SlideShare une entreprise Scribd logo
Théories et cas pratique
L’informatique est omniprésente et indispensable Développement des SI = accroissement des risques Le SI est le « système nerveux » de l’entreprise L’audit est un moyen préventif bien qu’utilisé trop souvent à titre curatif (58% des cas) L’audit informatique s’impose, il y a une prise de conscience A vu le jour dans les 60’s aux USA
I- Généralités A- Objectifs B- Démarche générale C- Conduite de la mission II- Les outils de l’auditeur A- Normes B- Méthodes C- Critères de choix III- Cas pratique
 
L’audit correspond au besoin de faire faire un diagnostic par un expert indépendant pour établir un état des lieux, définir des points à améliorer et obtenir des recommandations pour faire face aux faiblesses de l’entreprise. L’auditeur intervient en tant que mesureur des risques, il identifie faiblesses, impacts, solutions et les risques si les mesures ne sont pas prises.
L’audit Informatique est un terme largement utilisé, il couvre donc des réalités souvent différentes, et certaines prestations réalisées sous le terme d’ « Audit Informatique » sont en fait des missions de Conseil. Le champ d’action principal de l’Audit Informatique doit rester l’outil informatique au sens large, en y incluant la bureautique (application, matériels…) et de plus en plus les outils liés à l’usage des technologies de l’Internet…
En termes de fiabilité de l’environnement informatique a) L’intérêt d’un contrôle interne b) Les acteurs de l’audit  informatique c) Composantes d’un audit de l’activité informatique  d) Méthodes d’audit de l’activité informatique
a) L’intérêt d’un contrôle interne Selon l’OEC, le contrôle interne est:  l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but:  - d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information - l’application des instructions de la direction et favoriser l’amélioration des performances. Il se manifeste par l’organisation, les méthodes et procédures de chacune des activités de l’entreprise pour maintenir sa pérennité
bonne organisation d’ensemble  de l’activité « informatique » existence de procédures  existence de méthodes  Finalité réduire les risques de malveillance des procédures formalisées bien comprises amélioration de l’efficacité de l’activité informatique.
b) Les acteurs de l’audit  informatique direction de l’entreprise  responsable informatique  contrôleurs externes (commissaires aux comptes, administration fiscale, banques…)
c) Composantes d’un audit de l’activité informatique examen de l’organisation générale du service, examen des procédures liées au développement et la maintenance des applications, examen des procédures liées à l’exploitation des chaînes de traitement, examen des fonctions techniques.
d) Méthodes d’audit de l’activité informatique entretiens avec le personnel du service informatique et les utilisateurs du service contrôles de documents ou d’états outils commercialisés (progiciel) méthodes (COBIT, MEHARI…)
En termes d’efficacité et de performances mise en place d’un plan de secours étude approfondie de la performance et du dimensionnement des machines adéquation aux besoins des logiciels système  « En d’autres termes l’audit d’efficacité, constitue une mission mandatée soit par la direction générale, afin de s’interroger sur le coût de son informatique, soit par le responsable du service, de manière à vérifier la pertinence de sa configuration ».
En termes de fiabilité d’une application informatique Objectif premier: « Se prononcer sur la qualité d’une application donnée ». Types de contrôle: Contrôle de la fiabilité d’une application, ou son utilisation Contrôle de l’adéquation des logiciels développés aux spécifications fonctionnelles Recherche de fraude ou erreurs Contrôle de la qualité des méthodes de développement des logiciels ou contrôle de la qualité des procédures d’exploitation 
« La compétence technique de l’auditeur est un point fondamental pour la réussite de la mission, il implique aussi de disposer de certaines qualités humaines, relationnelles, et des qualités de gestionnaire et d’organisateur. » 1) Intervenants  2) Plan pluriannuel d’audit
1) Intervenants  a) Auditeur externe contractuel société spécialisée en ingénierie et services informatique(SSII) free-lance Leurs missions examen de contrôle interne de la fonction informatique, audit de la sécurité physique du centre de traitement, audit de la confidentialité d’accès audit des performances
Source: enquête AFAI 2003 Domaine Pourcentage Sécurité logique 80% Conduite de projets 68% Revue environnement informatique 66% ERP / Revue d'application 58% Production 54% Maitrise d'ouvrage et Cahier des charges 54% Analyse de données 50% Développement et rôle des études 46% Recettes  42% Qualité du code et réalisation 30% Autre 20%
b) Auditeur interne Les missions susceptibles d’être confiées à l’auditeur informatique interne sont a priori les mêmes que celles susceptibles d’être confiées à l’auditeur externe. Cependant, l’auditeur interne qui  dépend soit de la direction informatique ou d’un service d’audit, se trouve confronté à un problème délicat : Comment couvrir dans un délai raisonnable l’ensemble des risques informatiques ?
c) Commissaire au comptes Rôle Le commissaire au compte a pour rôle de vérifier que les comptes présentés sont réguliers et sincères, et qu’ils donnent une image fidèle de la situation de l’entreprise. Leur présence est obligatoire dans la plupart des sociétés commerciales.
Approche en environnement informatique Source:  CRCC de Paris
2) Plan pluriannuel d’audit  Un plan annuel est définit sur une période de 3 à 4 ans, pour couvrir l’ensemble des composantes du risque informatique, par les auditeurs internes qui vont fixer des programmes annuels de travail détaillés.  Le programme de travail annuel reprend, en précisant les dates et modalités d’intervention, les missions prévues au plan pluriannuel.
Exemple de plan pluriannuel  
Démarche a) la lettre de mission Objectifs de la mission Périmètre de la mission  Période d’intervention Contraintes à prévoir pour les services audités  Méthode Constitution de l’équipe Documents préparatoires 
b) Le programme de travail  Structure de l’entreprise concernée Domaines fonctionnels Applications informatiques Matériel et réseaux
c) Enquête préalable délimiter les besoins et analyser le système d’information de l’audité interroger en collaboration avec l’audité, les utilisateurs et les entreprises qui participent au fonctionnement actuel du SI d) Réunion de synthèse s´assurer :  - que les questions de l´auditeur ont été bien comprises - que les réponses ont été bien interprétées
e) Rapport d’audit Le rapport est ensuite rédigé. Il doit être clair et non porté sur la technique ≠ mission d´expertise: il proposera un plan d’action pour améliorer la performance
Comment choisir un auditeur informatique ? Trois critères majeurs  sont donc à retenir :  - l´indépendance de l´auditeur  - professionnel du diagnostic  - sa capacité à remettre des recommandations.
Que représente un audit en termes de coût et d’économies pour l'entreprise ? Coût : Avec un prix moyen de la journée à environ 1000 euros, le Groupement national des professionnels de l´informatique (GPNI) estime le coût global de la procédure entre 500 et 3000 euros. Economies : - Economies immédiates lors du constat de dépenses inutiles - Réduction des risques entrainant réduction de coût
 
