You are on page 1of 183

UNIVERSITE DE LA MANOUBA

Institut Suprieur de Comptabilit et dAdministration des Entreprises

Commission dExpertise Comptable

MEMOIRE EN VUE DE LOBTENTION DU DIPLOME DEXPERTISE COMPTABLE

LA SECURITE DU SYSTEME DINFORMATION : LES ENJEUX DE LEXPERT COMPTABLE

PRESENTE PAR : M. Bilel Errahmouni

ENCADRE PAR : M. Chiheb Ghanmi

Janvier 2011

DEDICACES

A mes chers parents pour leur soutien;

A ma femme pour ses encouragements, pour son soutien


et son amour envers moi et envers ses enfants;

A A

mes chers enfants;

ma belle famille pour son aide prcieuse;

Remerciements

Je tiens exprimer toute ma gratitude et mes sincres remerciements Monsieur


CHIHEB GHANMI davoir aimablement accept dencadrer ce travail de recherche, ainsi que pour les prcieux conseils quil a bien voulu me prodiguer.

Mes

remerciements sadressent aussi chacun des membres du jury pour la

confiance dont ils mont honore.

Je

remercie galement tout le personnel de lAgence Nationale de Scurit

Informatique pour laide qui ma t fournie et qui ma permis de raliser ce travail, quils trouvent ici, lexpression de ma reconnaissance.

La scurit du systme dinformation : Les enjeux de lexpert comptable

Sommaire
Introduction Gnrale ......................................................................................................................11 PREMIERE PARTIE : SECURITE DU SYSTEME DINFORMATION ; CONCEPTS ET ENJEUX ....................17 Introduction la Premire Partie .....................................................................................................18 Chapitre 1: Les risques du systme dinformation............................................................................20 Introduction: ................................................................................................................................. 20 Section 1 : Dfinition, rle, objectif, fonctions et organisation dun systme dinformation : ......... 20 Section 2: Les menaces et les vulnrabilits des systmes dinformation : ..................................... 24 Section 3 : Les types des attaques et des agressions : ....................................................................30 Section 4 : Les systmes de dtection des intrusions .....................................................................33 Conclusion: ...................................................................................................................................37 Chapitre 2 : Les mthodes dvaluation du risque............................................................................38 Introduction: ................................................................................................................................. 38 Section 1: Le management du risque:............................................................................................ 38 Section 2: Control Objectives for Information and Technology: COBIT .......................................... 41 Section 3: La mthode danalyse des risques informatiques oriente par niveau MARION : .... 43 Section 4: La Mthode Harmonise d'Analyse de Risques : MEHARI .............................................. 46 Section 5: Expression des Besoins et Identification des Objectifs de Scurit : EBIOS ..................... 47 Section 6: Critres de choix entre les diffrentes mthodes .......................................................... 49 Conclusion: ...................................................................................................................................49 Chapitre 3 : La scurit du systme dinformation ...........................................................................50 Introduction: ................................................................................................................................. 50 Section 1: Dfinition, concepts et objectifs de la scurit du systme dinformation : ................... 50 Section 2 : Les caractristiques de la scurit : Confidentialit, Intgrit et disponibilit. .............. 51 Section 3: Les besoins en scurit : ...............................................................................................53 Section 4: la normalisation internationale en matire de scurit. ................................................ 54 Section 5: La scurit de linformation : une responsabilit du management................................. 59 5

La scurit du systme dinformation : Les enjeux de lexpert comptable

Conclusion: ...................................................................................................................................62 Chapitre 4 : Le management de la scurit du systme dinformation (SMSI) .................................63 Introduction: ................................................................................................................................. 63 Section 1 : Dfinition dun SMSI : ..................................................................................................63 Section 2 : La mise en place dun SMSI : ........................................................................................64 Section 3 : Le SMSI et Le PDCA dEdward Deming: .........................................................................65 Section 4 : La norme ISO 27001 et le SMSI : ................................................................................... 67 Conclusion: ...................................................................................................................................68 Conclusion de la Premire Partie .....................................................................................................69 DEUXIEME PARTIE : AUDIT DE LA SECURITE DU SYSTEME DINFORMATION ....................................71 Introduction la Deuxime Partie ...................................................................................................72 Chapitre 1 : Lexpert comptable et les missions daudit de la scurit du systme dinformation ...74 Introduction : ................................................................................................................................74 Section 1 : La scurit du systme dinformation dans le cadre dune mission daudit lgal: .......... 74 Section 2 : La scurit du systme dinformation dans le cadre des autres missions de lexpert comptable : ...................................................................................................................................77 Section 3 : Cadre comptable, fiscal, juridique et rglementaire : ................................................... 78 Section 4 : Les comptences requises par lexpert comptable: ......................................................91 Conclusion: ...................................................................................................................................99 Chapitre 2 : Les tapes daudit de la scurit du systme dinformation .......................................100 Introduction: ............................................................................................................................... 100 Section 1: Dfinitions et objectifs de laudit de la scurit du systme dinformation: ................. 100 Section 2 : Prise de connaissance gnrale : ................................................................................102 Section 3: Planification de la mission: ..........................................................................................109 Section 4 : Mise en plan du plan de mission : .............................................................................. 112 Section 5 : Elaboration du rapport et des recommandations : ..................................................... 117 Conclusion: .................................................................................................................................120 Chapitre 3 : Dmarche daudit de la scurit du systme dinformation base sur ISO 27002 ....... 121 Introduction: ............................................................................................................................... 121 6

La scurit du systme dinformation : Les enjeux de lexpert comptable

Section 1: Prsentation de la norme les bonnes pratiques de scurit ISO 27002 : .................. 121 Section 2: Audit organisationnel et physique:.............................................................................. 123 Section 3 : Audit technique .........................................................................................................130 Conclusion : ................................................................................................................................132 Chapitre 4 : Laudit de la scurit du systme dinformation et les normes daudit financier ........133 Introduction : ..............................................................................................................................133 Section 1 : La relation entre les risques de la scurit de linformation et le risque daudit: ......... 133 Section 2: La scurit du systme dinformation et lvaluation du systme de contrle interne : ...................................................................................................................................................137 Section 3 : La scurit de linformation et lhypothse sous jacente de la continuit dexploitation : ...................................................................................................................................................142 Section 4: Laudit externe et le respect de la rglementation en matire de scurit: ................. 143 Conclusion: .................................................................................................................................146 Conclusion de la deuxime partie ..................................................................................................147 Conclusion Gnrale ......................................................................................................................148 ANNEXES ........................................................................................................................................149 BIBLIOGRAPHIE ..............................................................................................................................149

La scurit du systme dinformation : Les enjeux de lexpert comptable

LISTE DES ABREVIATIONS


AFAI ANSI ANSSI BS BSI Cert-TCC CISA CLUSIF CNCC COBIT COSO CPU DCSSI DDOS DESS DNS EBIOS ECR EDI GED GMITS HIDS HTTP HTTPS IAA IAASB IAPC IDS IDSH IFAC IFACI IP IPS IPsec ISA ISACA ISO ITSEC MARION MEHARI NIDS Association Franaise dAudit et de Conseil Informatique Agence Nationale de la Scurit Informatique Agence nationale de la scurit du systme dinformation British Standard Code of practice for information security management British Standards Institution Computer Emergency Response Team-Tunisian Coordination Center Certified Information System Auditor Club de la Scurit des Systmes dInformation Compagnie Nationale des Commissaires aux Comptes Control Objectives for Information and Technology Committee of Sponsoring Organizations Central Processing Unit Direction Centrale de la Scurit des Systmes d'Information Distributed Denial of Service Diplme dEtudes Suprieures Spcialises Domain Name System Expression des Besoins et Identification des Objectifs de Scurit Efficiency Consumer Response Echange de Donnes Informatises Gestion Electronique de Documents Guidelines for the management of IT Security Host Based Instruction Detection System HyperText Transfer Protocol Hypertext Transfer Protocol Secured Institut of Internal Auditors International auditing and assurance standards board International Auditing Practices Committee Intrusion Detection Systems (Systmes de Dtection dIntrusions) Systmes de Dtection dIntrusions Hybrides International Federation of Automatic Control Institut Franais de lAudit et de Contrle Internes Internet Protocol Intrusion Prevention System (Systmes de Prvention dIntrusions) Internet Protocol Security International Standards on Auditing Information Systems Audit and Control Association International Standard Organisation Information Technology Security Evaluation Criteria Mthode dAnalyse des Risques Informatiques Oriente par Niveau Mthode Harmonise d'Analyse de Risques Network Base Instruction Detection System
8

La scurit du systme dinformation : Les enjeux de lexpert comptable

NIS OSI PDCA PME POE POS PSS QSSI RSSI SAC Report SAO SGDT SI SIG SIM SIS SMSI SNMP SOX SSI TEMPEST TIC TPE

Network Information Service Interconnexion de Systmes Ouverts (Open Systems Interconnection) Plan-Do-Check-Act Petites et Moyennes Entreprises Plan Oprationnel d'Entreprise Plans Oprationnels de Scurit Plan Stratgique de Scurit Questionnaire Scurit Systme dInformation Responsable Scurit Systme d'Information Systems Auditability and Control Report Statement of applicability Systme de Gestion des Donnes Techniques Systme d'Information Systme Information de Gestion Systme dInformation Mercatique Systme dInformation Stratgique Management de la Scurit du Systme dInformation Simple Network Management Protocol Sarbanes-Oxley Scurit du Systme dInformation Telecommunications Electronic Material Protected from Emanating Spurious Transmissions Technologies de lInformation et de la Communication Trs Petite Entreprise

La scurit du systme dinformation : Les enjeux de lexpert comptable

LISTE DES FIGURES

FIGURE 1: Systme d'information FIGURE 2: Organisation du rfrentiel Cobit FIGURE 3: Exemple de rosace Marion FIGURE 4: Exemple d'histogramme diffrentiel Marion FIGURE 5: Schma gnral de la mthode Mehari FIGURE 6: Dmarche EBIOS globale FIGURE 7: Cartographie des principales mthodes SSI dans le monde FIGURE 8: Evolution de la norme BS 7799 FIGURE 9: Relation ISO 27001 et ISO 27002 FIGURE 10: Systme de management de la scurit de linformation FIGURE 11: Les phases o lexpert comptable aborde la SSI FIGURE 12: Objectifs de la scurit du systme dinformation FIGURE 13: Apprciation de la complexit du systme dinformation FIGURE 14: Planification et mise de place du plan de mission FIGURE 15: Calendrier de la mission daudit de scurit informatique FIGURE 16: Structure de la norme ISO 27002 FIGURE 17: Les composants du risque daudit FIGURE 18: Les risques danomalies significatives FIGURE 19: Les composantes du contrle interne FIGURE 20: La scurit du systme dinformation et lvaluation du systme de contrle interne

10

La scurit du systme dinformation : Les enjeux de lexpert comptable

Introduction Gnrale

Le monde des affaires est caractris, de nos jours, par louverture des marchs, lmergence de nouvelles technologies et le dveloppement des moyens de communication ayant conduit la dfinition de nouveaux contextes pour lorganisation des entreprises. Dans ce cadre, le systme dinformation des entreprises, paralllement son rle dterminant dans la conduite des affaires, est considr dsormais, comme un lment stratgique pour les entits soucieuses de se doter davantages concurrentiels durables. Il est de plus en plus indispensable pour les entreprises de mesurer la performance de leur systme dinformation, de veiller sa cohrence densemble, sa conformit aux normes et aux critres de qualit et de scurit qui doivent le caractriser.

Lenvironnement actuel de lentreprise est caractris par une globalisation des conomies qui sest rapidement concrtise grce au dveloppement acclr des systmes dinformation. En effet, durant les vingt dernires annes, ces systmes ont connu des volutions exponentielles grce au dveloppement technologique. Ainsi, nous avons pu observer, notamment, lexplosion des micro-processeurs, le dveloppement des rseaux, lintgration des systmes et louverture des systmes sur les partenaires de lentreprise. Lutilisation accrue de lInternet a acclr considrablement lvolution des systmes dinformation, puisque son cot rduit et son utilisation relativement simple ont favoris sa pntration, notamment dans les petites et moyennes entreprises. Lconomie moderne devient de plus en plus immatrielle. Cette volution vers la Socit de lInformation ne saurait tre facilite que par le dveloppement spectaculaire des technologies de linformation. Devant le dveloppement des technologies de linformation et lutilisation sans cesse croissante de loutil informatique dans le traitement et la production de linformation financire et comptable, la dmatrialisation des pices comptables et la perte des contrles manuels, le besoin des utilisateurs est devenu de plus en plus croissant pour obtenir une information fiable. Corrlativement aux amliorations apportes aux entreprises en termes de rapidit de traitement de linformation et dallgement des charges de travail, le dveloppement intensif du systme dinformation a gnr lieu une nouvelle catgorie de risques, savoir la perte de contrle de la cohrence et de la fiabilit de ce systme. Toutefois, cette volution a augment considrablement la dpendance des entreprises envers leurs systmes dinformation et a affect leurs procdures de contrle interne. Nous citons, essentiellement, la dmatrialisation tendant devenir totale zro papier de la transaction
11

La scurit du systme dinformation : Les enjeux de lexpert comptable

et par la suite, de la preuve; absence de documents dentre, absence de systmes de rfrences visibles, absence de documents de sortie visibles. Paralllement, cette volution, la vulnrabilit du systme d'information sest accrue, ce qui a engendr pour l'entreprise de nouveaux risques inhrents la scurit du systme dinformation qu'elle est appele matriser. Aujourdhui, les systmes dinformation revtent un caractre stratgique dans le monde des entreprises. En effet, les exigences de lenvironnement (marchs financiers, clients, concurrence... etc.) imposent celles-ci la performance et la ractivit. Ceci implique que le traitement de linformation doit tre rapide et pertinent. Ainsi, il est primordial que les systmes dinformation permettent lentreprise dune part, dadapter en permanence sa structure aux exigences de son march et, dautre part, dtre en mesure daugmenter continuellement sa productivit. Cest ainsi que les dirigeants des entreprises sorientent de plus en plus vers des systmes ouverts, modulaires, axs sur les besoins des clients et mme de couvrir lensemble des proccupations de leurs entits. Les volutions significatives de la rglementation, des rfrentiels comptables et des modes de fonctionnement des entreprises auxquelles nous avons assistes au cours de ces dernires annes, ont fortement influenc la dmarche de laudit comptable et financier. En effet, louverture des systmes et leur complexit ont engendr des risques ayant eu des consquences graves sur le fonctionnement adquat de lentreprise. Afin de rpondre aux nouvelles exigences imposes par cet environnement, lauditeur devra revoir sa mthodologie daudit et complter sa formation dans le domaine de laudit de la scurit du systme dinformation de faon prendre en considration les risques induits par ces systmes et leur impact sur le dispositif du contrle interne. Pour faire face ce nouveau contexte, les grands cabinets daudit et de conseil ont adopt de nouvelles dmarches daudit qui reposent largement sur lvaluation des risques et des contrles de la scurit du systme dinformation. Ces nouvelles approches imposent aux auditeurs de comprendre, valuer et tester le contrle interne relatif lenvironnement de la fonction informatique et aux applications traitant des principaux processus des activits de lentreprise. Dans ce cadre, les auditeurs financiers ne peuvent plus ngliger laspect de la scurit du systme dinformation des entreprises dont lexamen est devenu de plus en plus complexe. Sils ont estim, au dpart, qu'il fallait traiter la scurit du systme dinformation dans le cadre dune mission particulire, ils sont convaincus, aujourd'hui, que ltude de cette scurit
12

