateurs

58. MASNAOUI 58
Audit de la sécurité
• Implication des utilisateurs
La meilleure protection du système d ’information est celle
exercée par les utilisateurs
Ils doivent surveiller leur matériel et la sécurité des locaux
Ils contrôlent leurs données et leurs bases de données
Ils veillent à ce que leurs données soient régulièrement
sauvegardées
Un système ainsi surveillé par ses utilisateurs est protégé contre
tout la plupart des risques habituellement supportés

59. MASNAOUI 59
Audit de la sécurité
• Méthodes de travail et outil adaptés aux objectifs
Le meilleur moyen de limiter les risques liés à l ’insuffisance de
sécurité et de dôter les services informatiques de méthodes de
travail et des outils adaptés
Ces méthodes de travail consistent à définir les tâches à effectuer
et de définir de manière rationnelle l ’organisation du travail
De même il est nécessaire de se doter d ’outils performants
conformes aux objectifs recherchés
Ainsi les personnes chargés de l ’exploitation doivent pouvoir
surveiller facilement les utilisateurs présents sur le système
Il est, en particulier, nécessaire de surveiller et d ’administrer le
réseau

60. MASNAOUI 60
Audit de la sécurité
• La compétence du personnel
La sécurité du système d ’information dépend surtout de la
compétence du personnel
Plus il est compétent, plus il est à même d ’intervenir rapidement
et efficacement pour limiter les risques
Ceci concerne l ’exploitation mais aussi les études
Il est en particulier nécessaire d ’intervenir rapidement en cas
d ’incident sans prendre de risques excessifs
La maintenance à la suite d ’un incident peut être l ’occasion
d ’une succession de problèmes notamment si on supprime
certains contrôles ou si on ne teste pas complètement les
programmes modifiés

61. MASNAOUI 61
Audit de la sécurité
• Outil de gestion efficace
De même il est nécessaire que des dispositifs de gestion efficaces
soient mises en place
Ils ont pour but de repérer plus facilement les failles de la
sécurité du système d ’information (postes de travail, réseaux,
serveurs)
Il est en effet important de s ’assurer que les risques potentiels
sont rapidement repérés de façon qu ’ils soient corrigés le plus
rapidement possible
C ’est un aspect délicat car on manque d ’outil de gestion de ce
type . L ’offre est en train d ’évoluer mais on ne dispose pas
encore en standard, sur tous les systèmes d ’exploitation des
outils de ce type.

62. MASNAOUI 62
Audit de la sécurité
• Les points de contrôle
Repérage des actifs de l ’entreprise
Evaluation des menaces
Mesurer les impacts
Définition des parades

63. MASNAOUI 63
Audit de la sécurité
• Repérage des actifs informationnels de l ’entreprise
La base des contrôles est constituée par les inventaires physiques
– Des matériels (postes de travail, serveurs,...)
– Des logiciels
– Des bases de données
Dans la mesure du possible il faut chercher à avoir des contrôles
fréquents de ces inventaires
Il existe des logiciels permettant de repérer les postes de travail,
les serveurs,....
Apprécier les procédures de mise à jour des inventaires
Vérifier sur quelques unités la pertinence des inventaires

64. MASNAOUI 64
Audit de la sécurité
• Evaluation des menaces
Il ne sert à rien de se protéger contre des menaces qui n ’existent
pas
On cherche à repérer les parties du système d ’information qui
sont les plus menacées
Il est pour cela nécessaire de repérer :
– Les disparitions ou les destructions de matériels
– Les altérations de données ou de programmes
– La divulgation d ’informations confidentielles
S ’assurer qu’il existe un document permettant de repérer les
menaces
Analyser la pertinence des menaces repérer
S ’assurer qu’on a bien repérer les menaces les plus sérieuses

65. MASNAOUI 65
Audit de la sécurité
• Mesurer les impacts
Identifier les types de menaces et les conséquences de ces
incidents
A partir des incidents recensés évaluer leur impact
Etablir une cartographie du système d ’information et des
risques associés
Il est alors possible de construire un ou plusieurs scénarios
d ’agression et d ’évaluer les points de vulnérabilité
Apprécier l ’efficacité des dispositifs de sécurité en place
Evaluer les impacts d ’incidents graves sur le fonctionnement de
l ’entreprise et les conséquences patrimoniales

