m

 m


m 
m


 




 


  





 

INTRODUCTION


Linformatique est omniprsente et indispensable

Dveloppement des SI = accroissement des risques

Le SI est le systme nerveux de lentreprise

Laudit est un moyen prventif bien quutilis trop souvent

titre curatif (58% des cas)

Laudit informatique simpose, il y a une prise de conscience

A vu le jour dans les 60s aux USA

LAN
I- Gnralits
A- Objectifs
B- Dmarche gnrale
C- Conduite de la mission
II- Les outils de lauditeur
A- Normes
B- Mthodes
C- Critres de choix
III- Cas pratique

GNRALITS

GNRALITS
]

Laudit correspond au besoin de faire faire un diagnostic par

un expert indpendant pour tablir un tat des lieux, dfinir
des points amliorer et obtenir des recommandations pour
faire face aux faiblesses de lentreprise.

Lauditeur intervient en tant que mesureur des risques, il

identifie faiblesses, impacts, solutions et les risques si les
mesures ne sont pas prises.

GNRALITS (SUITE)
]

Laudit Informatique est un terme largement utilis, il couvre

donc des ralits souvent diffrentes, et certaines
prestations ralises sous le terme d Audit Informatique
sont en fait des missions de Conseil.

Le champ daction principal de lAudit Informatique doit

rester loutil informatique au sens large, en y incluant la
bureautique (application, matriels ) et de plus en plus les
outils lis lusage des technologies de lInternet

OBJECTIFS
]








 

a) Lintrt dun contrle interne

b) Les acteurs de laudit informatique
c) Composantes dun audit de lactivit informatique
d) Mthodes daudit de lactivit informatique

OBJECTIFS
!
"#
 
$%

Selon lOEC, le contrle interne est:
r lensemble des scurits contribuant la matrise de
lentreprise.
r Il a pour but:
- dassurer la protection, la sauvegarde du patrimoine et
la qualit de linformation
- lapplication des instructions de la direction et favoriser
lamlioration des performances.
r Il se manifeste par lorganisation, les mthodes et
procdures de chacune des activits de lentreprise pour
maintenir sa prennit

OBJECTIFS





bonne organisation densemble de lactivit

informatique
existence de procdures
existence de mthodes


r
r
r

rduire les risques de malveillance

des procdures formalises bien comprises
amlioration de lefficacit de lactivit informatique.

OBJECTIFS
!
"
$ 

 

 


direction de lentreprise

responsable informatique

contrleurs externes (commissaires aux comptes,

administration fiscale, banques )

OBJECTIFS
$!
&'
 
 

$

 
r

!
"#

#


  $

!

 






 

$

!

 
%"!

&

$

!
'   (

OBJECTIFS
!
(
 

$
 
r

entretiens avec le personnel du service informatique et les

utilisateurs du service

contrles de documents ou dtats

outils commercialiss (progiciel)

mthodes (COBIT, MEHARI )

OBJECTIFS
]
r
r
r



$$


'$
mise en place dun plan de secours
tude approfondie de la performance et du
dimensionnement des machines
adquation aux besoins des logiciels systme
En dautres termes laudit defficacit, constitue une
mission mandate soit par la direction gnrale, afin de
sinterroger sur le cot de son informatique, soit par le
responsable du service, de manire vrifier la pertinence
de sa configuration .

OBJECTIFS
]





 
''$

 

Objectif premier: Se prononcer sur la qualit dune

application donne .

Types de contrle:

Contrle de la fiabilit dune application, ou son utilisation

Contrle de ladquation des logiciels dvelopps aux
spcifications fonctionnelles
Recherche de fraude ou erreurs
Contrle de la qualit des mthodes de dveloppement des
logiciels ou contrle de la qualit des procdures
dexploitation

r
r
r

DEMARCHE GENERALE
]

La comptence technique de lauditeur est un point

fondamental pour la russite de la mission, il implique aussi
de disposer de certaines qualits humaines, relationnelles,
et des qualits de gestionnaire et dorganisateur.