La scurit du systme dinformation : Les enjeux de lexpert comptable

devrait tre intgre dans leur dmarche professionnelle et doit faire partie, dsormais, de leurs proccupations majeures. Ainsi, lapproche daudit, que nous avions lhabitude dadopter dans nos entreprises tunisiennes, devrait sadapter ce nouveau contexte et aux risques lis. Cette mise niveau de lapproche daudit est devenue une proccupation majeure et dactualit des organismes professionnels et des cabinets dexpertise internationaux. Cest ainsi que les organismes professionnels n'ont pas tard de concevoir et de mettre jour les lignes directrices et les diligences adquates dans le cadre dun audit de la scurit du systme dinformation. Il en est de mme des cabinets internationaux qui ont vite dvelopp des mthodologies appropries et ont ralis des investissements importants pour adapter les approches daudit un environnement devenu de plus en plus complexe. Paralllement ces nouveaux mcanismes mis en place, la lgislation, la jurisprudence et la doctrine lchelle internationale se sont enrichies de rgles nouvelles destines rglementer et contrler certains aspects des systmes dinformation. Egalement, lexpert comptable, dans le cadre de ses missions de consulting, apporte une aide principalement en termes de sensibilisation aux risques et menaces qui psent sur le systme dinformation, des rgles dorganisation respecter et des dispositifs de scurit qui permettent de remdier ces risques. Face aux multiples risques qui peuvent engendrer des pertes financires considrables et qui menacent la prennit de lexploitation suite latteinte la confidentialit, lintgrit et la disponibilit de linformation, les rglementations nationales et internationales ont pris conscience de ce souci majeur de prserver la scurit de linformation et de ce fait, nous assistons lmergence de lois et de normes ayant pour principal objectif la protection de linformation. Lexpert comptable, travers sa mission de commissariat aux comptes ou de consulting, et disposant de certains atouts, peut contribuer, dans le cadre de laudit de la scurit du systme dinformation, lamlioration de la visibilit des entreprises. Dans ce contexte, il sagit de savoir: quels sont les enjeux auxquels est confront lexpert comptable dans le cadre de laudit de la scurit du systme dinformation? La problmatique, ainsi prsente, nous incite apporter des lments de rponse aux questions suivantes : Quels sont les menaces et les risques du systme dinformation ? Quen est-il du dveloppement dune politique de scurit du systme dinformation ?

13

La scurit du systme dinformation : Les enjeux de lexpert comptable

Quel est lintrt de laudit de la scurit du systme dinformation pour lexpert comptable? Quelles seront les contributions de lexpert comptable pour lamlioration de la scurit du systme dinformation ? Enfin, quelle est la mthodologie dvelopper par lexpert comptable pour laudit de la scurit du systme dinformation? La problmatique rside dans le fait que : Linformation comptable et financire est souvent issue des processus hautement informatiss et quil est, par consquent, inconcevable de certifier les comptes sans auditer la scurit du systme dinformation. Les nouvelles rglementations exigent des auditeurs dvaluer et de tester les procdures de contrle interne y compris celles lies aux systmes information. 1 Les systmes dinformation induisent des risques spcifiques que lauditeur doit prendre en considration dans sa dmarche daudit. En effet, le recours aux technologies de linformation saccompagne inluctablement de nouveaux risques, parmi lesquels nous pouvons citer : Louverture des systmes dinformation aussi bien en interne, travers les outils dIntranet, quen externe, travers lInternet ; Labsence de procdures de gestion et de matrise des risques lis lintroduction des nouvelles technologies de linformation peut avoir des consquences financires prjudiciables pour lentreprise; Labsence de politiques et de procdures relatives la scurit du systme dinformation ; La dpendance vis--vis des fournisseurs de technologie ; La refonte des processus, suite la mise en place de nouveaux systmes dinformation, peut affecter larchitecture des contrles et rduire la capacit de lentreprise couvrir ses risques. Lexpert comptable sera confront la complexit des systmes dinformation et aux risques qui leur sont lis. Il nest donc plus appel, seulement, adapter sa dmarche daudit comptable et financier en fonction du degr defficacit du contrle interne de lentreprise, mais aussi conseiller les clients en matire de gestion des risques pouvant affecter lensemble de leurs procdures.

ISA 315 : Connaissance de l'entit et de son environnement et valuation du risque d'anomalies significatives

14

La scurit du systme dinformation : Les enjeux de lexpert comptable

Les objectifs escompts par ce mmoire sont les suivants : Prsenter une mthodologie claire permettant daider les professionnels effectuer des missions daudit de la scurit du systme dinformation en se basant sur les bonnes pratiques issues de la norme ISO 27002 ; Prsenter les bonnes pratiques en matire dorganisation et de management du systme dinformation, qui peuvent tre utilises comme un guide par les professionnels dans leurs missions de conseils en gestion des risques ou de mise en place des procdures de contrle interne ; Elargir davantage les missions de lexpert comptable. Sur le plan personnel, ce travail nous a permis dapprofondir nos connaissances dans un domaine stratgique qui implique ncessairement une mise niveau du mtier de lexpert comptable. En effet, celui-ci est amen, de nos jours, dvelopper une expertise dans ce domaine afin dlargir le champ dintervention de ses missions laudit et au conseil en systme dinformation et dtre en mesure de certifier les tats de synthse de manire atteindre les objectifs noncs ci-dessus avec le maximum defficacit et une valeur ajoute plus importante. La mthodologie adopte sarticule sur : Une dmarche pragmatique, qui consiste prsenter une mthodologie pour la conduite des missions daudit de la scurit du systme dinformation, en mettant en vidence les bonnes pratiques en matire de contrle de ces systmes issues de la norme ISO 27002. Cette dmarche est dveloppe dans le prsent mmoire suivant un plan arrt comme suit: 1re Partie: Scurit du systme dinformation; Concepts et enjeux: Dans cette partie, lattention sera porte sur : Les risques inhrents au systme dinformation, en prsentant la dfinition du systme, les menaces et vulnrabilits qui peuvent laffecter, les types des attaques et agressions auxquelles il est expos et un aperu sur les systmes de dtection des intrusions ; La prsentation du management du risque du systme dinformation et des diffrentes mthodes de son valuation: COBIT, MARION, MEHARI, EBIOS La scurit du systme dinformation: dfinition, caractristiques et prsentation de la normalisation internationale de la scurit du systme dinformation et prsentation de la scurit en tant que responsabilit relevant du management. La prsentation du management de la scurit du systme dinformation (SMSI)
15

La scurit du systme dinformation : Les enjeux de lexpert comptable

Lobjectif de cette partie est de mettre en exergue les menaces et vulnrabilits du systme dinformation et de montrer limportance que revt, dsormais, la scurit de ce systme. 2me Partie: Audit de la scurit des systmes dinformation : Dans cette partie, laccent sera mis sur : Le rle de lexpert comptable dans le cadre des missions daudit de la scurit du systme dinformation ; Les tapes daudit de la scurit du systme dinformation ; La dmarche daudit de la scurit du systme dinformation base sur les bonnes pratiques issues de la norme ISO 27002 ; Prsentation de la relation entre laudit de la scurit du systme dinformation et les normes daudit financier. Lobjectif de cette partie est dexposer la manire selon laquelle laudit de la scurit du systme dinformation sintgre dans les diffrentes tapes de laudit financier et de dvelopper un guide de mthodologie daudit en la matire.

16

PREMIERE PARTIE : SECURITE DU SYSTEME DINFORMATION ; CONCEPTS ET ENJEUX

La scurit du systme dinformation : Les enjeux de lexpert comptable

Introduction la Premire Partie

Le processus de libralisation et de mondialisation des marchs entrane une concurrence froce sur les marchs. Ceci, amne les entreprises matriser, notamment leur systme dinformation afin dtre ractives et mme de jouer un rle prdominant dans leurs marchs. Lvolution des systmes et leur ouverture sur les partenaires de lentreprise conduisent de nouveaux enjeux et entrainent des risques multiples, ce qui augmente la vulnrabilit des systmes dinformation. Par ailleurs, la mise en place des nouveaux systmes informatiques intgrs et complexes saccompagne par une refonte des processus de gestion des activits et des procdures de contrle interne des entreprises. Les ordinateurs et les rseaux font dsormais partie de la vie quotidienne; ces investissements envahissent aussi bien notre vie professionnelle que prive. Cependant, la multiplication des moyens daccs et louverture des rseaux vers lextrieur de lentreprise fragilisent le systme dinformation de cette dernire. Cette ouverture croissante du systme nest pas sans risques pour lentreprise qui devient, alors, la cible dattaques visant non seulement prendre connaissance ou modifier linformation mais aussi paralyser ce systme. Le degr de sophistication de telles attaques est trs variable, se manifestant particulirement par la permanence des violations et des agressions virales qui font de gros dgts et affectent lourdement le fonctionnement des systmes. Des faits dactualit dmontrent chaque jour la vulnrabilit des systmes en labsence de protections efficaces. De ce fait, il est impratif que le fonctionnement de ces systmes soit scuris. Dautre part, et en plus des dgts causs par les intrusions externes, cest bien de lintrieur mme de lentreprise que peuvent surgir les attaques les plus dangereuses et les plus rpandues. Il est ainsi admis que la cause principale de ces multiples atteintes au systme dinformation est fermement lie au facteur humain qui constitue souvent le maillon vulnrable du systme de scurit mis en place. Cela tient particulirement la sensibilisation, aux modes dorganisation, lintgration dans les objectifs et modes de management, et bien sur, au choix de linvestissement. Pour lessentiel, la scurit nest plus aujourdhui rserve la technologie et au domaine informatique, mais elle concerne aussi le systme dinformation dans sa globalit. Il est vident que la comprhension de lorganisation et de lenvironnement lgal de la fonction informatique, des cycles de vie des systmes et des principaux risques qui y sont lis

18

La scurit du systme dinformation : Les enjeux de lexpert comptable

constituent un pralable ncessaire laccomplissement des missions daudit informatique aussi bien dans le cadre des missions daudit financier que des missions daudit spcifique. Comme indiqu au niveau de lintroduction gnrale, cette premire partie prsente les multiples menaces et vulnrabilits du systme dinformation, les diffrentes mthodes de leur valuation et de leur analyse des risques, ainsi que les concepts fondamentaux relatifs la scurit du systme dinformation et le management de cette scurit.

19

La scurit du systme dinformation : Les enjeux de lexpert comptable

Chapitre 1: Les risques du systme dinformation


Introduction: Ltude de la scurit du systme dinformation, passe invitablement par lexamen du systme informatique et lvaluation de sa scurit. En effet, le systme informatique est dfini comme tant lun des principaux moyens techniques pour faire fonctionner un systme dinformation.2 Le risque informatique est dfini comme tant la situation constitue dun ensemble dvnements simultans ou conscutifs dont loccurrence est incertaine et dont la ralisation affecte les objectifs de lentreprise qui la subit 3. En utilisant loutil informatique, lentreprise sexpose une multitude de risques qui peuvent se traduire par des pannes, vols de matriels, pertes de donnes, et de productivit, voir mme latteinte la continuit de son exploitation. Ces risques varient en fonction de la structure de lentreprise et de son environnement informatique, do la ncessit didentifier pour chaque entreprise les risques propres auxquels elle sexpose pour pouvoir mettre en place les mesures de scurit appropries. Pour tudier les diffrents types de risques du systme dinformation, nous allons commencer par une identification des menaces, et des vulnrabilits des systmes, pour aborder, ensuite, les types des attaques et des agressions et enfin les systmes de dtection des intrusions. Section 1 : Dfinition, rle, objectif, fonctions et organisation dun systme dinformation : Sous section 1: Dfinition: Un systme dinformation peut tre dfini comme tant lensemble des moyens matriels, logiciels, organisationnels et humains visant acqurir, stocker, traiter, diffuser de linformation. Cette information est ncessaire pour dcider, agir, prvoir, contrler et effectuer les activits dune organisation.4

2 3

Panorama gnral des normes et outils daudit, Franois VERGEZ AFAI ESIL anne 2010, p 4 www.afai.fr Mickael PLANTEC - les risques informatiques - www.XiTi.com 4 www.clusir-est.org/resources/afai.pd

20

La scurit du systme dinformation : Les enjeux de lexpert comptable

Figure 1: Systme dinformation5

L'amlioration de l'efficacit et de l'efficience des organisations est la proccupation permanente des dirigeants des entreprises. Dans une conomie qui se mondialise, o la concurrence devient de plus en plus vive, les organisations cherchent offrir davantage de services aux clients; l'information est devenue ainsi de plus en plus une variable stratgique, essentielle et primordiale au processus de prise de dcision. Le systme d'information est aujourd'hui au cur de la cration de valeurs au sein des entreprises et peut constituer un avantage comparatif par rapport la concurrence. Sous section 2: Rle stratgique des systmes dinformation:6 Aujourdhui, les systmes dinformation revtent un caractre stratgique dans le monde des entreprises. En effet, les exigences de lenvironnement (marchs financiers, clients, concurrence... etc.) imposent celles-ci dtre performantes et ractivits. Ceci implique que le traitement de linformation soit rapide et pertinent. Ainsi, il est primordial que les systmes dinformation permettent lentreprise dune part, dadapter en permanence sa structure aux exigences de son march et, dautre part, dtre en mesure, daugmenter continuellement sa productivit.

5 6

Panorama gnral des normes et outils daudit, Franois VERGEZ AFAI ESIL anne 2010, p 4 www.afai.fr Mr Diemer Arnaud, Partie I : Dfinition et analyse des entreprises: Approche systmique de lentreprise, 2009, p 20

21

La scurit du systme dinformation : Les enjeux de lexpert comptable

Sous section 3: Objectif du systme dinformation: 7 Le systme dinformation a pour objectif de fournir en permanence chacun des membres de lentreprise, les renseignements dont il a besoin pour la prise de dcisions, le suivi des actions mises en place et le contrle de lorganisation. Les finalits essentielles dun systme sarticulent autour du contrle, la coordination et la dcision. Sous section 4: Les fonctions du systme dinformation:8 Pour remplir ces trois objectifs (coordination, contrle et dcision), le systme dinformation devra assurer diffrentes fonctions : La collecte de linformation : lentreprise doit recueillir de nombreuses donnes en vue dune utilisation ultrieure. Celles-ci doivent tre classes, codifies et condenses afin den faciliter le stockage et lutilisation. Le traitement de linformation : la donne tant un lment brut (on parle dinformation de base), il est ncessaire quelle soit transforme en donnes utilisables par le dcideur. Le traitement se fera par tri, classement, calcul afin de fournir une base de donnes synthtique. La mmorisation de linformation : le systme dinformation est une mmoire collective que forgent les diffrents acteurs de lentreprise. Il doit donc stocker en scurit et durablement les donnes. Deux procdures principales permettent dassurer la mmorisation des donnes : les fichiers et les bases de donnes. La gestion lectronique de documents (GED) permet une informatisation de lensemble de la documentation de lentreprise. La diffusion de linformation : le systme dinformation doit faire circuler linformation tout en prservant la qualit et la scurit. La diffusion informatique par les rseaux internes et externes lentreprise est de plus en plus dveloppe (rseau internet et intranet). Internet permet deffectuer des recherches documentaires, de rechercher des partenaires, mme ltranger, sans se dplacer, de communiquer sans souci de prix dheure ou de distance, de crer une vitrine commerciale pour diffuser ses produits Intranet utilise des outils dinternet pour des applications dentreprises (annuaire interne, courrier interne, saisie des feuilles de temps, documents de travail,) afin de faciliter le partage dinformations et le travail de groupe. Lchange de donnes informatises (EDI) permet un transfert de donnes commerciales entre clients et fournisseurs se dveloppe, de mme que lECR (Efficiency Consumer Response).