ISO 27002 Généralités: Créée en 2000 (ISO 17799), Renommée en 2005 Objet: sécurisation de l’information => Confidentialité, intégrité, disponibilité Caractère facultatif => guide de recommandations  4 étapes dans la démarche de sécurisation: Liste des biens sensibles à protéger  Nature des menaces Impacts sur le SI Mesures de protection
ISO 27001 Généralités: Créée en 2005 Objet: Politique du Management de la Sécurité de l’Information => établir un Système de Management de la Sécurité de l’Information : Choix des mesures de sécurité Protection des actifs Utilisation du modèle PDCA
6 domaines de processus :  Définir une politique de sécurité Définir le périmètre du SMSI Evaluation des risques Gérer les risques identifiés Choisir et mettre en œuvre les contrôles Rédiger Statement Of Applicability (charte du SMSI) Conditions remplies => certification ISO 27001
COBIT Généralités : Créée en 1996 par l’ISACA / AFAI Structure Contenu: Synthèse Cadre de référence Guide d’audit Guide de management Outils de mise en oeuvre Intérêts: Lien entre les objectifs de l’entreprise et ceux de technologies d’information Intégration des partenaires d’affaires Uniformisation des méthodes de travail Sécurité et contrôle des services informatiques Système de gouvernance de l’entreprise
 