1!


)!
*
'  
 

DEMARCHE GENERALE
1!


!
  
+
$$ 
r
r

r
r
r
r

socit spcialise en ingnierie et services

informatique(SSII)
free-lance
" 

examen de contrle interne de la fonction informatique,
audit de la scurit physique du centre de traitement,
audit de la confidentialit daccs
audit des performances


,
,
", ",
",
 m,


m ,
,
m
",
*",
- m
,
""&m-,



  
#

Scurit logique

80%

Conduite de projets

68%

Revue environnement informatique

66%

ERP / Revue d'application

58%

Production

54%

Maitrise d'ouvrage et Cahier des charges

54%

Analyse de donnes

50%

Dveloppement et rle des tudes

46%

Recettes

42%

Qualit du code et ralisation

30%

Autre

20%

Source: enqute AFAI 2003

DEMARCHE GENERALE
!
  


Les missions susceptibles dtre confies lauditeur

informatique interne sont a priori les mmes que celles
susceptibles dtre confies lauditeur externe.

Cependant, lauditeur interne qui dpend soit de la direction

informatique ou dun service daudit, se trouve confront
un problme dlicat : Comment couvrir dans un dlai
raisonnable lensemble des risques informatiques ?

DEMARCHE GENERALE
$!
&

$'
p

Rle
Le commissaire au compte a pour rle de vrifier que les
comptes prsents sont rguliers et sincres, et quils
donnent une image fidle de la situation de lentreprise.
Leur prsence est obligatoire dans la plupart des socits
commerciales.

DEMARCHE GENERALE
p

Approche en environnement informatique

Source:

CRCC de aris

DEMARCHE GENERALE
)!
*
'  
 

r

Un plan annuel est dfinit sur une priode de 3 4 ans,

pour couvrir lensemble des composantes du risque
informatique, par les auditeurs internes qui vont fixer des
programmes annuels de travail dtaills.

Le programme de travail annuel reprend, en prcisant les

dates et modalits dintervention, les missions prvues au
plan pluriannuel.

DEMARCHE GENERALE







CONDUITE DE LA MISSION
]

$(

!




r
r
r
r
r
r
r

Objectifs de la mission
rimtre de la mission
riode dintervention
Contraintes prvoir pour les services audits
Mthode
Constitution de lquipe
Documents prparatoires

CONDUITE DE LA MISSION
!
"
'.



Structure de lentreprise concerne

Domaines fonctionnels

Applications informatiques

Matriel et rseaux

CONDUITE DE LA MISSION
$!
 #
'
r dlimiter les besoins et analyser le systme dinformation de
laudit
r interroger en collaboration avec laudit, les utilisateurs et
les entreprises qui participent au fonctionnement actuel du
SI
!
 

/(0
r sassurer :
- que les questions de lauditeur ont t bien comprises
- que les rponses ont t bien interprtes

CONDUITE DE LA MISSION
!
''
 

Le rapport est ensuite rdig. Il doit tre clair et non port

sur la technique

mission dexpertise: il proposera un plan daction pour

amliorer la performance

CONDUITE DE LA MISSION
]

&
$(

  
  1

Trois critres majeurs sont donc retenir :

- lindpendance de lauditeur
- professionnel du diagnostic
- sa capacit remettre des recommandations.

CONDUITE DE LA MISSION
]


'

 



$2


$
' 
3'
1
u

Avec un prix moyen de la journe environ 1000 euros, le
Groupement national des professionnels de linformatique
(GNI) estime le cot global de la procdure entre 500 et
3000 euros.
$:
- Economies immdiates lors du constat de dpenses
inutiles
- Rduction des risques entrainant rduction de cot

LES OUTILS DE LAUDITEUR

LES NORMES
p

ISO 27002

Gnralits: Cre en 2000 (ISO 17799), Renomme en 2005

Objet: scurisation de linformation

=> Confidentialit, intgrit, disponibilit



Caractre facultatif => guide de recommandations

4 tapes dans la dmarche de scurisation:

-

Liste des biens sensibles protger

Nature des menaces
Impacts sur le SI
Mesures de protection

LES NORMES
p

ISO 27001

Gnralits: Cre en 2005

 Objet: olitique du Management de la Scurit de lInformation
=> tablir un Systme de Management de la Scurit de
lInformation :
- Choix des mesures de scurit
- rotection des actifs
 Utilisation du modle DCA


LES NORMES


6 domaines de processus :
-

Dfinir une politique de scurit

Dfinir le primtre du SMSI
Evaluation des risques
Grer les risques identifis
Choisir et mettre en uvre les contrles
Rdiger Statement Of Applicability (charte du SMSI)

Conditions remplies => certification ISO 27001

LES MTHODES
p




COBIT
Gnralits : Cre en 1996 par lISACA / AFAI
Structure
Contenu:
- Synthse
- Cadre de rfrence
- Guide daudit
- Guide de management
- Outils de mise en oeuvre
Intrts:
- Lien entre les objectifs de lentreprise et ceux de technologies
dinformation
- Intgration des partenaires daffaires
- Uniformisation des mthodes de travail
- Scurit et contrle des services informatiques
- Systme de gouvernance de lentreprise

LES MTHODES
p

MEHARI

Gnralits : Cre en 1995 par le CLUSIF, remplaant MARION

Structure:

Intrts:

Apprciation des risques aux regards des objectifs de scurit

Contrle et gestion de la scurit

LES MTHODES
p

EBIOS

Gnralits : Cre en 1995 par la DCSSI

Structure:

Intrts:

Construction dune politique de scurit base sur une analyse des risques
Lanalyse des risques repose sur lenvironnement et les vulnrabilits du SI

LES MTHODES

LES CRITRES DE CHOIX



Origine gographique de la mthode

Langue

Existence de logiciels adapts

Anciennet = capacit de recul, tmoignages

Qualit de la documentation

Facilit dutilisation

Compatibilit avec les normes

Le cot (matriel et humain)

La popularit, la reconnaissance

Gnralement, combinaison de mthodes lors dun audit

CAS RATIQUE

CAS RATIQUE
c

certaines associations ont lobligation de nommer un CAC:
r

lassociation exerce une activit conomique et remplit deux des critres suivants :
50 salaris, 3,1 millions CA, 1,55 million de bilan

lassociation peroit des financements publics suprieurs 153 000.

les associations reconnues dutilit publique

les associations mettant des obligations

les associations collectant la participation des employeurs leffort de construction

les organismes de formation remplissant deux des trois critres suivants: 3 salaris,
153 000 de CA, 230 000 de bilan

les associations sportives affilies collectant des recettes dun montant suprieur
380 000 et employant des sportifs dont la masse salariale excde 380 000

les associations et les fondations bnficiaires de plus de 153 000 euros de dons

CAS RATIQUE

Auditeur: Commissaire aux comptes

Audit:
l

Nature: Association Affres(association loi 1901)

Chiffre daffaires: 30 millions

ROBLMES DTECTS


Accessibilit des imprimantes

Accs aux applications

Topologie du rseau

Absence de vritable administrateur

rocdure de sauvegarde des donnes

Organisation de la comptabilit informatique

Base de donnes

SOLUTIONS
]

Mieux rpartir les imprimantes dans les locaux

Restreindre laccs aux applications la fonction de

lutilisateur

Crer 2 sous-rseaux (DAF et E&R) indpendants

Nommer un administrateur qualifi

Ladministrateur sera charg des sauvegardes, en veillant

les scuriser

Valider lintgration des critures tous les jours

Modifier la structure de la BD informatise

CONCLUSION

Laudit informatique sest impos et sinscrit dans lavenir

des entreprises

La normalisation est synonyme de dveloppement et de

crdibilit

Le mtier dauditeur informatique recrute

SOURCES
www.afai.fr
www.journaldunet.com
www.indexel.net
www.aud-it.ch
www.guideinformatique.com
www.bpms.info
Les techniques de laudit informatique, Yann Derrien