7 8

Mr Diemer Arnaud, Partie I : Dfinition et analyse des entreprises: Approche systmique de lentreprise, 2009, p16 Mr Diemer Arnaud, Partie I : Dfinition et analyse des entreprises: Approche systmique de lentreprise, 2009, p 17

22

La scurit du systme dinformation : Les enjeux de lexpert comptable

Sous section 5: Lorganisation du systme dinformation: 9 Le domaine dun systme dinformation peut tre oprationnel ou stratgique. Lentreprise doit disposer dun systme qui lui fournisse des informations la fois sur son fonctionnement et son environnement. On distingue ainsi deux sous-systmes 10: Le systme dinformation de gestion (SIG): Il permet de renseigner sur le fonctionnement de lentreprise et sur ses rsultats. Il est oprationnel en permettant la gestion courante de lentreprise (Soldes Intermdiaires de Gestion). Llaboration dun SIG comporte plusieurs tapes : collecte des informations de base provenant du systme oprationnel (tat des stocks, factures), traitement des informations collectes afin dtablir des synthses destines aux dirigeants (tableaux de bord), prise de dcisions partir des synthses. Les informations quil traite, concernent lintrieur de lentreprise, portent sur son pass. Le systme dinformation de gestion (SIG) nest cependant pas suffisant. Lentreprise tant un systme ouvert, il est galement important pour elle, de dceler les changements et de les anticiper. Le systme dinformation stratgique (SIS): Il permet lentreprise dtre lcoute des changements de surveiller les menaces (arrive de concurrents, nouveaux besoins des clients, ) et de dtecter les opportunits tout en favorisant une approche prospective (laboration de scnarii). Les informations contenues dans le SIS sont nombreuses, diverses, complexes, quantitatives et qualitatives. Le SIS pourra prendre la forme dun systme dinformation technique (SGDT: systme de gestion des donnes techniques) ou dun systme dinformation mercatique (SIM). Le SGDT aide fournir tous les services concerns des donnes fiables et pertinentes sur les produits. Le SIM traite des informations de type commercial (tudes de march, panels,) en vue de faciliter la prise de dcision commerciale. Ce systme dinformation est devenu la cible des agresseurs et des attaquants, ainsi les menaces et les vulnrabilits sont diversifies et la scurit du systme dinformation est devenue primordiale afin de sauvegarder et prserver la prennit et la continuit de la socit.

10

Mr Diemer Arnaud, Partie I : Dfinition et analyse des entreprises: Approche systmique de lentreprise, 2009 p 19 Camille Rosenthal-Sabroux, Americo Carvalho, et Collectif _ Management et gouvernance des SI _ Edition Lavoisier _ 2009 p 40

23

La scurit du systme dinformation : Les enjeux de lexpert comptable

Section 2: Les menaces et les vulnrabilits des systmes dinformation : Sous section 1: Les menaces: 1- Origine: Du temps o linformatique tait centralise, les menaces physiques (pntration dans les locaux informatiques sans autorisation, vol, vandalisme,..) reprsentaient des dangers majeurs. En ces temps bnis, la protection pouvait se rsumer en quelques mesures de contrle daccs : grosses serrures, sas et gardiens taient la panoplie usuelle. La situation est aujourdhui bien diffrente. Certes, il y a toujours les vols de matriel, lutilisation de console matresse pour pntrer un systme ou le pigeage dun rseau pour le mettre sur coute . Mais globalement, le danger de ce type de menaces, dont les remdes sont connus et prouvs, est sans commune mesure avec les agressions sur le rseau, qui se ralisent sans la prsence physique de lagresseur. Ces agressions via le rseau ont maintenant atteint un seuil critique et on ne sait pas toujours quelle parade leur opposer.11 Les menaces qui psent sur les systmes dinformation sont de deux natures: interne et externe. Au-del de cette vidence, force est de constater que la menace interne reprsente plus de 70 80%12 des cas connus. Lorsque ce type de menace se concrtise par des attaques ou des fraudes, lutilisateur, qui possde un accs lgitime au systme dinformation et des services quil offre, tente dobtenir ou de falsifier des informations, de perturber le fonctionnement du systme dinformation, en abusant de ses privilges ou en les accroissant. Rciproquement, la menace externe est le fait dindividus qui nont pas un accs lgitime au systme dinformation et qui essayent de briser les barrires de scurit lorsquelles existent. Que la menace soit interne ou externe, linformation et les services fournis par le systme dinformation peuvent subir des prjudices qui se traduiront par une perte de confidentialit, dintgrit ou de disponibilit. Il en rsulte une divulgation, une modification ou une destruction des donnes ou encore une impossibilit dobtenir une information ou un service. Par ailleurs, les effets induits et non directement mesurables peuvent savrer catastrophiques pour lentreprise ou lorganisme victime : atteinte limage de marque ou suppression demplois si le sinistre touche loutil de production ou le produit vendu dans le cas dun service par exemple. 2- Catgories: Dans le palmars de cette nouvelle dlinquance , nous pouvons citer :

11 12

FILIOL Eric, RICHARD Phillipe _ Cybercriminalit _ Edition DUNOD _ 2007 p 35 CLUSIF _ Menaces informatiques et pratiques de scurit en France _ Edition CLUSIF _ 2010 p 41

24

La scurit du systme dinformation : Les enjeux de lexpert comptable

Tout ce qui porte atteinte lintgrit du systme : Le pigeage des systmes (bombes logiques, cheval de troie, ver, ) afin de nuire la structure ou de se donner les moyens de revenir plus tard, La modification des informations afin de porter atteinte limage de la socit (exemple : modification de page Web), Une intrusion en vue dattaque par rebond c'est--dire quune autre cible est vise, le systme servant de point de passage . Ce point est alors complice involontaire du piratage. Tout ce qui porte atteinte la confidentialit des informations : La rcupration dinformations sensibles (mot de passe, donnes financires avant publications, donnes personnelles,), La fouille de messages, des donnes, des rpertoires, des ressources rseaux, Lusurpation didentit. Tout ce qui porte atteinte la disponibilit des services La paralysie du systme (considr ensuite comme un exploit par les pirates qui lont ralis), La saturation dune ressource (serveur, imprimante, ) Les virus et vers informatiques 3-Attaquants:13 Les motifs de lagresseur sont nombreux et varis ; ils voluent dans le temps. Il nest pas possible de dresser une liste exhaustive des motivations des criminels en col blanc mais quelques exemples permettront de saisir la personnalit de quelques uns dentre eux. Les actes intentionnels, qui nous intressent ici, comprennent : lespionnage, lappt du gain, la fraude, le vol, le piratage, le dfi intellectuel, la vengeance, le chantage, lextorsion de fonds. Cette liste peut tre complte par celles inhrentes aux actes non intentionnels mais qui constituent une menace pour le systme dinformation savoir la curiosit, lennui, la paresse, lignorance, lincomptence, lintention, Bien quil ny ait pas de portrait robot de lattaquant, quelques enqutes ont montr que les criminels en informatique taient majoritairement des hommes ayant un travail peu gratifiant mais avec dimportantes responsabilits et un accs des informations sensibles. Lavidit et lappt du gain sont les motifs principaux de leurs actes, mais il apparat que les problmes personnels ainsi que lego jouent un rle primordial en influant sur le comportement social.

13

CLUSIF _ Menaces informatiques et pratiques de scurit en France _ Edition CLUSIF _ 2010 p 45

25

La scurit du systme dinformation : Les enjeux de lexpert comptable

4-Technique dattaques: Tout logiciel comporte des bogues dont certains sont des trous de scurit, des anomalies qui permettent de violer le systme sur lequel tourne le programme. Si cest un programme dapplication rseau, ces trous peuvent tre exploits distance via Internet. Les pirates recherchent systmatiquement les sites mal administrs en procdant un balayage de linternet avec des programmes appels scan . Ces programmes dcouvrent distance toutes les stations du rseau local et testent la prsence de vielles versions des logiciels rseau sur ces stations avec des trous de scurit connus. Les vielles versions de sendmail , le serveur de courriers lectroniques sont les plus tests. Une fois le site mal administr est repr, lexploitation des vulnrabilits est la porte de nimporte quel malfrat : on trouve sur internet des sites proposant des programmes tout prts accompagns de toutes les explications dtailles pour pntrer les systmes utilisant les trous de scurit connus. 14 Des mthodes essentiellement des programmes sont trs connues pour perturber fortement les systmes et les rseaux pour: Bloquer un systme (par exemple en ouvrant distance un grand nombre de connexions en mettant certains messages, pings longs ), Surcharger la liaison daccs lInternet dun site (jusqu le bloquer) en envoyant des messages (echo broadcast) auxquels toutes les stations locales rpondent engendrant ainsi un surcrot de trafic trs volumineux. Un autre type de dlit consiste utiliser le serveur de messagerie dun site pour envoyer des messages souvent publicitaires un grand nombre de destinataires, en cachant son identit. Ce site sert alors de relais et sans avoir donn son nom apparat dans lorigine des messages. Cette attaque bloque la messagerie du site utilis son insu, surcharge des files dattente dans le serveur et nuit limage de lentreprise. Cela engendre des centaines de messages de protestation provenant des victimes de ces publicits et peut provoquer la mise en cause de la responsabilit de lentreprise. Cette utilisation dtourne est en trs forte hausse ces derniers temps, du fait de la facilit de sa mise en uvre et de lanonymat quelle assure. 15 Pour prendre le contrle dun systme, les agresseurs doivent commencer par sy introduire. Il faut donc que quelquun (ou quelque chose ) leur ouvre la porte : Un identificateur (mot de passe) a t prt ou rcupr (vol,), Un compte a t laiss labandon (sans mot de passe par exemple),

14 15

David Autissier, et Valrie Delaye _ Mesurer la performance du systme d'information _ Edition EYROLLES. _ 2008, p 39 FILIOL Eric, RICHARD Phillipe _ Cybercriminalit _ Edition DUNOD _ 2007 p 54

26

La scurit du systme dinformation : Les enjeux de lexpert comptable

Une application rseaux installe a t mal matrise (configuration mauvaise ou trop ouverte), Une ancienne version dun logiciel dont les failles de scurit ont t publies est encore en service sur une machine, Un logiciel install en mode debug , ce mode ouvre bant un trou de scurit, Un utilisateur interne a aid volontairement lagresseur. Sous section 2: Les vulnrabilits:16 Un systme dinformations est compos de manire indissociable de personnels et de matriels, effectuant des traitements donns sur les informations, selon des rgles dorganisation prdfinies. Chacune de ces composantes possde intrinsquement des vulnrabilits, dont la connaissance est indispensable pour imaginer les parades ncessaires la rduction du risque quelles engendrent. Il est noter que le succs dune ncessite souvent lexploitation en srie de plusieurs vulnrabilits : lattaquant devra, par exemple, tirer parti dune faille de lorganisation du systme avant de pouvoir utiliser les vulnrabilits des traitements. 1-Logiciels et matriels: Les matriels utiliss par le systme sont techniquement vulnrables certains vnements, parmi lesquels il convient de citer : Mauvaise conception ou industrialisation des composants du systme, non- respect du cahier des charges, Perturbations dues la prsence dondes lectromagntiques dans le milieu ambiant (radars, radio,) Emission de signaux parasites compromettants par des matriels ne respectant par les normes dites TEMPEST17 , Des matriels (dispositifs denregistrement ou de rmission des donnes), Pigeage, Modification ou substitution des composants du systme, Incendie, destruction mcanique, inondation, Dfaillances de lalimentation lectrique, de la climatisation, Lorsque, parmi les traitements appliqus aux informations, des transferts ont lieu travers des lignes de tlcommunications, les vulnrabilits du systme sont bien videmment accrues.
Arturo Hernandez _ Scurit des systmes d'information des PME/PMI - Guide de ralisation d'un diagnostic stratgique _ Edition Arttesia _ 2009 p 61 17 TEMPEST est lacronyme officiel de Telecommunications Electronic Material Protected from Emanating Spurious Transmissions. Il dsigne les techniques et les contre-mesures de scurit ainsi que les standards visant protger ou masquer les signaux et ayonnements lectromagntiques mis par les appareils lectriques, y compris les ordinateurs.
16

27

La scurit du systme dinformation : Les enjeux de lexpert comptable

Suivant le type de support utilis, elles peuvent tre quelque peu diffrentes, mais certaines sont constantes et existent encore: Ecoute sur la ligne de tlcommunication, Rejeu dinformations dj transmises, Brouillage ou saturation de la ligne de tlcommunication, Intrusion active par usurpation didentit du destinataire ou de lexpditeur dinformations, Destruction physique ou logique de la ligne de transmission. 2-Personnels :18 Les matriels et logiciels de scurit aussi sophistiqus soient-ils, ne font qucarter la menace extrieure, mais nullement les malveillances internes. Car ce sont bien des employs ou partenaires peu scrupuleux qumane le danger le plus srieux pour les ressources stratgiques de lentreprise, bien souvent concentres dans quelques silos dinformations mal protgs.19 Un systme dinformation est toujours servi par des hommes et pour des hommes. Que ceuxci aient accs aux informations pour les crer, les manipuler, les dtruire, ou au systme pour le concevoir, permettre son exploitation, lutiliser, ils prsentent tous un risque potentiel lev. Outre les erreurs involontaires quils peuvent galement se prter des actions de malveillance, soit de leur propre fait, soit suite une incitation extrieure, leurs faiblesses naturelles pouvant tre mises profit par un agresseur ventuel. On peut, dans ce cadre, citer : Les erreurs commises par excs de routine, le laxisme, la fatigue, le manque de conscience professionnelle ou de formation. Ces erreurs peuvent intervenir lors de la conception du systme ou pendant sa phase oprationnelle, La divulgation dinformations sensibles ou de renseignements sur le systme par bavardage inconsidr, vantardise, provocation, au cours de runions professionnelles, familiales, , ou par des personnels licencis ou dmissionnaires, Les actions diverses entreprises sous la pression (menaces, chantage,), par idologie politique ou volont de nuire, sous leffet de produits divers (alcool, drogues,), Les perturbations diverses en cas de mouvements sociaux 3-Structurels: La structure et les procdures de tous ordres qui existent dans lorganisme abritant le systme ont une influence directe sur celui-ci. Des dficiences en ce domaine peuvent entrainer des