MEHARI Généralités : Créée en 1995 par le CLUSIF, remplaçant MARION Structure:  Intérêts: Appréciation des risques aux regards des objectifs de sécurité Contrôle et gestion de la sécurité
EBIOS Généralités : Créée en 1995 par la DCSSI Structure:  Intérêts: Construction d’une politique de sécurité basée sur une analyse des risques L’analyse des risques repose sur l’environnement et les vulnérabilités du SI
 
Origine géographique de la méthode Langue  Existence de logiciels adaptés Ancienneté = capacité de recul, témoignages Qualité de la documentation Facilité d’utilisation Compatibilité avec les normes Le coût (matériel et humain) La popularité, la reconnaissance Généralement, combinaison de méthodes lors d’un audit
 
Rappel :  certaines associations ont l’obligation de nommer un CAC: l’association exerce une activité économique et remplit deux des critères suivants : 50 salariés, 3,1 millions CA, 1,55 million de bilan  l’association perçoit des financements publics supérieurs à 153 000€. les associations reconnues d’utilité publique les associations émettant des obligations les associations collectant la participation des employeurs à l’effort de construction  les organismes de formation remplissant deux des trois critères suivants: 3 salariés, 153 000€ de CA, 230 000€ de bilan les associations sportives affiliées collectant des recettes d’un montant supérieur à 380 000€ et employant des sportifs dont la masse salariale excède 380 000€ les associations et les fondations bénéficiaires de plus de 153 000 euros de dons
Auditeur : Commissaire aux comptes Audité :  Nature: Association Affres(association loi 1901) Chiffre d’affaires: 30 millions €
Accessibilité des imprimantes Accès aux applications Topologie du réseau Absence de véritable administrateur Procédure de sauvegarde des données Organisation de la comptabilité informatique Base de données
Mieux répartir les imprimantes dans les locaux Restreindre l’accès aux applications à la fonction de l’utilisateur Créer 2 sous-réseaux (DAF et E&R) indépendants Nommer un administrateur qualifié L’administrateur sera chargé des sauvegardes, en veillant à les sécuriser Valider l’intégration des écritures tous les jours Modifier la structure de la BD informatisée
L’audit informatique s’est imposé et s’inscrit dans l’avenir des entreprises La normalisation est synonyme de développement et de crédibilité Le métier d’auditeur informatique recrute
www.afai.fr www.journaldunet.com www.indexel.net www.aud-it.ch www.guideinformatique.com www.bpms.info Les techniques de l’audit informatique, Yann Derrien

Contenu connexe

Tendances

Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
saqrjareh
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
Arsène Ngato
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
Roland Kouakou
 
ISO 27001
ISO 27001ISO 27001
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
Yann Riviere CCSK, CISSP, CRISC, CISM
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
Ismail EL Makrouz
 

Tendances (20)

Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Mehari
MehariMehari
Mehari
 

En vedette

DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
hpfumtchum
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interne
Widad Naciri
 
Audit
AuditAudit
Audit
zan
 
Qu'est ce qu'un audit
Qu'est ce qu'un auditQu'est ce qu'un audit
Qu'est ce qu'un audit
Ecoute & Qualité
 
présentation soutenance PFE.ppt
présentation soutenance PFE.pptprésentation soutenance PFE.ppt
présentation soutenance PFE.ppt
Mohamed Ben Bouzid
 