66. MASNAOUI 66
Audit de la sécurité
• Définition des parades
Face à chaque risque important il est nécessaire d ’identifier les
parades possibles
C ’est un moyen très efficace de diminuer le niveau des risques
de l ’entreprise
Type de parades possibles :
– Prévention : identification à l ’accès
– Dissuasion : piste d ’audit
– Détection : contrôle d ’accès
– Protection : plan de secours
Mais la meilleure parade reste l ’audit
Apprécier les différentes parades mises en oeuvre et leur impact
sur le niveau de sécurité
Evaluer les risques qui ne sont pas ou qui sont mal couverts

67. MASNAOUI 67
Audit de la sécurité
• Exemples de missions d ’audit
Audit de la sécurité d ’une application client-serveur
Evaluation de la sécurité d ’un centre d ’exploitation

68. MASNAOUI 68
Audit de la sécurité
• Audit de la sécurité d ’une application client-serveur
La mise en place d ’une nouvelle application du type client-
serveur fait apparaître différents incidents d ’exploitation
L ’analyse montre qu’ils ne sont pas dus à des fragilités du
logiciel de base mais au faible respect des consignes de sécurité
L ’organisation de la sécurité laisse à désirer et notamment la
politique des mots de passe n ’est pas respectée
Définir une politique de gestion des mots de passe et la faire
appliquer
Mettre en place un logiciel de surveillance du réseau permettant
de suivre les incidents
Former le personnel à l ’application des consignes de sécurité

69. MASNAOUI 69
Audit de la sécurité
• Evaluation de la sécurité d ’un centre d ’exploitation
La direction générale demande d ’évaluer la politique de sécurité
du service d ’exploitation
Le service est doté d ’une politique de sécurité et elle est
appliquée
Les procédures en place sont efficaces
Par contre les responsabilités ne sont pas clairement définies
notamment en ce qui concerne la gestion des bases de données
Définir de manière précise les responsabilités des utilisateurs
Elargir le domaine d ’action du responsable de la sécurité
Nommer un administrateur de bases de données

70. MASNAOUI 70
1. Notions de base de l ’audit des SI
2. Présentation de 3 domaines d ’Audit des SI
2.1. Audit de la fonction informatique
2.2. Audit des projets
2.3. Audit de la Sécurité
3. Conduite d ’une mission d ’audit

71. MASNAOUI 71
Plan
• Les 6 phases de la mission d’audit informatique
Définition de la mission : Etablissement de la lettre de mission
La planification de la mission
La collecte des faits, la réalisation de tests,...
Entretiens avec les audités
Rédaction du rapport final,
Présentation et discussion de ce rapport
• Faut-il un rapport ?
• Le rapport d’audit : la conception, la rédaction, la présentation
• L’établissement des recommandations opérationnelles
• Le suivi des recommandations
• Comment améliorer la qualité de la démarche

72. MASNAOUI 72
Les six phases de la mission
• L’audit informatique comme tout audit se fait en six phases :
Définition de la mission :
– Périmètre de la mission
– Etablissement de la lettre de mission
La planification de la mission
La collecte des faits, la réalisation de tests,...
Entretiens avec les audités
Rédaction du rapport final,
Présentation et discussion de ce rapport
• La durée de chaque phase est variable selon la nature des
questions et leur complexité

73. MASNAOUI 73
1 - Définition de la mission : Périmètre de la mission
REVUE DES CONTRÖLES GENERAUX INFORMATIQUES
A
UDIT
:
A
PPLICATIONS
I
NFORMATIQUES
URBANISATION DU SYSTEME D ’INFORMATION
A
UDIT
:
A
LIGNEMENT
S
TRATEGIQUE
A
UDIT
:
F
ONCTION
I
NFORMATIQUES
Choix et orientation du
système d ’information
Mise en œuvre et
développement
du SI
A
UDIT
:
P
ROJETS
I
NFORMATIQUES
A
UDIT
:
Sécurité
et
Réseaux
Exploitation
du SI