18

Arturo Hernandez _ Scurit des systmes d'information des PME/PMI - Guide de ralisation d'un diagnostic stratgique _ Edition Arttesia _ 2009 p 81 19 Michelle Gillet, et Patrick Gillet _ SIRH : Systme d'information des ressources humaines _ Edition DUNOD _ 2010 p 43

28

La scurit du systme dinformation : Les enjeux de lexpert comptable

dfauts de fonctionnement du systme et des fautes exploitables par un agresseur ventuel, nous citerons: La mauvaise connaissance des textes lgaux ou rglementaire en vigueur, Labsence de rfrences hirarchiques dfinies, Lextension abusive des privilges, par laxisme ou complaisance, allant au-del du besoin den connaitre Les procdures inefficaces ou inapplicables, Les pertes de comptences ou de savoir-faire, suite au dpart de personnels cumulant diverses fonctions stratgiques . Sous section 3: Les consquences en rsultant: La dernire phase du scnario de sinistre est celle o lentreprise va, dune part constater le sinistre et les dgts correspondants, et dautre part, entreprendre des actions pour revenir son tat dorigine et retrouver un fonctionnement habituel. Tout ceci va entraner des impacts de diffrentes natures.20 1- Impacts internes: Les impacts internes sont souvent faciles identifier et valuer. Nous pouvons citer : Les pertes de fonds, Les pertes de valeurs lies des immobilisations: btiment et locaux, matriels informatiques et pri-informatiques, armoires gaines et cbles, tlcommunications, climatisation, nergie, stocks et autres immobilisations, y compris immatrielles, Les pertes de valeurs lies aux petits matriels, micros et quipements de bureaux et les fournitures diverses, Les pertes de valeurs lies aux supports et leur contenu : bandes, disquettes, listings, Arrts de lactivit provisoire ou dfinitive, Le cas chant, les pertes humaines. 1-Impacts externes : Les impacts externes sont souvent plus difficiles identifier et valuer. Nous pouvons citer nanmoins :21 La perte dimage de marque due la notorit du sinistre, La perte de confiance des partenaires,
20

Arnaud Deslandes, J-C Grosjean, Mdric Morel, et Guillaume Plouin _ Le poste de travail Web : Portail d'entreprise et accs au systme d'information _ Edition DUNOD _ 2010 p 81 21 Arnaud Deslandes, J-C Grosjean, Mdric Morel, et Guillaume Plouin _ Le poste de travail Web : Portail d'entreprise et accs au systme d'information _ Edition DUNOD _ 2010 p 87

29

La scurit du systme dinformation : Les enjeux de lexpert comptable

La perte de parts de marchs avec les clients pendant le temps du sinistre, La perte de comptitivit, Les prjudices, pertes ou surcots causs des tiers du fait dun sinistre dans lentreprise. 2-Rpercussions financires : Il sagit l des frais de toute nature que lentreprise va devoir engager pour remdier aux dtriorations subies par ses ressources ; Il sagit donc de rparer ou de reconstruire les ressources matrielles, de reconstituer les bases de donnes, les fichiers de donnes ou les informations, ou de corriger les programmes. Les pertes sont les suivants : Les frais de ressaisie ou de reconstitution dinformations perdues, dtruites ou dgrades, Les cots directs de rparation, sils ne sont pas couverts par un contrat de maintenance, Les frais directs aprs sinistre (dlaiement,), Les pertes dexploitation dues des dcalages de chiffre daffaires ou de dpenses, Les pertes dexploitation dues des pertes daffaires, de clientles ou de parts de march, Les pertes dexploitation induites (paiement dheures supplmentaires, de sous-traitance, dintrimaires), Les frais supplmentaires lis la poursuite de lactivit, occasionns par le mode dactivit dgrade, ou le passage en fonctionnement de secours : paiement dheures supplmentaires, de sous-traitance, dintrimaires, de frais de transport et de convoyage, cots dusage dautres matriels ou logiciels (secours), Les frais supplmentaires pour restaurer la situation antrieure ou une situation stable acceptable, Les cots extraordinaires (location de matriels, de locaux, frais dexpertises). Avant de clore le bilan du sinistre, il reste encore une action faire pour minimiser le prjudice subi : il sagit en effet de rcuprer une partie des pertes sur des tiers, en en recourant ventuellement lassurance ou lagresseur, action pnale. Le bilan final que lon pourra alors faire du sinistre donnera les pertes rsiduelles. Section 3 : Les types des attaques et des agressions : Sous section 1: Les familles des attaques:22 Les hackers23 utilisent plusieurs techniques d'attaques. Ces attaques peuvent tre regroupes en trois familles diffrentes : Les attaques directes,
22 23

http://www.securiteinfo.com/attaques/hacking/typesattaques.shtml Hacker: Synonyme de Cyber-terroriste ou pirate. Personne ayant de bonnes connaissances informatiques dont lobjectif est de concevoir des virus ou de pntrer dans les systmes dinformation des entreprises, des administrations,

30

La scurit du systme dinformation : Les enjeux de lexpert comptable

Les attaques indirectes par rebond, Les attaques indirectes par rponse. a- Les attaques directes: C'est la plus simple des attaques. Le hacker attaque directement sa victime partir de son ordinateur. La plupart des "script kiddies24" utilisent cette technique. En effet, les programmes de hack qu'ils utilisent ne sont que faiblement paramtrables, et un grand nombre de ces logiciels envoient directement les packets la victime. b- Les attaques indirectes par rebond: Cette attaque est trs prise des hackers. En effet, le rebond a deux avantages : Masquer l'identit (l'adresse IP25) du hacker. Eventuellement, utiliser les ressources de l'ordinateur intermdiaire car il est plus puissant (CPU26, bande passante...) pour attaquer. Le principe en lui mme, est simple : Les packets d'attaque sont envoys l'ordinateur intermdiaire, qui rpercute l'attaque vers la victime. D'o le terme de rebond. c- Les attaques indirectes par rponse : Cette attaque est un driv de l'attaque par rebond. Elle offre les mmes avantages, du point de vue du hacker. Mais au lieu d'envoyer une attaque l'ordinateur intermdiaire pour qu'il la rpercute, l'attaquant va lui envoyer une requte. Et c'est cette rponse la requte qui va tre envoye lordinateur victime. Sous section 2: Attaques sur les mots de passe: Les mots de passe constituent des lments cls de lutilisation des systmes informatiques, en limitant laccs aux seules personnes autorises. Ces cls doivent tre protges contre les tentatives de dtection des mots de passe. Notons, cet effet, les deux mthodes suivantes: L'attaque par dictionnaire : le mot de passe est test dans une liste prdfinie contenant les mots de passe les plus courants et aussi des variantes de ceux-ci ( lenvers, avec un chiffre la fin, etc.). Ces listes sont gnralement dans les langues les plus utilises, elles contiennent des mots existants ou des diminutifs.

24 25

Script kiddies : ce sont des pirates informatiques LInternet Protocol, gnralement abrg IP, est un protocole de communication de rseaux informatiques. IP est le protocole d'Internet. 26 Le processeur, ou CPU (de l'anglais Central Processing Unit, Unit centrale de traitement ), est le composant de l'ordinateur qui excute les programmes informatiques. Avec la mmoire notamment, c'est l'un des composants qui existent depuis les premiers ordinateurs et qui sont prsents dans tous les ordinateurs. Un processeur construit en un seul circuit intgr est un microprocesseur.

31

La scurit du systme dinformation : Les enjeux de lexpert comptable

Lattaque par force brute : toutes les possibilits sont exploites dans lordre jusqu trouver la bonne solution, par exemple de AAAAAA jusqu' ZZZZZZ, pour un mot de passe compos strictement de six caractres alphabtiques. Sous section 3: Programmes malveillants: Un programme malveillant (malware en anglais) est un logiciel dvelopp dans le but de nuire un systme informatique27. Il en est ainsi des programmes suivants: Le virus: programme capable de sincruster dans dautres programmes, toute utilisation des programmes infects dclenche la recopie de virus. La propagation du virus se fait par lutilisation dun support physique infect ou travers les rseaux informatiques; Le ver (Worm en anglais) : programme qui se duplique lui-mme en installant des copies de lui-mme sur dautres machines travers un rseau; Le cheval de Troie (Trojan en anglais) : programme apparence lgitime qui excute des routines nuisibles sans l'autorisation de l'utilisateur; il permet de crer artificiellement une faille de scurit dans les systmes facilitant lintrusion de pirates ou de virus; La porte drobe (Backdoor en anglais) : programme visant dtourner les fonctionnalits dun service ou dun systme en ouvrant des canaux daccs masqus; Le logiciel espion (spyware en anglais) : logiciel ou partie de logiciel dont le but est de collecter des informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et de les envoyer son insu lditeur du logiciel. Sous section 4 : Attaques par messagerie: En dehors des nombreux programmes malveillants qui se propagent par la messagerie lectronique, il existe des attaques spcifiques celle-ci. Nous pouvons citer dans ce cadre:28 Le pourriel (spam en anglais) : un courrier lectronique non sollicit, la plupart du temps de la publicit, encombrant le rseau, et faisant perdre du temps ses destinataires ; L'hameonnage (phishing en anglais) : un courrier lectronique dont l'expditeur se fait gnralement passer pour un organisme financier et demandant au destinataire de lui fournir des informations confidentielles ; Le canular informatique (hoax en anglais) : un courrier lectronique qui incite l'utilisateur effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prtendument li un virus par exemple).

27 28

Patrick Boulet _ Plan de continuit d'activit : Secours du systme d'information _ Edition Lavoisier _ 2008 p 52 BLOCH Laurent, WOLFHUGEL Christophe _ Scurit informatique, principe et mthode _ Edition EYROLLES. _ 2007 p 48

32

La scurit du systme dinformation : Les enjeux de lexpert comptable

Sous section 5: Les attaques sur le rseau: Sont prsents dans ce paragraphe les principales techniques d'attaques qui visent nuire la scurit de tout le rseau informatique et non seulement celle dun poste de travail isol: Le sniffing : un logiciel sniffer permet de rcuprer toutes les informations transitant sur un rseau tels que les mots de passe des applications, lidentification des machines qui communiquent sur un rseau ; La mystification (en Anglais spoofing) : technique consistant prendre l'identit d'une autre personne ou d'une autre machine pour rcuprer des informations sensibles, que l'on ne pourrait pas avoir autrement ; Le dni de service : Le "Distributed Denial of Service" (DDoS) consiste rendre une ressource inaccessible par saturation ou par destruction. Cette attaque est souvent ralise par un envoi massif de requtes; il sagit dune technique qui vise gnrer des arrts de service et dempcher ainsi le bon fonctionnement dun systme. Section 4 : Les systmes de dtection des intrusions29 Afin de dtecter les attaques que peut subir un systme, il est ncessaire davoir un logiciel spcialis dont le rle serait de surveiller les donnes qui transitent sur ce systme et qui serait capable de ragir si des donnes semblent suspectes. Plus communment appels IDS (Intrusion Detection Systems), les systmes de dtection dintrusions conviennent parfaitement la ralisation de cette tche.30 A lorigine, les premiers systmes de dtection dintrusions ont t initis par larme amricaine, puis par des entreprises. Plus tard, des projets open-source ont t lancs et certains furent couronns de succs, comme par exemple Snort et Prelude que nous dtaillerons ultrieurement. Parmi les solutions commerciales, on retrouve les produits des entreprises spcialises en scurit informatique telles quInternet Security Systems, Symantec, Cisco Systems, Sous section 1: Les diffrents types d'IDS31: Comme nous lavons vu, les attaques utilises par les pirates sont trs varies. Certaines utilisent des failles rseaux et dautres des failles de programmation. Nous pouvons donc facilement comprendre que la dtection dintrusions doit se faire plusieurs niveaux. Ainsi, il existe diffrents types dIDS dont nous dtaillons ci-dessous les caractristiques principales.
29
30

Les systmes de dtection d'intrusions, http://dbprog.developpez.com, http://krierjon.developpez.com

Claudine CHASSAGNE _ Manager un systeme d'information - guide pratique du dsi _ Edition Territorial _ 2009 p 31 31 http://fr.wikipedia.org/wiki/Syst%C3%A8me_de_d%C3%A9tection_d'intrusion

33

La scurit du systme dinformation : Les enjeux de lexpert comptable

1-Les systmes de dtection dintrusions (IDS):32 Dfinition : Ensemble de composants logiciels et matriels dont la fonction principale est de dtecter et danalyser toute tentative deffraction. Fonctions : Dtection des techniques de sondage (balayages de ports, fingerprinting), des tentatives de compromission de systmes, dactivits suspectes internes, des activits virales ou encore audit des fichiers de journaux (logs). Il sagit dun systme capable de dtecter tout type dattaque. Certains termes sont souvent employs quand on parle dIDS : Faux positif: une alerte provenant dun IDS mais qui ne correspond pas une attaque relle, Faux ngatif: une intrusion relle qui na pas t dtecte par lIDS. 1.1- Les systmes de dtection dintrusions rseaux (NIDS): Objectif : Analyser de manire passive les flux en transit sur le rseau et dtecter les intrusions en temps rel. Les NIDS tant les IDS les plus intressants et les plus utiles du fait de lomniprsence des rseaux dans notre vie quotidienne; Ce document se concentrera essentiellement sur ce type dIDS. 1.2- Les systmes de dtection dintrusions de type hte (HIDS): Un HIDS se base sur une machine unique; Lanalyse ne porte plus cette fois sur le trafic rseau, mais sur lactivit se passant sur cette machine. Il analyse en temps rel les flux relatifs une machine ainsi que les journaux. Un HIDS a besoin dun systme sain pour vrifier lintgrit des donnes. Si le systme a t compromis par un pirate, le HIDS ne sera plus efficace. Pour parer ces attaques, il existe des KIDS (Kernel Intrusion Detection System) et KIPS (Kernel Intrusion Prevention System) qui sont fortement lis au noyau. Ces types dIDS sont dcrits un peu plus loin. 1.3- Les systmes de dtection dintrusions hybrides : Gnralement utiliss dans un environnement dcentralis, ils permettent de runir les informations de diverses sondes places sur le rseau. Leur appellation hybride provient du fait quils sont capables de runir aussi bien des informations provenant dun systme HIDS que dun NIDS.