Iso 9001 2000 - exemple d'un rapport d'audit teleperformance
Iso 9001 2000 - exemple d'un rapport d'audit teleperformanceIso 9001 2000 - exemple d'un rapport d'audit teleperformance
Iso 9001 2000 - exemple d'un rapport d'audit teleperformance
Youssef Bensafi
 
Expose sur l' informatique ok
Expose sur l' informatique okExpose sur l' informatique ok
Expose sur l' informatique ok
NICKYKROU
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm
 
12.audit et controle interne
12.audit et controle interne12.audit et controle interne
12.audit et controle interne
OULAAJEB YOUSSEF
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 
Alphorm.com Formation CEHV9 III
Alphorm.com Formation CEHV9 IIIAlphorm.com Formation CEHV9 III
Alphorm.com Formation CEHV9 III
Alphorm
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
Hicham Moujahid
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm
 
Typologie des réseaux informatiques
Typologie des réseaux informatiquesTypologie des réseaux informatiques
Typologie des réseaux informatiques
ATPENSC-Group
 
Audit par cycle
Audit par cycleAudit par cycle
Audit par cycle
nouritta
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
BRAHIM MELLOUL
 
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Oumayma Korchi
 
L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)
Htitipi
 

En vedette (20)

DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interne
 
Audit
AuditAudit
Audit
 
Qu'est ce qu'un audit
Qu'est ce qu'un auditQu'est ce qu'un audit
Qu'est ce qu'un audit
 
présentation soutenance PFE.ppt
présentation soutenance PFE.pptprésentation soutenance PFE.ppt
présentation soutenance PFE.ppt
 
Iso 9001 2000 - exemple d'un rapport d'audit teleperformance
Iso 9001 2000 - exemple d'un rapport d'audit teleperformanceIso 9001 2000 - exemple d'un rapport d'audit teleperformance
Iso 9001 2000 - exemple d'un rapport d'audit teleperformance
 
Expose sur l' informatique ok
Expose sur l' informatique okExpose sur l' informatique ok
Expose sur l' informatique ok
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
 
12.audit et controle interne
12.audit et controle interne12.audit et controle interne
12.audit et controle interne
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Alphorm.com Formation CEHV9 III
Alphorm.com Formation CEHV9 IIIAlphorm.com Formation CEHV9 III
Alphorm.com Formation CEHV9 III
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
 
Typologie des réseaux informatiques
Typologie des réseaux informatiquesTypologie des réseaux informatiques
Typologie des réseaux informatiques
 
Audit par cycle
Audit par cycleAudit par cycle
Audit par cycle
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
 
L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)
 

Similaire à Audit Informatique

Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
SmartnSkilled
 
Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdf
TAFEMBLANC
 
[2]bis
[2]bis[2]bis
[2]bis
fofana72
 
EBIOS
EBIOSEBIOS
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
saadbourouis2
 
Mehari
MehariMehari
COBIT
COBIT COBIT
programme de gestion des menace internes
programme de gestion des menace internesprogramme de gestion des menace internes
programme de gestion des menace internes
soudakiAbderrahmane
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
papediallo3
 
Mehari
MehariMehari
Mehari
Afaf MATOUG
 
Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014
Software AG France Community
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Anasse Ej
 
Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseil
SIFARIS
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
hajarbouladass
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
InformatiqueL22022
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Cobit
Cobit Cobit
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
Abdeslam Menacere
 
AUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdfAUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdf
AxelKAPITA1
 

Similaire à Audit Informatique (20)

Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdf
 
[2]bis
[2]bis[2]bis
[2]bis
 
EBIOS
EBIOSEBIOS
EBIOS
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 
Mehari
MehariMehari
Mehari
 
COBIT
COBIT COBIT
COBIT
 
programme de gestion des menace internes
programme de gestion des menace internesprogramme de gestion des menace internes
programme de gestion des menace internes
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
 
Mehari
MehariMehari
Mehari
 
Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
 
Comment choisir son dispositif de certification pour la gouvernance de son SI ?
Comment choisir son dispositif de certification pour la gouvernance de son SI ?Comment choisir son dispositif de certification pour la gouvernance de son SI ?
Comment choisir son dispositif de certification pour la gouvernance de son SI ?
 
Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseil
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Cobit
Cobit Cobit
Cobit
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
AUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdfAUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdf
 

Audit Informatique

  • 1. Théories et cas pratique
  • 2. L’informatique est omniprésente et indispensable Développement des SI = accroissement des risques Le SI est le « système nerveux » de l’entreprise L’audit est un moyen préventif bien qu’utilisé trop souvent à titre curatif (58% des cas) L’audit informatique s’impose, il y a une prise de conscience A vu le jour dans les 60’s aux USA
  • 3. I- Généralités A- Objectifs B- Démarche générale C- Conduite de la mission II- Les outils de l’auditeur A- Normes B- Méthodes C- Critères de choix III- Cas pratique
  • 4.  
  • 5. L’audit correspond au besoin de faire faire un diagnostic par un expert indépendant pour établir un état des lieux, définir des points à améliorer et obtenir des recommandations pour faire face aux faiblesses de l’entreprise. L’auditeur intervient en tant que mesureur des risques, il identifie faiblesses, impacts, solutions et les risques si les mesures ne sont pas prises.
  • 6. L’audit Informatique est un terme largement utilisé, il couvre donc des réalités souvent différentes, et certaines prestations réalisées sous le terme d’ « Audit Informatique » sont en fait des missions de Conseil. Le champ d’action principal de l’Audit Informatique doit rester l’outil informatique au sens large, en y incluant la bureautique (application, matériels…) et de plus en plus les outils liés à l’usage des technologies de l’Internet…
  • 7. En termes de fiabilité de l’environnement informatique a) L’intérêt d’un contrôle interne b) Les acteurs de l’audit informatique c) Composantes d’un audit de l’activité informatique d) Méthodes d’audit de l’activité informatique
  • 8. a) L’intérêt d’un contrôle interne Selon l’OEC, le contrôle interne est: l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but: - d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information - l’application des instructions de la direction et favoriser l’amélioration des performances. Il se manifeste par l’organisation, les méthodes et procédures de chacune des activités de l’entreprise pour maintenir sa pérennité
  • 9. bonne organisation d’ensemble de l’activité « informatique » existence de procédures existence de méthodes Finalité réduire les risques de malveillance des procédures formalisées bien comprises amélioration de l’efficacité de l’activité informatique.
  • 10. b) Les acteurs de l’audit informatique direction de l’entreprise responsable informatique contrôleurs externes (commissaires aux comptes, administration fiscale, banques…)
  • 11. c) Composantes d’un audit de l’activité informatique examen de l’organisation générale du service, examen des procédures liées au développement et la maintenance des applications, examen des procédures liées à l’exploitation des chaînes de traitement, examen des fonctions techniques.
  • 12. d) Méthodes d’audit de l’activité informatique entretiens avec le personnel du service informatique et les utilisateurs du service contrôles de documents ou d’états outils commercialisés (progiciel) méthodes (COBIT, MEHARI…)
  • 13. En termes d’efficacité et de performances mise en place d’un plan de secours étude approfondie de la performance et du dimensionnement des machines adéquation aux besoins des logiciels système « En d’autres termes l’audit d’efficacité, constitue une mission mandatée soit par la direction générale, afin de s’interroger sur le coût de son informatique, soit par le responsable du service, de manière à vérifier la pertinence de sa configuration ».