74. MASNAOUI 74
Objectif:
S ’assurer que l ’informatique est sous contrôle
Principaux objectifs de contrôle:
Stratégie informatique : pilotage des SI, schéma directeur,orientation
stratégiques, plan à court
Fonction informatique: positionnement, rôle, organisation et règles de
contrôle (séparation des tâches)
Projets informatiques: démarche de mise en œuvre, délai, planification,
pilotage des projets, relation Maîtrise d’ouvrage / maîtrise d’œuvre
Performance du système d ’information: disponibilité, portefeuille des
bug, versioning, help desk, assistance utilisateurs
Sécurité du système d ’information: sauvegarde, plan de continuité
Relation avec les fournisseurs: contrats de maintenance,
Livrable:
Une appréciation globale du système d ’information et évaluation des
risques génériques liés à l ’environnement informatique de l ’entreprise.
Plan de recommandation et audit des risques spécifiques accrus
REVUE DES CONTRÖLES GENERAUX
INFORMATIQUES
REVUE DES CONTRÖLES GENERAUX INFORMATIQUES
AUDIT
:
APPLICATIONS
INFORMATIQUES
URBANISATION DU SYSTEME D ’INFORMATION
AUDIT
:
ALIGNEMENT
STRATEGIQUE
AUDIT
:
FONCTION
INFORMATIQUES
Choix et orientation
du système
d ’information
Mise en œuvre
et
développemen
t du SI
Exploitati
on du SI
AUDIT
:
PROJETS
INFORMATIQUES

75. MASNAOUI 75
Objectif:
Auditer la coincidance de la stratégie système d ’information avec la ou les
stratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage du
SI.
Principaux objectifs de contrôle:
Processus de planification stratégique a moyen et long terme: stratégie
métiers, schéma directeur informatique (projets et budget investissements)
Évaluation du schéma directeur: suivi des réalisations, planification,
surveillance des budgets et des délais
Pilotage et décision: organe de suivi et de contrôle, organes de décision et
d’arbitrage, système de reporting sur l ’avancement des projets
informatiques
Orientations technologiques et architecture fonctionnelle: adéquation,
évolutivité, opportunité, niveaux de sécurité
Choix de la solution informatique: démarché de choix (cahier des charges
et consultations), adéquation avec les besoins de
l ’entreprise,contractualisation
Livrable:
Identification du niveau d ’alignement du SI à la stratégie de l ’entreprise
Mesure Plan de recommandation et audit spécifique des risques accrus
AUDIT : ALIGNEMENT STRATEGIQUE
REVUE DES CONTRÖLES GENERAUX INFORMATIQUES
AUDIT
:
APPLICATIONS
INFORMATIQUES
URBANISATION DU SYSTEME D ’INFORMATION
AUDIT
:
ALIGNEMENT
STRATEGIQUE
AUDIT
:
FONCTION
INFORMATIQUES
Choix et orientation
du système
d ’information
Mise en œuvre
et
développemen
t du SI
Exploitati
on du SI
AUDIT
:
PROJETS
INFORMATIQUES

76. MASNAOUI 76
Objectif:
Auditer la coincidance la stratégie système d ’information sur la ou les
stratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage du
SI.
Principaux objectifs de contrôle:
Rôle et positionnement de l ’informatique dans l ’entreprise : rattachement
à la DG,, relation avec la maîtrise d ’ouvrage, comités informatiques
Mesure et suivi de la performance: existence d ’objectif et d ’indicateurs
pertinents de mesure de la performance, existence des contrats de service
informatique (SLA), baromètre de satisfaction, tableaux de bord
informatiques
Organisation et structure de la fonction informatique: séparation des
tâches, rôle et missions de chaque entités, adéquation des effectifs et des
compétences avec les besoins de l ’entreprise
Procédures et méthodes: règles de gestion, niveau de contrôle internes,
méthodes de gestion des projets, gestion de la documentation
Outsourcing: relation avec les prestataires de service, contrats, risque
juridique et informatiques
Livrable:
Une évaluation des risques potentiels liées à la fonction informatique.
Plan de recommandation de maîtrise de la fonction informatique
AUDIT : FONCTION INFORMATIQUE
REVUE DES CONTRÖLES GENERAUX INFORMATIQUES
AUDIT
:
APPLICATIONS
INFORMATIQUES
URBANISATION DU SYSTEME D ’INFORMATION
AUDIT
:
ALIGNEMENT
STRATEGIQUE
AUDIT
:
FONCTION
INFORMATIQUES
Choix et orientation
du système
d ’information
Mise en œuvre
et
développemen
t du SI
Exploitati
on du SI
AUDIT
:
PROJETS
INFORMATIQUES