32

David Burgermeister, Jonathan Krier _ Les systmes de dtection d'intrusions _ Edition Developpez.com _ 2006 p 12

34

La scurit du systme dinformation : Les enjeux de lexpert comptable

1.4- Les systmes de prvention dintrusions (IPS 33): Ensemble de composants logiciels et matriels dont la fonction principale est dempcher toute activit suspecte dtecte au sein dun systme. 1.5- Les systmes de prvention et dintrusions Kernel34 (KIDS/KIPS): Un systme de prvention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spcialistes en scurit des systmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il dtecte un balayage automatis, les IPS peuvent bloquer les ports automatiquement. Ils peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables 100% et risquent mme en cas de faux positif de bloquer du trafic lgitime. 1.6- Les firewalls:35 Les firewalls ne sont pas des IDS proprement parler, mais ils permettent galement de stopper des attaques. Nous ne pouvions donc pas les ignorer. Les firewalls sont bass sur des rgles statiques afin de contrler laccs des flux. Ils travaillent en gnral au niveau des couches basses du modle OSI 36 (jusquau niveau 4), ce qui est insuffisant pour stopper une intrusion. Par exemple, lors de lexploitation dune faille dun serveur Web, le flux HTTP37 sera autoris par le firewall puisquil nest pas capable de vrifier ce que contiennent les paquets. Il existe trois types de firewalls : Les systmes filtrage de paquets sans tat : analyse les paquets les uns aprs les autres, de manire totalement indpendante. Les systmes maintien dtat (stateful) : vrifient que les paquets appartiennent une session rgulire. Ce type de firewall possde une table dtats o est stock un suivi de chaque connexion tablie, ce qui permet au firewall de prendre des dcisions adaptes la situation. Ces firewalls peuvent cependant tre outrepasss en faisant croire que les paquets appartiennent une session dj tablie.
Un systme de prvention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spcialistes en scurit des systmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. 34 Un noyau de systme dexploitation, ou simplement noyau, ou kernel (de l'anglais), est la partie fondamentale de certains systmes dexploitation. Il gre les ressources de lordinateur et permet aux diffrents composants matriels et logiciels de communiquer entre eux. http://fr.wikipedia.org/wiki/Noyau_de_syst%C3%A8me_d'exploitation 35 Les systmes de dtection d'intrusions ; David Burgermeister, Jonathan Krier 2006 (Dvelopper.com) p 15 36 Le modle OSI (de l'anglais Open Systems Interconnection, Interconnexion de systmes ouverts ) d'interconnexion en rseau des systmes ouverts est un modle de communications entre ordinateurs propos par l'ISO (Organisation internationale de normalisation). Il dcrit les fonctionnalits ncessaires la communication et l'organisation de ces fonctions. 37 L'HyperText Transfer Protocol, plus connu sous l'abrviation HTTP, littralement le protocole de transfert hypertexte , est un protocole de communicationclient-serveur dvelopp pour le World Wide Web. HTTPS (avec S pour secured, soit scuris ) est la variante du HTTP scurise par l'usage desprotocoles SSL ou TLS.
33

35

La scurit du systme dinformation : Les enjeux de lexpert comptable

Les firewalls de type proxy : Le firewall sintercale dans la session et analyse linformation afin de vrifier que les changes protocolaires sont conformes aux normes. 1.7- Les technologies complmentaires Les scanners de vulnrabilits : systmes dont la fonction est dnumrer les vulnrabilits prsentes sur un systme. Ces programmes utilisent une base de vulnrabilits connues (exemple : Nessus). Les systmes de leurre : le but est de ralentir la progression dun attaquant, en gnrant des fausses rponses telle que renvoyer une fausse bannire du serveur Web utilis. Les systmes de leurre et dtude (Honeypots) : le pirate est galement leurr, mais en plus, toutes ses actions sont enregistres. Elles seront ensuite tudies afin de connatre les mcanismes dintrusion utiliss par le hacker. Il sera ainsi plus facile doffrir des protections par la suite. Les systmes de corrlation et de gestion des intrusions (SIM Security Information Manager) : centralisent et corrlent les informations de scurit provenant de plusieurs sources (IDS, firewalls, routeurs, applications, ). Les alertes sont ainsi plus faciles analyser. Les systmes distribus tolrance dintrusion : linformation sensible est rpartie plusieurs endroits gographiques mais des copies de fragments sont archives sur diffrents sites pour assurer la disponibilit de linformation. Cependant, si un pirate arrive sintroduire sur le systme, il naura quune petite partie de linformation et celle-ci lui sera inutile. Sous section 2: Les mthodes de dtection: Pour bien grer un systme de dtection dintrusions, il est important de comprendre comment celui-ci fonctionne. Une question simple se pose alors : comment une intrusion est-elle dtecte par un tel systme ? Quel critre diffrencie un flux contenant une attaque dun flux normal ? Ces questions nous ont amens tudier le fonctionnement interne dun IDS. De l, nous en avons dduit deux techniques mises en place dans la dtection dattaques. La premire consiste dtecter des signatures dattaques connues dans les paquets circulant sur le rseau. La seconde, consiste quant elle, dtecter une activit suspecte dans le comportement de lutilisateur.38

38

Chantal Morley _ Management d'un Projet Systeme d'Information - Principes, techniques, mise en oeuvre et outils _ Edition DUNOD _ 2008 p 131

36

La scurit du systme dinformation : Les enjeux de lexpert comptable

Ces deux techniques, aussi diffrentes soient-elles, peuvent tre combines au sein dun mme systme afin daccrotre la scurit. Conclusion: Pour un systme dinformation donn, la menace nest unique mais le plus souvent composite du fait de la diversit des systmes et des informations gres. Il en va de mme pour les attaques. Un agresseur utilisera gnralement plusieurs techniques, ou des combinaisons, pour arriver ses fins en exploitant les vulnrabilits dun systme dinformation. De son ct, le dfenseur doit tre capable de dterminer ce quil veut protger et contre qui. Connaissant ses propres vulnrabilits, une analyse de risque lui permettra didentifier les scnarios dattaques ralistes et par consquent, de mettre en place les parades ncessaires la protection de ses informations.

37

La scurit du systme dinformation : Les enjeux de lexpert comptable

Chapitre 2 : Les mthodes dvaluation du risque


Introduction: Plusieurs sont les mthodes qui permettent de fournir une valuation globale de la scurit et des risques informatiques au sein de lentreprise. Dans ce qui suit, nous allons exposer cinq mthodes dvaluation de risques les plus utilises. Section 1: Le management du risque: Sous section 1: Dfinition du Risque: En fait, il y a deux approches destimation du niveau de risque39: Quantitative : cette mthode exprime le risque en termes financiers et de frquence. Qualitative : cette mthode exprime le risque en termes dimpact potentiel et de probabilit de survenance. De point de vue quantitatif, il existe une quation reine qui dfinit la notion de risque comme suit : Risque = Vulnrabilit * Menace * Impact. Dautre part, le concept de risque peut tre exprim ainsi: Menaces*Vulnrabilits Risque = * impact. Contres mesures Les menaces dsignent l'ensemble des lments pouvant atteindre les ressources d'une

organisation. Elles peuvent tre intentionnelles ou accidentelles. Les vulnrabilits expriment toutes les faiblesses des ressources qui pourraient tre exploites par des menaces, dans le but de les compromettre. L'impact est le rsultat de l'exploitation d'une vulnrabilit par une menace et peut prendre diffrentes formes : perte financire, affectation de l'image de marque, perte de crdibilit...etc. Les contre-mesures : se sont les mesures et les dispositifs de scurit mises en place afin dattnuer le niveau de risque un niveau rsiduel. La combinaison des ces lments fonde la notion de risque, qui permet notamment de mesurer l'impact financier et la probabilit de survenance d'un vnement indsirable40. En ce qui concerne lapproche qualitative, la notion de risque peut tre exprime par une valuation probabiliste 41: Risque = Pa*(1-Pi)*C.
39 40

Thierry RAMARAD _ Quelle mthode danalyse des risques ? Panorama des solutions et mthodes _ Edition DUNOD _ 2005 p 89 Jean-Philipe Jouas et Albert Harari _ Le Risque Informatique 2SI-scurit des systmes dinformation _ Edition Arttesia _ 1999 p 73

38

La scurit du systme dinformation : Les enjeux de lexpert comptable

Pa : probabilit de lattaque. Pi : efficacit des contre-mesures C : consquences de la perte de la ressource considre. Sous section 2: Identification, valuation et Management de risque : En effet, toute unit doit tre en mesure didentifier, dvaluer limpact et de grer dune manire convenable les risques auxquels elle est expose. Identification des risques : Lidentification des risques, cest tre capable de recenser avec une manire aussi exhaustive que possible les risques associs un systme dinformation42. valuation des risques : Cest un processus qui combine lidentification des ressources ou des biens vitaux de lentreprise, leur valorisation et la dtermination des risques de violation de scurit43. Management de risque: Cest une approche systmique permettant de dterminer les mesures de scurit appropries pour lentreprise. Il sagit, en fait, de savoir comment rsoudre les problmes de scurit, quel endroit les rsoudre, quels types et niveaux de contrles de scurit faut-il appliquer, ce qui ncessite une prparation adquate et minutieuse44 Sous section 3: Les mthodes de management de risque : Il convient, ce niveau, de faire un aperu historique et de prsenter les principales mthodes dvaluation et de management de risque. 1- Gense des mthodes de management de risque: Dans les annes 80 90, il y a eu lapparition des mthodes Marion issues du Clusif et Melisa destines lvaluation des risques des centraux (mainframes) et de leur environnement. En raison du fait que les rseaux taient bass sur des protocoles propritaires, la scurit tait rserve aux trs grandes entreprises et administrations. 45 Par la suite, il y a eu lmergence des mthodes actuelles comme (Mehari, Ebios, Octave, Cobit, Cramm) qui font la distinction entre la notion dactifs informationnels de lorganisation et les vulnrabilits techniques. Cependant, la plupart reste oriente aux grandes entreprises 46.

41 42

Nicolas Dube _ Analyse des risques scurit SI _ Edition Economica _ 2001 p 42 Jean-Franois Carpentier _ La gouvernance du Systme d'Information dans les PME - Pratiques et volutions _ Edition ENI _ 2010 p 73 43 Jean-Franois Carpentier _ La gouvernance du Systme d'Information dans les PME - Pratiques et volutions _ Edition ENI _ 2010 p 75 44 Jean-Franois Carpentier _ La gouvernance du Systme d'Information dans les PME - Pratiques et volutions _ Edition ENI _ 2010 P 78 45 Frdric Georgel, et Thierry Chamfrault _ IT gouvernance : Management stratgique d'un systme d'information _ Edition DUNOD _ 2009 p 98 46 Yosecure Scurit de linformation et gestion des risques informatique , 2002.

39

La scurit du systme dinformation : Les enjeux de lexpert comptable

La mthode Octave existe dans une dclinaison pour petites entreprises (infrieur 100 personnes). En effet, avec le dploiement des systmes dinformation sophistiqus et louverture croissante des rseaux, les entreprises sont exposes aux multiples dangers, et ce quelque soit la taille ou lactivit. De ce fait, tous les organismes sont concerns par lvaluation de risques et la mise en place des dispositifs de scurit47. Dautre part, la norme ISO 27 002 qui peut intresser toutes les entits, quelque soit leur secteur, propose une valuation de risques, sans pour autant imposer une mthode concrte pour identifier, grer et rduire les risques. Le tableau ci-dessous prsente un aperu historique sur les mthodes les plus connues48.
Ltat du march Mthode COBIT Control Objectives for Information and related Technology Angleterre (ISACA) Aperu -Dveloppe depuis 1996

- Compatible avec ISO 27 002 - Langue Anglaise - Cible : Grandes entreprises. - Dveloppe depuis 1980 MARION - Langue Franaise Angleterre Mthodes issues (CLUSIF) - Cible : Grandes entreprises & PME-PMI. du monde associatif - Dveloppe depuis 1995 - les bases de connaissances a 500$ MEHARI - Logiciel RISICARE (Socit BUC SA)Mthode Harmonise d'Analyse de Risques 9200$ France - Compatible avec ISO 27 002 (CLUSIF) - Langue Franaise - Cible : Grandes entreprises & PME-PMI - Dveloppe depuis 1995 EBIOS - Logiciel EBIOS disponible gratuitement Expression des Besoins et Identification Mthodes - Compatible avec ISO 27 002 gouvernementales des Objectifs de Scurit France ou dEtats - Langue Franaise (DCSSI) - Cible : Grandes entreprises.

47 48

Olivier. Luxereau ISO 17799/IEC la scurit et la norme linformatique professionnelle n 220, Janvier 2004. Thierry RAMARAD Quelle mthode danalyse des risques ? Panorama des solutions et mthodes DAgeris Consulting, Paris, Mai 2005

40

La scurit du systme dinformation : Les enjeux de lexpert comptable

2- Prsentation des mthodes de management de risque : En effet, il y a un panorama de techniques, une panoplie de solutions et une varit de mthodes permettant de mettre en vidence les risques relatifs la scurit du systme dinformation. Chaque mthode danalyse des risques est un outil de management, de sensibilisation et de pilotage, qui a pour objectif de cartographier lensemble des risques pesant sur lentreprise afin de prendre les dcisions stratgiques adaptes 49. Par abus de marketing, ces mthodes sont communment appeles mthodes daudit, Cependant, il sagit des mthodes dvaluation des risques qui peuvent soutenir la dmarche daudit en tant quindicateur de gestion rigoureuse de risque. Plusieurs sont les mthodes qui permettent de fournir une valuation globale de la scurit des systmes dinformation au sein de lentreprise. Dans ce qui suit, nous allons exposer cinq mthodes dvaluation de risques, tout en signalant que lvaluation numrique du risque informatique ne relve pas des diligences requises au cours dune mission daudit de la scurit informatique. Section 2: Control Objectives for Information and Technology: COBIT50 Le COBIT est une mthode publie par l'ISACA51 aux Etats-Unis et traduite par lassociation franaise daudit et de conseil informatique (AFAI). Le COBIT permet de comprendre et de grer les risques lis aux technologies de linformation. Pour ce faire, il retient quatre domaines fonctionnels : la planification et lorganisation, lacquisition, la distribution, le support et la surveillance. Il dcoupe ces domaines en 34 processus; pour chaque processus, il fournit un modle de maturit permettant d'apprcier le niveau sur une chelle de 0 (inexistant) 5 (optimis) et des facteurs cls de succs correspondant aux actions dployer pour lamliorer. Le guide de management ainsi constitu est orient vers laction pour : 1. Dterminer les contrles informatiques : quest ce qui est important ? 2. Sensibiliser: o est le risque ? 3. Comparer : que font les autres ? Cette mthode ne permet pas de quantifier les risques, mais elle prsente partir de lvaluation des 34 processus lis aux technologies de l'information par rapport aux meilleures pratiques, les lments et la dmarche ncessaires la mise en uvre de tableaux de bord

49 50

Thierry RAMARAD _ Quelle mthode danalyse des risques ? Panorama des solutions et mthodes _ Edition Economica _ 2005 p 61 Dominique Moisand, Fabrice Garnier de Labareyre, et Bruno Mnard Broch _ CobiT : Pour une meilleure gouvernance des systmes d'information _ Edition EYROLLES. _ 2010 p 83 51 ISACA: Information Systems Audit and Control Association www.isaca.org

41

La scurit du systme dinformation : Les enjeux de lexpert comptable

quilibrs. Cette mthode est davantage assimile une mthode de gouvernance des systmes dinformation. COBIT concourt la gouvernance des SI en aidant sassurer que: Les SI sont aligns sur le mtier de l'entreprise, Les SI apportent un plus au mtier, et maximisent ses rsultats, Les ressources des SI sont utilises de faon responsable, Les risques lis aux SI sont grs comme il convient.