  • 14. En termes de fiabilité d’une application informatique Objectif premier: « Se prononcer sur la qualité d’une application donnée ». Types de contrôle: Contrôle de la fiabilité d’une application, ou son utilisation Contrôle de l’adéquation des logiciels développés aux spécifications fonctionnelles Recherche de fraude ou erreurs Contrôle de la qualité des méthodes de développement des logiciels ou contrôle de la qualité des procédures d’exploitation 
  • 15. « La compétence technique de l’auditeur est un point fondamental pour la réussite de la mission, il implique aussi de disposer de certaines qualités humaines, relationnelles, et des qualités de gestionnaire et d’organisateur. » 1) Intervenants 2) Plan pluriannuel d’audit
  • 16. 1) Intervenants a) Auditeur externe contractuel société spécialisée en ingénierie et services informatique(SSII) free-lance Leurs missions examen de contrôle interne de la fonction informatique, audit de la sécurité physique du centre de traitement, audit de la confidentialité d’accès audit des performances
  • 17. Source: enquête AFAI 2003 Domaine Pourcentage Sécurité logique 80% Conduite de projets 68% Revue environnement informatique 66% ERP / Revue d'application 58% Production 54% Maitrise d'ouvrage et Cahier des charges 54% Analyse de données 50% Développement et rôle des études 46% Recettes 42% Qualité du code et réalisation 30% Autre 20%
  • 18. b) Auditeur interne Les missions susceptibles d’être confiées à l’auditeur informatique interne sont a priori les mêmes que celles susceptibles d’être confiées à l’auditeur externe. Cependant, l’auditeur interne qui dépend soit de la direction informatique ou d’un service d’audit, se trouve confronté à un problème délicat : Comment couvrir dans un délai raisonnable l’ensemble des risques informatiques ?
  • 19. c) Commissaire au comptes Rôle Le commissaire au compte a pour rôle de vérifier que les comptes présentés sont réguliers et sincères, et qu’ils donnent une image fidèle de la situation de l’entreprise. Leur présence est obligatoire dans la plupart des sociétés commerciales.
  • 20. Approche en environnement informatique Source: CRCC de Paris
  • 21. 2) Plan pluriannuel d’audit Un plan annuel est définit sur une période de 3 à 4 ans, pour couvrir l’ensemble des composantes du risque informatique, par les auditeurs internes qui vont fixer des programmes annuels de travail détaillés. Le programme de travail annuel reprend, en précisant les dates et modalités d’intervention, les missions prévues au plan pluriannuel.
  • 22. Exemple de plan pluriannuel  
  • 23. Démarche a) la lettre de mission Objectifs de la mission Périmètre de la mission  Période d’intervention Contraintes à prévoir pour les services audités Méthode Constitution de l’équipe Documents préparatoires 
  • 24. b) Le programme de travail Structure de l’entreprise concernée Domaines fonctionnels Applications informatiques Matériel et réseaux
  • 25. c) Enquête préalable délimiter les besoins et analyser le système d’information de l’audité interroger en collaboration avec l’audité, les utilisateurs et les entreprises qui participent au fonctionnement actuel du SI d) Réunion de synthèse s´assurer : - que les questions de l´auditeur ont été bien comprises - que les réponses ont été bien interprétées
  • 26. e) Rapport d’audit Le rapport est ensuite rédigé. Il doit être clair et non porté sur la technique ≠ mission d´expertise: il proposera un plan d’action pour améliorer la performance
  • 27. Comment choisir un auditeur informatique ? Trois critères majeurs sont donc à retenir : - l´indépendance de l´auditeur - professionnel du diagnostic - sa capacité à remettre des recommandations.
  • 28. Que représente un audit en termes de coût et d’économies pour l'entreprise ? Coût : Avec un prix moyen de la journée à environ 1000 euros, le Groupement national des professionnels de l´informatique (GPNI) estime le coût global de la procédure entre 500 et 3000 euros. Economies : - Economies immédiates lors du constat de dépenses inutiles - Réduction des risques entrainant réduction de coût
  • 29.  