77. MASNAOUI 77
Objectif:
Auditer l ’organisation et le pilotage de la fonction informatique
Principaux objectifs de contrôle:
Définition des projets: objectifs du projets, le périmètre, les interactions
avec d ’autres projets, moyens humains et techniques, les délais, le budget,
Structure de gestion des projets: maîtrise d ’ouvrage, maîtrise d ’œuvre,
organe de suivi et de pilotage du projet, efficience des organes de décision,
Planification du projet: planning directeur du projet, tableau de bord du
projet,plan de charge, identification des dépassements et anticipation des
blocages et des dérapages de délais
Démarche de gestion de projet et plan d ’assurance qualité : livrables du
projets, validation des livrables, documentation
Processus d ’homologation et de tests: plan de test, PV de validation de
tests
Conduite de changement: évaluation des changements, plan de
communication, plan de formation,reprise des données
Livrable:
Identification des risques projets des causes de dysfonctionnements
Mesures clés pour la réussite et l ’aboutissement des projets informatiques
AUDIT : PROJETS INFORMATIQUES
REVUE DES CONTRÖLES GENERAUX INFORMATIQUES
AUDIT
:
APPLICATIONS
INFORMATIQUES
URBANISATION DU SYSTEME D ’INFORMATION
AUDIT
:
ALIGNEMENT
STRATEGIQUE
AUDIT
:
FONCTION
INFORMATIQUES
Choix et orientation
du système
d ’information
Mise en œuvre
et
développemen
t du SI
Exploitati
on du SI
AUDIT
:
PROJETS
INFORMATIQUES

78. MASNAOUI 78
Objectif:
Auditer l ’adéquation des applications informatiques aux exigences des
utilisateurs et au standards d ’exploitation
Principaux objectifs de contrôle:
Performance des applications informatiques: existence de contrats de
service avec les utilisateurs, disponibilité du système, continuité de service
Conformité aux normes de sécurité et aux règles de contrôle interne:
gestion des accès: identification et authentification,
Help desk et assistance utilisateurs: intervention de maintenance,
indicateurs de performance ( portefeuille de bug, délai de réponse et délai
de prise en charge)
Gestion des incidents et des demandes d’évolution: versioning, évolutivité
par rapport aux besoins des utilisateurs,
Livrable:
Une identification de l ’adéquation des applications aux besoins et aux
exigences d ’exploitations des utilisateurs
Plan de recommandation et audit spécifique des risques accrus
AUDIT : APPLICATIONS INFORMATIQUES
REVUE DES CONTRÖLES GENERAUX INFORMATIQUES
AUDIT
:
APPLICATIONS
INFORMATIQUES
URBANISATION DU SYSTEME D ’INFORMATION
AUDIT
:
ALIGNEMENT
STRATEGIQUE
AUDIT
:
FONCTION
INFORMATIQUES
Choix et orientation
du système
d ’information
Mise en œuvre
et
développemen
t du SI
Exploitati
on du SI
AUDIT
:
PROJETS
INFORMATIQUES