Figure 2 : Organisation du rfrentiel Cobit52

52

DOMINIQUE MOISAND FABRICE GARNIERDEL ABAREYRE Prface de Didier Lambert Avec la collaboration de J.-M. Chabbal, T. Gasiorowski, F. Legger et L. Vakil _ Cobit, Pour une meilleure gouvernance des systmes dinformation _ Edition DUNOD _ 2009.

42

La scurit du systme dinformation : Les enjeux de lexpert comptable

COBIT retient 34 processus regroups en 4 domaines qui correspondent au cycle de vie des SI et leur matrise : Planifier et Organiser (10 processus), Acqurir et Implmenter (7 processus), Dlivrer et Supporter (13 processus), Surveiller et Evaluer (4 processus). Chaque processus met en uvre des ressources informatiques (applications, informations, infrastructures et personnes au sens comptences), fournit une information destine satisfaire les besoins mtiers exprims sous forme de critres (efficacit, efficience, confidentialit, intgrit, disponibilit, conformit, fiabilit) et concerne un ou plusieurs domaines de la gouvernance des systmes dinformation (alignement stratgique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance). Section 3: La mthode danalyse des risques informatiques oriente par niveau MARION :53 Marion Mthodologie d'Analyse de Risques Informatiques Oriente par Niveaux a t dveloppe par le CLUSIF dans les annes 1980 mais a t abandonne en 1998 au profit de la mthode Mehari. C'est une mthode d'audit de la scurit d'une entreprise, elle ne permet pas de mettre en uvre une politique de scurit en tant que telle. A base d'un questionnaire, elle donne une valuation chiffre du risque informatique. Marion repose sur l'valuation des aspects organisationnels et techniques de la scurit de l'entreprise auditer. Elle utilise 27 indicateurs classs en 6 thmatiques. Chaque indicateur se voit attribuer une note entre 0 (inscurit) et 4 (excellent), la valeur 3 indiquant une scurit correcte. Sous section 1: Thmatiques des indicateurs de la mthode Marion: Scurit organisationnelle Scurit physique Continuit Organisation informatique Scurit logique et exploitation Scurit des applications Sous section 2: Phases de la mthode Marion: La mthode se droule en 4 phases : 1. Prparation 2. Audit des vulnrabilits

53

Frantz Rowe, et Rolande Marciniak _ Systmes d'information, dynamique et organisation _ Edition Economica _ 2008 p 119

43

La scurit du systme dinformation : Les enjeux de lexpert comptable

3. Analyse des risques 4. Plan d'action La phase de prparation permet de dfinir les objectifs de scurit atteindre ainsi que le champ d'action de l'audit et le dcoupage fonctionnel du systme dinformation adopter pour simplifier la ralisation de l'tude. L'audit des vulnrabilits consiste rpondre aux questionnaires. Ces rponses donnes vont permettre de recenser les risques du systme dinformation et les contraintes de l'entreprise. A l'issu de cet audit, sont construits une rosace et un diagramme diffrentiel reprsentant respectivement la note attribue chacun des indicateurs et les facteurs de risques particulirement importants.

Figure 3 : Exemple de rosace Marion54

La rosace prsente dans un cercle la valeur de chacun des 27 indicateurs. Elle est un moyen de visualiser rapidement les points vulnrables du systme dinformation qui doivent tre mieux protgs.

Figure 4 : Exemple d'histogramme diffrentiel Marion55

54 55

http://cyberzoide.developpez.com/securite/methodes-analyse-risques/ http://cyberzoide.developpez.com/securite/methodes-analyse-risques/

44

La scurit du systme dinformation : Les enjeux de lexpert comptable

L'histogramme diffrentiel est construit avec des barres reprsentant l'loignement de chaque valeur d'indicateur la valeur de rfrence 3. Cet loignement est pondr avec l'importance donne au facteur mesur. Les indicateurs de valeur gale ou suprieure 3 ne sont pas reprsents. On visualise ainsi les vulnrabilits du SI en fonction de leurs criticits relatives. L'analyse des risques permet de classer les risques selon leurs criticits (en classes : Risques Majeurs et Risques Simples). Elle procde au dcoupage fonctionnel du systme dinformation pour une analyse dtaille des menaces, de leur impact respectif et de leur probabilit. La mthode Marion dfinit 17 types de menaces : Sous section 3: Types de menaces Marion:56 Accidents physiques Malveillance physique Carence du personnel Carence du prestataire Panne du SI Interruption de fonctionnement du rseau Erreur de saisie Erreur de transmission Erreur d'exploitation Erreur de conception / dveloppement Dtournement de fonds Dtournement de biens Vice cach d'un progiciel Copie illicite de logiciels Indiscrtion / dtournement d'information Sabotage immatriel Attaque logique du rseau Le plan d'action propose les solutions mettre en uvre pour lever la valeur des 27 indicateurs la valeur 3 (niveau de scurit satisfaisant) de l'audit des vulnrabilits et atteindre les objectifs fixs en prparation. Le cot de la mise niveau est valu et les tches raliser pour y parvenir sont ordonnances. Cette mthode par questionnaire est assez simple mettre uvre et est bien rode du fait de son ge. Son pouvoir de comparaison des entreprises audites est un plus indniable.

56

Frantz Rowe, et Rolande Marciniak _ Systmes d'information, dynamique et organisation _ Edition Economica _ 2008 p 142

45

La scurit du systme dinformation : Les enjeux de lexpert comptable

La mthode Mehari qui lui succde va plus loin en proposant la cration complte de la politique de scurit. Section 4: La Mthode Harmonise d'Analyse de Risques : MEHARI Mehari (MEthode Harmonise d'Analyse de RIsques) est dveloppe par le CLUSIF depuis 1995, elle est drive des mthodes Melisa et Marion. Existant en langue franaise et en anglais, elle est utilise par de nombreuses entreprises publiques ainsi que par le secteur priv. Le logiciel RISICARE dvelopp par la socit BUC SA est un outil de gestion des risques bas sur la mthode Mehari. 57 La dmarche gnrale de Mehari consiste en l'analyse des enjeux de scurit : quels sont les scnarios redouts ?, et en la classification pralable des entits du systme dinformation en fonction de trois critres de scurit de base: confidentialit, intgrit, disponibilit. Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activit de l'entreprise. Puis, des audits identifient les vulnrabilits du systme dinformation. Et enfin, l'analyse des risques proprement dite est ralise.

Figure 5 : Schma gnral de la mthode Mehari58

Mehari s'articule autour de 3 types de livrables : 1. Le Plan Stratgique de Scurit (PSS) 2. Les Plans Oprationnels de Scurit (POS) 3. Le Plan Oprationnel d'Entreprise (POE)

57

Franois-Xavier de Vaujany _ Les grandes approches thoriques du systme d'information de Franois-Xavier _ Edition Lavoisier _ 2009 p 93 58 http://cyberzoide.developpez.com/securite/methodes-analyse-risques/

46

La scurit du systme dinformation : Les enjeux de lexpert comptable

Le Plan Stratgique de Scurit fixe les objectifs de scurit ainsi que les mtriques permettant de les mesurer. C'est ce stade que le niveau de gravit des risques encourus par l'entreprise est valu. Il dfinit la politique de scurit ainsi que la charte d'utilisation du SI pour ses utilisateurs. Les Plans Oprationnels de Scurit dfinissent pour chaque site les mesures de scurit qui doivent tre mises en uvre. Pour cela, ils laborent des scnarios de compromission et auditent les services du systme dinformation. Sur la base de cet audit, une valuation de chaque risque (probabilit, impact) est ralise permettant par la suite d'exprimer les besoins de scurit, et par la mme les mesures de protection ncessaires. Enfin, une planification de la mise niveau de la scurit du systme dinformation est faite. Le Plan Oprationnel d'Entreprise assure le suivi de la scurit par l'laboration d'indicateurs sur les risques identifis et le choix des scnarios de catastrophe contre lesquels il faut se prmunir. Des bases de connaissances permettent d'automatiser certains calculs de gravit des scnarios de risques, proposent des liens entre menaces et parades... Mehari apporte une dmarche centre sur les besoins de continuit d'activit de l'entreprise et fournit des livrables types aids d'un guide mthodologie. Les audits qu'elle propose permettent la cration de plans d'actions concrtes. Cette mthode permet donc, de construire une politique de scurit destine pallier les vulnrabilits constates lors des audits du Plan Oprationnel de Scurit et d'atteindre le niveau de scurit correspondant aux objectifs fixs dans le Plan Stratgique de Scurit. Section 5: Expression des Besoins et Identification des Objectifs de Scurit : EBIOS59 EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) permet d'identifier les risques d'un SI et de proposer une politique de scurit adapte aux besoins de l'entreprise (ou d'une administration). Elle a t cre par la DCSSI (Direction Centrale de la Scurit des Systmes d'Information), du Ministrre de la Dfence (France). Elle est destine avant tout aux administrations franaises et aux entreprises.60 La mthode EBIOS se compose de cinq guides (Introduction, Dmarche, Techniques, Outillages) et d'un logiciel permettant de simplifier l'application de la mthodologie explicite dans ces guides. Le logiciel libre est gratuit (les sources sont disponibles) permet de simplifier l'application de la mthode et d'automatiser la cration des documents de synthse. La DCSSI
59 60

http://cyberzoide.developpez.com/securite/methodes-analyse-risques/ Franois-Xavier de Vaujany _ Les grandes approches thoriques du systme d'information de Franois-Xavier _ Edition Lavoisier _ 2009 p 132

47

La scurit du systme dinformation : Les enjeux de lexpert comptable

possde un centre de formation o sont organiss des stages destination des organismes publics franais. Un club d'utilisateurs EBIOS a t cr en 2003 et constitue une communaut dexperts permettant le partage des expriences. Une base de connaissances laquelle se connecte le logiciel EBIOS permet d'avoir un accs la description d'un ensemble de vulnrabilits spcifiques, de contraintes de scurit, de mthodes d'attaques. Elle peut tre enrichie via le logiciel. La mthode EBIOS est dcoupe en cinq tapes :61 1. Etude du contexte 2. Expression des besoins de scurit 3. Etude des menaces 4. Identification des objectifs de scurit 5. Dtermination des exigences de scurit

Figure 6 : Dmarche EBIOS globale62

L'tude du contexte permet d'identifier le systme d'information cible par l'tude. Cette tape dlimite le primtre de l'tude : prsentation de l'entreprise, architecture du systme d'information, contraintes techniques et rglementaires, enjeux commerciaux. Les quipements, les logiciels et l'organisation humaine de l'entreprise sont galement tudis. L'expression des besoins de scurit permet d'estimer les risques et de dfinir leurs critres. Les utilisateurs du systme dinformation expriment durant cette tape leurs besoins de scurit en fonction des impacts qu'ils jugent inacceptables. L'tude des menaces permet d'identifier les risques en fonction non plus des besoins des utilisateurs mais en fonction de l'architecture technique du systme d'information. Ainsi, la liste des vulnrabilits et des types d'attaques est dresse en fonction des matriels, de
61 62

Robert Reix _ Systmes d'information et management des organisations _ Edition Vuibert _ 2004 p 74

http://cyberzoide.developpez.com/securite/methodes-analyse-risques/

48

La scurit du systme dinformation : Les enjeux de lexpert comptable

l'architecture rseau et des logiciels employs et ce, quelles que soient leurs origines (humaine, matrielle, environnementale) et leur cause (accidentelle, dlibre). L'identification des objectifs de scurit confronte les besoins de scurit exprims et les menaces identifies afin de mettre en vidence les risques contre lesquels le systme dinformation doit tre protg. Ces objectifs vont former un cahier des charges de scurit qui traduira le choix fait sur le niveau de rsistance aux menaces en fonction des exigences de scurit. La dtermination des exigences de scurit permet de dterminer jusqu'o on devra aller dans les exigences de scurit. Il est vident qu'une entreprise ne peut faire face tout type de risques, certains doivent tre accepts afin que le cot de la protection ne soit pas exorbitant. C'est notamment la stratgie de gestion du risque tel que cela est dfini dans un plan de risque qui sera dtermin ici : accepter, rduire ou refuser un risque. Cette stratgie est dcide en fonction du cot des consquences du risque et de sa probabilit de survenance. La justification argumente de ces exigences donne l'assurance d'une juste valuation. EBIOS fournit donc, la mthode permettant de construire une politique de scurit en fonction d'une analyse des risques qui repose sur le contexte de l'entreprise et des vulnrabilits lies son systme dinformation. Section 6: Critres de choix entre les diffrentes mthodes Il existe de nombreuses mthodes d'analyse des risques, certaines sont simples utiliser. D'autres sont rserves des grands comptes du fait de leur complexit et des ressources humaines impliques. Il reste choisir la mthode qui s'applique le mieux chaque entreprise ou organisme public. Conclusion: Les mthodes dvaluation du risque du systme dinformation sont nombreuses, une identification claire des risques est ncessaire pour asseoir une politique de protection adquate et mettre en place en consquence les mesures qui simposent.

49

La scurit du systme dinformation : Les enjeux de lexpert comptable

Chapitre 3 : La scurit du systme dinformation


Introduction: La revue de la littrature relative au systme dinformation fait apparatre une certaine confusion qui saccentue davantage par laspect scuritaire, ce qui est du au fait que le concept de scurit du systme dinformation se prte la fois aux volets pratique, thorique, technique et organisationnel. En effet, le vocable scurit du systme dinformation peut veiller dans nos esprits deux types de raction fortement opposes. Pour certains, il sera synonyme de scurit du systme informatique, dordinateurs. Dautres y verront une notion abstraite amalgamant tous les mcanismes de gestion dune organisation63. Section 1: Dfinition, concepts et objectifs de la scurit du systme dinformation : Sous section 1 : Dfinition de la scurit : La scurit regroupe deux domaines fondamentaux quil convient de dissocier lun de lautre: La sret de fonctionnement (safety) : concerne lensemble des mesures prises et des moyens utiliss pour se prmunir contre les dysfonctionnements du systme 64. De ce fait, la sret est une combinaison de mthodes et de moyens mis en uvre pour viter les dfaillances naturelles dont les effets ont un caractre catastrophique. La scurit (security), proprement dite, regroupe tous les moyens et les mesures prises pour mettre le systme dinformation labri de toute agression 65. Il sagit donc de lensemble des mthodes et moyens mis en uvre pour se protger contre les dfaillances rsultant dune action intentionnelle. Brivement, la scurit permet de se protger des malveillances, alors que la sret permet de faire face aux incidents. Cependant, en pratique, la distinction nest pas aussi nette et le responsable de la scurit du systme dinformation (RSSI) est souvent confront aux deux aspects la fois66. De ce fait, au niveau de notre dmarche daudit, le concept de scurit est primordial.