  • 30. ISO 27002 Généralités: Créée en 2000 (ISO 17799), Renommée en 2005 Objet: sécurisation de l’information => Confidentialité, intégrité, disponibilité Caractère facultatif => guide de recommandations 4 étapes dans la démarche de sécurisation: Liste des biens sensibles à protéger Nature des menaces Impacts sur le SI Mesures de protection
  • 31. ISO 27001 Généralités: Créée en 2005 Objet: Politique du Management de la Sécurité de l’Information => établir un Système de Management de la Sécurité de l’Information : Choix des mesures de sécurité Protection des actifs Utilisation du modèle PDCA
  • 32. 6 domaines de processus : Définir une politique de sécurité Définir le périmètre du SMSI Evaluation des risques Gérer les risques identifiés Choisir et mettre en œuvre les contrôles Rédiger Statement Of Applicability (charte du SMSI) Conditions remplies => certification ISO 27001
  • 33. COBIT Généralités : Créée en 1996 par l’ISACA / AFAI Structure Contenu: Synthèse Cadre de référence Guide d’audit Guide de management Outils de mise en oeuvre Intérêts: Lien entre les objectifs de l’entreprise et ceux de technologies d’information Intégration des partenaires d’affaires Uniformisation des méthodes de travail Sécurité et contrôle des services informatiques Système de gouvernance de l’entreprise
  • 34.  
  • 35. MEHARI Généralités : Créée en 1995 par le CLUSIF, remplaçant MARION Structure: Intérêts: Appréciation des risques aux regards des objectifs de sécurité Contrôle et gestion de la sécurité
  • 36. EBIOS Généralités : Créée en 1995 par la DCSSI Structure: Intérêts: Construction d’une politique de sécurité basée sur une analyse des risques L’analyse des risques repose sur l’environnement et les vulnérabilités du SI
  • 37.  
  • 38. Origine géographique de la méthode Langue Existence de logiciels adaptés Ancienneté = capacité de recul, témoignages Qualité de la documentation Facilité d’utilisation Compatibilité avec les normes Le coût (matériel et humain) La popularité, la reconnaissance Généralement, combinaison de méthodes lors d’un audit
  • 39.  
  • 40. Rappel : certaines associations ont l’obligation de nommer un CAC: l’association exerce une activité économique et remplit deux des critères suivants : 50 salariés, 3,1 millions CA, 1,55 million de bilan l’association perçoit des financements publics supérieurs à 153 000€. les associations reconnues d’utilité publique les associations émettant des obligations les associations collectant la participation des employeurs à l’effort de construction les organismes de formation remplissant deux des trois critères suivants: 3 salariés, 153 000€ de CA, 230 000€ de bilan les associations sportives affiliées collectant des recettes d’un montant supérieur à 380 000€ et employant des sportifs dont la masse salariale excède 380 000€ les associations et les fondations bénéficiaires de plus de 153 000 euros de dons
  • 41. Auditeur : Commissaire aux comptes Audité : Nature: Association Affres(association loi 1901) Chiffre d’affaires: 30 millions €
  • 42. Accessibilité des imprimantes Accès aux applications Topologie du réseau Absence de véritable administrateur Procédure de sauvegarde des données Organisation de la comptabilité informatique Base de données
  • 43. Mieux répartir les imprimantes dans les locaux Restreindre l’accès aux applications à la fonction de l’utilisateur Créer 2 sous-réseaux (DAF et E&R) indépendants Nommer un administrateur qualifié L’administrateur sera chargé des sauvegardes, en veillant à les sécuriser Valider l’intégration des écritures tous les jours Modifier la structure de la BD informatisée
  • 44. L’audit informatique s’est imposé et s’inscrit dans l’avenir des entreprises La normalisation est synonyme de développement et de crédibilité Le métier d’auditeur informatique recrute
  • 45. www.afai.fr www.journaldunet.com www.indexel.net www.aud-it.ch www.guideinformatique.com www.bpms.info Les techniques de l’audit informatique, Yann Derrien