79. MASNAOUI 79
Objectifs:
Faire converger le système d ’information avec les objectifs stratégiques de
l ’entreprise
Assurer la gestion intégrée et cohérente du SI,
Préparer le SI à intégrer et à maîtriser les changements progressifs qui se
feront dans l ’entreprise
Points clés de la démarche:
Formaliser les axes stratégiques de l ’entreprises: orientations métiers et SI,
alignement SI, opportunités technologique
Établir les cartographies existantes: métiers, fonctionnelles, applicatives et
techniques du système d ’information selon un découpage Zone, quartier, ilot
Établissement du plan de convergence: concevoir les cartographies cibles:
métiers, fonctionnelles, applicatives et techniques
Livrable:
Alignement stratégique métier/ SI
cartographie existantes et cibles: Métiers, fonctionnelles, applicatives,
techniques
Plan de convergence à mettre en œuvre
URBANISATION DU SYSTEME D ’INFORMATION
REVUE DES CONTRÖLES GENERAUX INFORMATIQUES
AUDIT
:
APPLICATIONS
INFORMATIQUES
URBANISATION DU SYSTEME D ’INFORMATION
AUDIT
:
ALIGNEMENT
STRATEGIQUE
AUDIT
:
FONCTION
INFORMATIQUES
Choix et orientation
du système
d ’information
Mise en œuvre
et
développemen
t du SI
Exploitati
on du SI
AUDIT
:
PROJETS
INFORMATIQUES

80. MASNAOUI 80
1 - Définition de la mission : Etablissement de la lettre de
mission
• Partir des attentes du demandeur d’audit
• Ne pas hésiter à passer du temps à bien les comprendre
• C’est pas toujours claire dans leur tête, c’est d’ailleurs pour
cela qu’ils demandent un audit
• Si c’est nécessaire faire un pré-diagonstic
• Etablir une liste des questions
• Faire une lettre de mission (C’est un mandat au sens du Code
Civil)
• Souvent il faut rédiger la lettre de mission

81. MASNAOUI 81
2 - Planification de la mission :
le choix de la démarche
• Il faut dès le départ annoncer la démarche suivie
• Pour l’auditeur externe rôle de la proposition
• Pour l’auditeur interne rôle du plan d’audit
• Il faut détailler le programme de travail
• Prévoir suffisamment à l’avance la collecte des faits et les tests à
organiser (délais souvent longs)
• Savoir limité le nombre des entretiens (c’est un très gros
consommateur de temps et de délais)
• Une mission d’audit insuffisamment préparée est une mission à
risque

82. MASNAOUI 82
3 - La collecte des faits, la réalisation des tests,...
• L’auditeur ne doit prendre en compte que les faits et il doit se
méfier des opinions
• On ne peut pas se contenter des «dires» des audités, il faut se
baser sur des faits
• On s’organise pour trouver les faits dont on a besoin :
Les tests, les jeux d’essais,…
Les mesures de performances (temps de réponses...)
Les incidents d’exploitation, les anomalies, les erreurs, les
bugs,…
….
• Les faits, rien que les faits, tous les faits
• La mission, toute la mission, rien que la mission
• Importance de la collecte de faits significatifs et si on a du mal à
les obtenir nécessité d’effectuer des tests

83. MASNAOUI 83
4 - Entretiens avec les audités
• Au contraire, spontanément les auditeurs se méfient des faits et ils
ont tendance à préférer les opinions
• Au cours des entretiens, ne pas se disperser. Cibler les questions
• Se méfier des check-lists. Avoir une liste de thèmes
• Ne pas prendre parti dans les déclarations des audités
• Evaluer avec prudence les « dires »
• On n’instruit pas « à charge et à décharge »
• La lettre de mission vous donne un mandat. Vous représentez le
demandeur d’audit
• Eviter les validations d’entretiens (temps, qualité,…)
• Le nombre d’entretiens est une variable importante expliquant la
durée de l’opération et la charge de travail

84. MASNAOUI 84
5 - Faut-il un rapport ?
• Il existe une curieuse mode consistant à ne pas remettre de
rapport d’audit
• De nombreux arguments :
C’est long à faire
Les décideurs n’ont pas le temps de le lire
Il ne sert à rien
…
• Il serait préférable de faire une présentation PowerPoint
• C’est une grave erreur
• Il faut les deux : le rapport et la présentation

85. MASNAOUI 85
5 - Le rapport d’audit : la conception, la rédaction, la
présentation
• Le rapport d’audit est un document de référence
• Importance de définir à qui il est destiné et comment il sera
diffusé
• Commencer à le rédiger à partir de la moitié de la mission. Sur
une mission de deux mois dès la fin du 1er mois
• Le corps du rapport doit, dans la mesure du possible, être traité
dans l’ordre des questions d’audit se trouvant dans la lettre de
mission
• Les recommandations doivent être classées en mesures à court
terme, à moyen terme et à long terme
• Faire une synthèse en 2 pages (plus souvent 4)