63 64

Ziadi jameledine _ SI, TIC, ERP, vers une approche de e-management _ Centre de Publication Universitaire _ 2004 Servin Claud _ Rseaux et tlcoms _ Edition DUNOD _ 2003 65 Servin Claud _ Rseaux et tlcoms _ Edition DUNOD _ 2003 66 Longeon Robert _ Scurit des systmes dinformation, Sret de fonctionnement : Convergence et Divergence _ Atelier ssi _ 2004 p 33

50

La scurit du systme dinformation : Les enjeux de lexpert comptable

Sous section 2 : La scurit du systme dinformation (SSI) : La premire expression, de la SSI ne au milieu des annes 80, dsigne lensemble des techniques propres garantir les informations traites ou transmises par un systme dinformation, au sens large, en termes de confidentialit, dauthenticit, dintgrit et de disponibilit. La scurit du systme dinformation cest lart de combiner un ensemble de mesures prventives et curatives, la fois au plan technique et organisationnel, en vue de faire face aux menaces que lon aura pris soin, au pralable, didentifier et de hirarchiser 67. Lobjectif central de la scurit des systmes dinformation est de garantir quaucun prjudice ne puisse mettre en pril la prennit de lentreprise. Cela consiste diminuer la probabilit de voir des menaces se concrtiser, en limiter les atteintes ou dysfonctionnements induits en agissant sur les vulnrabilits des systmes, et autoriser le retour un fonctionnement normal en cas de sinistre des cots et dans des dlais acceptables. En fait, la scurit ne permet pas directement de gagner de largent mais vite den perdre. Ce nest rien quune stratgie prventive qui sinscrit dans une approche globale de la scurit de systme dinformation68. Section 2 : Les caractristiques de la scurit : Confidentialit, Intgrit et disponibilit. La scurit informatique peut tre dfinie comme tant lensemble de moyens de prvention et de dtection mis en place par une socit pour garantir un niveau de risque acceptable. Selon la norme ISO 2700269 la scurit du systme dinformation est ltat qui permet dassurer la disponibilit, lintgrit et la confidentialit dun systme dinformation par la mise en place des mcanismes de prvention, de protection et de dtection des incidents . A ces objectifs, il convient dajouter celui du non rpudiation qui a vu le jour essentiellement avec les changes de donnes informatises. Sous section 1: La disponibilit: La disponibilit est laptitude des systmes remplir une fonction dans des conditions prdfinies dhoraires, de dlais et de performances. Il sagit de garantir la continuit et la permanence du service dun ordinateur ou dun rseau, assurer les objectifs de performance, respecter les dates et heures limites de traitement, et permettre ainsi de garantir la continuit

67 68

GDI Jeans-Louis Desvignes _ GDI Jeans-Louis Desvignes les enjeux de la scurit des systmes dinformation _ SSTIC _ 2003 Solange Ghernaouti-Hlie Claud scurit Internet ; Stratgies et technologies, Dunod, octobre 2000 _ Scurit Internet ; Stratgies et technologies _ Edition DUNOD _ 2000 69 ISO 27002 Technologies de linformation, code pratique pour la gestion de scurit de linformation

51

La scurit du systme dinformation : Les enjeux de lexpert comptable

des changes dinformation cest dire de pouvoir disposer, chaque fois que le besoin se fait sentir, des possibilits de rception et de transfert. Assurer la disponibilit de linformation, ncessite des procdures appropries de couverture contre les accidents ainsi que des contrles de scurit afin de se protger contre les suppressions inattendues ou intentionnelles des fichiers. La disponibilit des traitements vise, quant elle, garantir la continuit de service des traitements, cest dire de pouvoir disposer des ressources en matriels et logiciels ncessaires lensemble des services et utilisateurs des traitements. Sous section 2: La confidentialit: La confidentialit est la proprit de garder secrtes les informations avec accs aux seules entits autorises, par la mise en place de moyens de prvention contre la divulgation non autorise de l'information. Cela revient empcher un utilisateur de consulter directement une information qu'il n'est pas autoris connatre. Le terme information doit tre pris au sens le plus large, il recouvre aussi bien les donnes elles mmes que les flux d'informations et la connaissance de l'existence des donnes ou des communications. Dune manire gnrale, assurer la confidentialit revient assurer quune information nest ni disponible, ni divulgue aux personnes, entits ou processus non autoriss. La scurit de la confidentialit des systmes dinformation contre les risques de divulgation non autorise ncessite la mise en place des actions suivantes :70 Mettre en place un systme dauthentification des utilisateurs, c'est dire rserver laccs aux donnes aux seuls utilisateurs habilits en fonction de la classification des donnes et des niveaux dhabilitation de chacun deux. La protection des informations peut se faire galement au moyen de mots de passe associs chaque objet. Garantir le secret des donnes changes par deux correspondants sous forme de messages ou de fichiers. Cet objectif est en gnral plus recherch en cas dchange dinformations sensibles et qui, une fois interceptes par une personne autre que le rcepteur ddi, pourraient nuire aux intrts de la socit. Sous section 3: Lintgrit: Lintgrit est la qualit qui assure que les donnes ne sont ni cres, ni altres, ni dtruites de manire non autorise. L'intgrit peut tre dfinie comme tant la capacit du systme

70

Yves Chevalier _ Systme d'information et gouvernance _ Edition DUNOD _ 2008 p 58

52

La scurit du systme dinformation : Les enjeux de lexpert comptable

empcher la corruption d'informations par les fautes accidentelles ou intentionnelles, et garantir leur mise jour correcte.71 Selon la norme ISO 13-335-172, lintgrit est la proprit de non altration ou de non destruction de tout ou partie du systme dinformation de faon non autorise. Il sagit de garantir lexhaustivit, lexactitude et la validit des informations et dviter les modifications, faites par erreur, des informations. Assurer lintgrit des donnes, consiste tablir des contrles aussi bien sur les entres que sur les traitements des transactions et scuriser les fichiers des donnes cumules de toute modification non autorise. Lintgrit est destine garantir la fiabilit et lexhaustivit des changes dinformations, c'est dire garantir que les donnes ne subissent aucune altration ou destruction volontaire ou accidentelle durant tout le processus de transport par voie lectronique, de saisie, de traitement et de conservation, en faisant en sorte que les donnes soient reues comme elles ont t mises et davoir les moyens de les vrifier. Dans le cas de la scurit des systmes de tlcommunication, les menaces lintgrit peuvent entraner les anomalies suivantes : Linintelligibilit des messages mis suite des oprations de brouillage ; Laltration du sens du message ; La perte de lordre dune suite de messages ; Linexistence ou la non exhaustivit des messages transmis (en plus ou en moins). Section 3: Les besoins en scurit : Limportance du patrimoine matriel ou informationnel pour lorganisation justifie une protection adquate. Cependant, si la valeur pcuniaire est vidente, les informations stockes ou traites sont encore plus prcieuses pour les raisons suivantes : Sous section 1: Importance stratgique de linformation: Linformation est la ressource la plus importante qui est devenue le facteur dcisif de succs et susceptible de renforcer la comptitivit de lorganisation, notamment avec lmergence des socits dinformation, dautant plus que le spectre des dommages possibles stend de la simple perte de donnes la disparition de lavantage concurrentiel la suppression ou la falsification des donnes personnelles et la ruine de lentreprise73.
71 72

Yves Chevalier _ Systme d'information et gouvernance _ Edition DUNOD _ 2008 p 93 ISO 13-335-1 concepts et modles pour le management de la scurit des TIC 73 LInstitut Franais des Auditeurs Consultants Internes en collaboration avec IBM et Price Waterhouse Module 8 : Scurit SAC Report, Fvrier 1993.

53

La scurit du systme dinformation : Les enjeux de lexpert comptable

Sous section 2: Dpendance de la prise de dcision par rapport aux informations: Tout le processus dcisionnel est aliment par les informations qui sont censes guider et orienter les dcideurs tout au long de ce processus74. Sous section 3: Exigences formules par des tiers: Les partenaires de lentreprise, les clients, les fournisseurs, le personnel, le public sont en droit dexiger dune organisation le respect de la confidentialit des informations75.Notamment avec lapparition des entreprises tendues marques par la dpendance accrue de lentreprise vis--vis de ses partenaires76. Sous section 4: Les enjeux juridiques: Parmi les trois dossiers juridiques jugs prioritaires par les responsables de la scurit, il y a lieu de citer larchivage et la conservation des donnes, la responsabilit des hbergeurs et des prestataires techniques, la gestion des donnes personnelles des clients. Dautres dossiers sont jugs galement importants : le cyber surveillance des salaris, la signature lectronique77. A lheure actuelle, la rglementation en vigueur en Tunisie concernant la scurit de linformation est en perptuelle volution, les principaux textes sont : La loi n 2004-5 fvrier 2004, relative la scurit informatique. Le dcret n 2004-1248 du 25 mai 2004, fixant lorganisation administrative et financire et les modalits de fonctionnement de lAgence Nationale de la Scurit Informatique. Le dcret n 2004-1249 du 25 mai 2004, fixant les conditions et les procdures de certification des experts auditeurs dans le domaine de la scurit informatique. Le dcret n 2004-1250 du 25 mai 2004, fixant les systmes informatiques et les rseaux des organismes soumis laudit priodique obligatoire de la scurit informatique et les critres relatifs la nature de laudit et sa priodicit et aux procdures de suivi de lapplication des recommandations contenues dans le rapport daudit. Section 4: la normalisation internationale en matire de scurit. Concernant la gense du concept de scurit, il faut remonter au dbut des annes 80 lorsque la scurit a concern en premier lieu le domaine informatique, en se manifestant par la publication des travaux Amricains Orange Book publi en 1983 et utilis par le Dpartement de la Dfense Amricain qui a tabli des critres permettant de classer les
74 75

OBrien J Introduction aux systmes dinformation : un outil essentiel pour lentreprise branche Cheneliere/Mc Graw-Hill 2001 Jackson, Carl B. The Need for Security Datapro Reports on Information Security: Concepts and Issues. Delran, NJ: Datapro Research, October 1990. 76 Dominique George _ Etude mondiale Ernest&Young sur la scurit des systmes dinformation en 2004 _ Ernest&Young _ 2004. 77 Buffart P, Amilhat. B, _ Scurit des systmes dinformation : Quelle politique globale de gestion des risques ? _ Edition CIGREF _ 2002

54

La scurit du systme dinformation : Les enjeux de lexpert comptable

systmes informatiques selon le niveau de confiance qui leur est accord78. Par la suite, quatre pays europens ont dcid dharmoniser leurs critres par la publication des ITSEC79. Pour aboutir la convergence amricano-europenne dans ce domaine, des critres communs furent publis en 1999 et un accord de reconnaissance mutuelle fut alors sign entre six pays : ces critres allaient ensuite tre adopts en tant que une norme ISO 15408 80. Pour mettre en uvre de bonnes pratiques de gestion de la scurit de linformation dans le sens le plus large et mettre sur pied une politique de scurit, la norme BS 7799 / ISO 27002 a t publie depuis lanne 2000 pour servir de rfrence en tant que norme internationale reconnue dans le domaine de la scurit des systmes dinformation, et largement utilise travers le monde81. Sous section 1: Direction centrale de la scurit des systmes dinformation (DCCI): Plusieurs typologies des normes et mthodes de scurit des systmes dinformation peuvent tre dresses. titre dexemple, nous citerons la classification construite par la DCSSI (Direction centrale de la scurit des systmes dinformation). La DCSSI distingue dun ct les catalogues SSI et de lautre, les mthodes SSI . 1- Catalogues SSI: Le terme catalogue SSI est employ pour tous les recueils de mesures, dexigences, de vulnrabilits ou autres lments sans dmarche mthodologique. Parmi ceux-ci, nous pouvons citer: Les bonnes pratiques et mesures de scurit : IT Baseline Protection Manual (BSI allemand), ISO 17799, ISO 13335, ACSI 33 (DSD australien), CM 5515 (Otan) ; La politique de scurit : PSI (DCSSI), ISPME (CSE canadien), RFC 1244 (IETF)... Les catalogues pour lvaluation de produits : TCSEC (DoD amricain), ITSEC (CEE), ISO 15408 Les catalogues spcifiques : scurit des rseaux : MG-1 (CSE canadien), scurit des sites: RFC 2196 (IEFT), scurit des interconnexions : AC35-D/1027 (OTAN), modle de maturit SSI : SSE-CMM (ISSEA) ;

78 79

Bauknecht. K _ Information Security Mnangement _ Solms & Eloff _ 2000 ITSEC Information Technology Security Evaluation Criteria. Juin 1991. 80 GDI Jeans-Louis Desvignes _ Les enjeux de la scurit des systmes dinformation _ Edition SSTIC _ 2003 81 Yosecure _ Norme de scurit internationale ISO/IEC 17799 : V 2000. Code de bonne pratiques pour la scurit de linformation _ Yosecure _ 2003

55

La scurit du systme dinformation : Les enjeux de lexpert comptable

2- Mthodes SSI: Le terme de mthode SSI dsigne quant lui les dmarches de scurit reposant sur une mthode. Parmi celles-ci, nous pouvons citer :82 Les mthodes contribuant la gestion du risque SSI : Ebios (DCSSI), Marion, Mehari (Clusif), MV3 (CF6), Cramm (CCTA anglais), Ninah (XP CONSEIL), Risk Management Guide, MG-2 (CSE canadien), SP800-30 (NIST), IAM (NSA), Buddy System (Countermeasures Corp.)... Les mthodes daudit ou contrle interne SSI : Massia (DGA), ERSI (Forum des comptences), IPAK (CSI), SP800-26 (NIST)... Les mthodes dintgration de la SSI dans les projets : DSIS (DCSSI), Incas (Clusif), Orion (Cersiat)... Les mthodes globales incluant des aspects SSI : Cobit Les guides de rdaction : Feros, SSRS, SP800-18 Les autres mthodes : Domaines spcifiques : Messedi, Muse Sous section 2: Les normes de scurit du systme dinformation : Parmi les normes, nous pouvons distinguer : Les normes internationales organisationnelles : les GMITS, Guidelines for the management of IT Security, (ISO/IEC TR 13335) la norme ISO 27002 (Code of practice for information security management) en phase de rvision, issu de la norme britannique BS 7799 Part 1 1999 ; Les normes internationales techniques : la norme ISO/IEC 15408 (Evaluation criteria for IT security) (cette norme est tire des common criteria ), ISO/IEC WD 15947 (norme en cours de discussion, portant sur le cadre des dtections dintrusions) ; Les normes internationales de diagnostic et de qualit : ISO/IEC 19011 (Audit), ISO 9004 (Qualit) ; Les normes nationales organisationnelles : BS 7799-1 (Code of practice for information security management, labore par le British Standard Institute, lorigine de la norme) ; ISO 27002 ; Les normes nationales dvaluation : BS 7799-2 (Specification for information security management systems, labore par le British Standard Institute). Le schma ci-dessous dresse le panorama des mthodes dveloppes et normalises travers le monde en matire de scurit soit par les gouvernements et les associations, ou les entreprises:
82

Patrick Boulet _ Plan de continuit d'activit : Secours du systme d'information _ Edition Lavoisier _ 2008

56

La scurit du systme dinformation : Les enjeux de lexpert comptable

Figure 7:Cartographie des principales mthodes SSI dans le monde83

Sous section 3 : Prsentation de la BS 7799 et ISO 27002 : La norme BS 7799 se prsente en deux parties84: ISO 27002. Code de bonnes pratiques relatif la gestion de la scurit dinformation. BS 7799.Part 2: Spcifications relatives au Systme de management de la Scurit de lInformation SMSI. BS 7799

BS 7799-1 Code de bonnes pratiques pour la gestion de la scurit dinformation.