86. MASNAOUI 86
Quelques conseils de rédaction du rapport d’audit
• Etre pédagogique, expliquer les termes et les concepts utilisés
• Eviter les accumulations de faits ou de remarques sans
qu’apparaisse la structure d’ensemble
• Faire des synthèses et des récapitulations
• Ne pas porter de jugement de valeur
• L’auditeur base ses appréciations sur des référentiels largement
reconnus
• S’il n’y a pas de référence ou si la doctrine est incertaine, il faut le
signaler et dans ce cas jouer un rôle de conseil
• Si on demande à l’auditeur des jugements de personne, on doit
s'interdire de le faire par écrit
• Faite attention à la forme et au style

87. MASNAOUI 87
L’établissement des recommandations opérationnelles
• Il faut des mesures concrètes et faciles à mettre en oeuvre
• Il faut distinguer les recommandations :
A court terme, c’est-à-dire qui peuvent être mise en place sans
délai et sans investissement
A moyen terme, c’est-à-dire demandant des études
complémentaires
A long terme, qui demandent des investissements lourds ou la
remise en cause des politiques antérieures
• On attend de ces recommandations des progrès significatifs et
substantiels

88. MASNAOUI 88
6 - Présentation et discussion du rapport
• Il faut organiser des présentations du rapport d’audit pour
Le (ou les demandeurs) d’audit
Le management de l’informatique
Le service informatique (encadrement ou toute l’équipe)
• Dix à quinze de slides pas plus (20 à 30 minutes)
• Communiquez sur l’essentiel
• Vendre les recommandations en mettant en avant 4 à 6
mesures « emblématiques »
• Ne pas « négocier» le contenu de la présentation (ni du
rapport, ni des recommandations)

89. MASNAOUI 89
Bâtir un plan d’action
• La liste des recommandations ne fait pas un plan d’action
• Un certain nombre d’opérations complémentaires sont
nécessaires :
Sélectionner les mesures et les hiérarchiser
Approfondir et compléter les actions
Effectuer des analyses complémentaires
Fixer les responsabilités
….
• Le plan d’action doit être validé par le management (Comité
de Direction, Comité de Pilotage, Commission
informatique,…)
• Souvent des spécifiques moyens doivent lui être affectés

90. MASNAOUI 90
Le suivi des recommandations et du plan d’action
• Il est nécessaire de mettre en place un dispositif de suivi des
recommandations et du plan d’action
• L’expérience montre que si on ne met pas en place un suivi des
recommandations, elles ne sont pas appliquées, ou du moins on
applique que celles qui ne posent pas de problèmes et les autres
sont laissées à leur triste sort
• Il est donc nécessaire de mettre en place un suivi des mesures
choisies
• Faire un point périodique sur le degré de mise en place des
recommandations (tous les 3 ou tous les 6 mois)
• L’efficacité des audits informatiques se joue en partie sur la
mise en place d’un suivi

91. MASNAOUI 91
Comment améliorer la qualité de la démarche ?
• Un ordre de mission claire identifiant le demandeur d’audit
• Des points d’échange réguliers avec le demandeur d’audit
• Annoncer au départ la démarche qui sera suivie
• Manifester son indépendance notamment lors des entretiens
• Refuser les tentatives d’élargissement de la mission
• Bétonner par des faits, des analyses…
• Se méfier des ragots, des bruits, des on-dits,…
• Ne pas tirer sur tout ce qui bouge
• Etre positif : dire ce qui marche,…
• Faire des recommandations professionnelles

92. MASNAOUI 92
Bibliographie
• www.afai.asso.fr
• www.isaca.org et surtout knet
• CobiT
• La Revue Audit et Conseil en Technologies de l’Information
(Revue de l’AFAI)
• The Information Systems Control Journal
(Revue de l’ISACA)
ISACA - Bookstore
• CISA Review Technical Information Manuel ISACA
• Information Technology Control and Audit
(Gallegos, Manson, Allen-Senft - ISACA)

93. MASNAOUI 93
MERCI POUR VOTRE
ATTENTION