BS 7799-2 :2002 Systme de management de la scurit de linformation

ISO 17799/IEC : 2000

ISO 27001/IEC : 2005

ISO 17799/IEC : 2005

ISO 27002 : 2007

Figure 8: Evolution de la norme BS 7799

83
84

www.cigref.fr , Scurit des systmes dinformation, Quelle politique globale de gestion des risques ? Olivier. Luxereau ISO 17799/IEC la scurit et la norme linformatique professionnelle n 220, Janvier 2004.

57

La scurit du systme dinformation : Les enjeux de lexpert comptable

1- ISO 27002 Gestion de la scurit d'information - Code Pratique pour la gestion de la scurit d'information : Il sagit de la premire partie de la norme BS 7799-1: ISO 27002 est une manation de la norme BS 7799-1 apparue en 1995, finalise en 1999 et labore par lorgane de normalisation britannique le BSI (British Standards Institution). La norme ISO 27002 est un ensemble de rgles ou de recommandations dcrivant les meilleures pratiques en matire de scurit dinformation. Cest un guide de bonnes pratiques de scurit, dans une acception trs large du terme. 2- La seconde partie : BS 7799-2: BS 7799-2 fournit les exigences portant sur la mise en uvre dun systme de management de la scurit de linformation et sert ainsi de cadre la mise en uvre de la BS 7799-1. Elle recommande une analyse des risques et lidentification des principales rgles contrler. Le schma de certification autour de cette norme (BS 7799-2) a t mis en place en 1998. 3- Complmentarit dISO 27002: Le succs de la norme ISO 27002 sexplique en partie par sa flexibilit et sa complmentarit avec les autres normes existantes en scurit de linformation et des technologies de linformation 85. La norme ISO 13335, appel aussi GMITS (Guidelines for the management of IT Security), aborde les aspects technologiques lis au traitement de linformation et apporte une valeur ajoute lapproche dvaluation des risques. Il est dailleurs recommand dutiliser le quatrime guide (Part 4 : Selection of safeguards) propos dans ISO 13335 pour enrichir les contrles suggrs dans lISO 2700286. Dautre part, il existe une forte complmentarit avec la norme ISO 15408, mieux connue sous le nom critres communs , qui permet de durcir la technique, tandis quISO 27002 couvre davantage les aspects organisationnels de la scurit de linformation. En rsum, ISO 15408 peut aider respecter ISO 2700287. Dautres liens de complmentarit existent entre lISO 27002 et les autres normes telles que:88 ISO 15947 : Cadre de dtection des intrusions.

85

Jean-Damien RUBAL _ Mise en uvre dun SMSI et dploiement de politique de scurit BS 7799/ ISO 27002 _ Callio Technologies Europe _ 2004 86 Bauknecht. K _ Information Security Mnangement _ Solms & Eloff _ 2000. 87 Daniel Marc _ Scurit du systme dinformation _ Ecole Suprieur dingnieurs de Luminy _ 2004 88 Eloff, Frangopoulos _ A Comparative Study of Standards and Practices Related to Information Security Management _ Department of computer science and Information Systems UNISA _ 2003

58

La scurit du systme dinformation : Les enjeux de lexpert comptable

ISO 18043 : directives pour limplmentation, exploitation et gestion de systme dtection des intrusions ISO 18044 : Gestion des incidents. ISO 17944 : Systmes financiers. ISO 18028 : Gestion des communications. ISO 14516 : Scurit dans le e-commerce. ISO 19790 : Exigences de la scurit pour les modules cryptographiques. ISO 19791 : Evaluation de la scurit des systmes dexploitation. ISO 19792 : Cadre pour lvaluation et lessai de la technologie biomtrique.

de

De surcrot, ISO 27002 propose une harmonisation avec dautres normes, comme ISO 9000 :2000 concernant le systme de management de la qualit et ISO 14001, 1996 relative au systme de management de lenvironnement. Section 5: La scurit de linformation : une responsabilit du management La scurit des systmes dinformation est une discipline transversale qui couvre des aspects trs varis. Elle est donc la responsabilit des gnralistes qui sont polyvalents et ont su acqurir plusieurs spcialits adaptes concrtement au domaine dont ils ont la responsabilit. Ces gnralistes spcialiss ne peuvent mener bien leur mission quavec le soutien sans faille et lengagement de leur directeur. En effet, le directeur doit tre inform des risques et des vulnrabilits de son systme dinformation. Il doit tre conscient des enjeux pour quil puisse, avec laide de ces hommes de lart, dfinir la politique de scurit89. La scurit des systmes dinformation est une fonction de direction, les aspects techniques ne venant quen second lieu. En effet, le responsable de la scurit doit tre en mesure dapprcier les risques et de les grer, dorganiser la mise en uvre des dispositifs de scurit, sappuyer sur des normes et des mthodes, identifier les cots et prvoir le retour en investissement. Certes, la scurit cote cher si lentreprise choisit des mesures de scurit (technologie trs sophistique) sans se poser la question de leur efficacit vis--vis des scnarios de risques rels. Par contre, la scurit ne cote pas cher quand elle est corrle des risques rels et spcifiques lentreprise qui ont des impacts financiers. 90 En fait, lvaluation du retour sur investissement des dpenses consacres la scurit nest pas une chose aise. Il est difficile de quantifier le cot d'un sinistre sur des lments intangibles tels que la perte d'image ou la rputation, ou encore de valoriser les informations
89 90

Longean R, et Archimbaud J _ Guide de la scurit des systmes dinformation lusage des directeurs _ CNRS _ 1999 Longean R, et Archimbaud J _ Guide de la scurit des systmes dinformation lusage des directeurs _ CNRS _ 1999

59

La scurit du systme dinformation : Les enjeux de lexpert comptable

perdues pour estimer le cot des sinistres.91 Ainsi, labsence denregistrement des incidents de scurit, la justification des mesures de scurit, restent encore compliques. Cependant, le cot de la scurit doit tre infrieur au cot potentiel de linscurit. Laspect potentiel de linscurit rend les prises de dcision difficiles. Donc, la scurit a un cot lev, matriser et accepter.92 Certains pensent ainsi que la scurit de linformation est assure par la protection des rseaux et de linfrastructure informatique et par la mise en uvre des dernires solutions technologiques. De ce fait, la scurit est une problmatique technique, appelant en rponse un produit ou un service. Les perceptions restrictives de la scurit informatique ont conduit certains imaginer qu'il s'agit l d'une "affaire" strictement place sous le contrle des seuls spcialistes informatiques.93 Alors que les questions scuritaires sont d'abord -et avant tout- conceptuelles, stratgiques, globales pour devenir des proccupations techniques, oprationnelles et analytiques, 94 la scurit est un processus mtier transverse, qui doit soutenir toutes les activits, notamment les activits stratgiques de lentreprise. La scurit de l'information est un concept 80% d'ordre organisationnel et 20% technologique. Il faut savoir comprendre et grer les risques spcifiques, organiser un projet scurit, s'appuyer sur des normes et des mthodes, identifier les cots et les gains. Il en rsulte, que le problme de scurit est dautant plus organisationnel que technique.95 Pour certains, la scurit relve de la responsabilit du directeur des systmes dinformation ou encore le directeur informatique. 96 Certes, ces directions traitent certains aspects cruciaux de la scurit tels que le contrle daccs, la gestion des mots de passe, lanti-virus. Mais linconvnient rside dans le fait quelles agissent dans le sens de dimension outils et techniques.97 La scurit est un concept plus large et concerne tout le systme du contrle interne. De ce fait, il faut impliquer et responsabiliser tout le personnel dans le processus de scurit.

91 92

Geyres Stphane _ La scurit des systmes dinformation dans les entreprises Franaise en 2003 : un zoom _ Ernest&Young _ 2003 Daniel Marc _ Scurit du systme dinformation _ Ecole Suprieur dingnieurs de Luminy _ 2004 93 Geyres Stphane _ La scurit des systmes dinformation dans les entreprises Franaise en 2003 : un zoom _ Ernest&Young _ 2003 94 Kamoun, M _ Audit de la scurit du systme dinformation et de communication : scurit informatique, un nouvel avantage concurrentiel _ Economiste Magrbin _ 2003 95 Yosecure _ Norme de scurit internationale ISO/IEC 17799 : V 2000. Code de bonne pratiques pour la scurit de linformation _ Yosecure _ 2003 96 Geyres Stphane _ La scurit des systmes dinformation dans les entreprises Franaise en 2003 : un zoom _ Ernest&Young _ 2003 97 AFAI Enqute : le management de la scurit informatique www.afai.fr

60

La scurit du systme dinformation : Les enjeux de lexpert comptable

Dautre part, certains mythes autour de la scurit laissent penser que les menaces venant de lextrieur sont la plus large source de risques. Pour assurer la scurit, il convient donc de procder priodiquement des tests dintrusions et la mise en place des firewalls. Ce constat dcoule du fait quil est plus facile pour une entreprise davouer quelle sest faite pirate de lextrieur plutt que de lintrieur. Mais les enqutes approfondies ont dmontr que plus de 70% des attaquants faisaient partie de lentreprise.98 En effet, les attaques venant de l'intrieur peuvent reprsenter le danger le plus important aux entreprises (vol d'informations critiques, dtournement de fonds, sabotage, dnigrement d'image de l'entreprise, ...). Sous section 1: Implication de la direction : La direction doit fournir la preuve de son implication dans ltablissement, la mise en uvre, le fonctionnement, la surveillance et le rexamen, la mise jour et lamlioration du SMSI, par : Ltablissement dune politique relative au SMSI, Lassurance que des objectifs et des plans pour le SMSI sont tablis, La dfinition des rles et des responsabilits pour la scurit de linformation, La sensibilisation de lorganisme limportance de satisfaire aux exigences relatives la scurit de linformation et de respecter la politique en matire de scurit de linformation, ses responsabilits au titre de la loi et la ncessit dune amlioration continue, La fourniture de ressources suffisantes pour ltablissement, la mise en uvre, le fonctionnement, la surveillance et le rexamen, la mise jour et lamlioration du SMSI La dtermination des critres dacceptation des risques et des niveaux de risque acceptables, Lassurance que des audits internes du SMSI sont mens La ralisation de revues de direction du SMSI. Sous section 2: Management des ressources : 1- Mise disposition des ressources : Lorganisme doit dterminer et fournir les ressources ncessaires pour : Etablir, mettre en uvre, exploiter, surveiller, rexaminer, tenir jour et amliorer un SMSI, Assurer que les procdures de scurit de linformation soutiennent les exigences mtier.
98

Dominique George Etude mondiale Ernest&Young sur la scurit des systmes dinformation en 2004 Ernest&Young, Novembre 2004

61

La scurit du systme dinformation : Les enjeux de lexpert comptable

Identifier et traiter les exigences lgales et rglementaires, ainsi que les obligations de scurit contractuelles, Maintenir une scurit adquate par une application correcte de toutes les mesures mises en uvre, Effectuer des rexamens si ncessaire, et ragir de manire approprie aux rsultats de ces rexamens, Amliorer, le cas chant, lefficacit du SMSI. 2- Formation, sensibilisation et comptence : Lorganisme doit sassurer que le personnel qui a t affect les responsabilits dfinies dans le SMSI, a les comptences ncessaires pour excuter les tches requises, en : Dterminant les comptences ncessaires pour le personnel effectuant un travail ayant une incidence sur le SMSI Fournissant la formation ou en entreprenant dautres actions pour satisfaire ces besoins, Evaluant lefficacit des actions entreprises, Conservant les enregistrements concernant la formation initiale et professionnelle, le savoir-faire lexprience et les qualifications. Lorganisme doit galement sassurer que tout le personnel appropri a conscience de la pertinence et de limportance de ses activits lies la scurit de linformation et de la faon dont ces dernires contribuent latteinte des objectifs du SMSI. Conclusion: De plus en plus le Systme d'Information (SI) devient la pierre angulaire de tout organisme, de part le fait que linformation en elle-mme est une des ressources stratgiques. Il est alors plus ais den admettre limportance, den organiser sa protection. Ainsi, la scurit du systme dinformation est devenue une responsabilit de management.

62

La scurit du systme dinformation : Les enjeux de lexpert comptable

Chapitre 4 : Le management de la scurit du systme dinformation (SMSI)

Introduction: Le systme dinformation est un ensemble de moyens humains, logiciels et matriels permettant dassurer la saisie, le stockage, le traitement et la diffusion de linformation. Ainsi est-il considr comme tant la proccupation majeure de lentreprise? Cependant, il est devenu la cible de ceux qui convoitent linformation. De ce fait, il est ncessaire de mettre en place les dispositifs permettant la protection de linformation, et les mesures adquates se matrialisant par un Systme de Management de la Scurit de lInformation SMSI. Section 1 : Dfinition dun SMSI : Un SMSI est un ensemble dlments interactifs permettant un organisme dtablir une politique et des objectifs en matire de scurit de linformation, dappliquer la politique, datteindre ces objectifs et de contrler latteinte des objectifs .99 En effet, le SMSI est un ensemble de mesures organisationnelles et techniques qui sert :100 Assurer la scurit dune manire permanente et rgulire ; Rendre vritable de faon formelle cette scurit ; Fournir la confiance aux parties prenantes et partenaires conomiques. Le SMSI doit tre tabli, document, mis en uvre et entretenu. Bas sur une approche de risque daffaires, son efficacit et son efficience sont mesures par rapport aux objectifs de lentit, et cette mesure permet damliorer en permanence le SMSI. De surcrot, le SMSI est en cohrence et compatible avec les autres systmes de management de lentit, notamment avec le systme de management de la qualit, de la scurit des conditions de travail, et de lenvironnement.101 Le SMSI comporte essentiellement:102 La documentation et les rfrences en matire de scurit telles que llaboration dune politique, la description des objectifs, dune charte, ou une cartographie des processus, la dtermination des activits et des mesures de scurit, etc;

99

CLUSIF Management de la scurit dinformation. Une approche normative : BS7799-2 , Paris, Dcembre 2004 Fernandez Alexandre Pourquoi et Comment lancer un projet 7799 HSC Herv Schauer Consultants. 2004 101 Huynh. Frdric La certification scurit des entreprises : enjeux des normes ISO 17799 et BS 7799-2 Colloque EPF, Ernest&Young 2004 102 Carlson Tom, Information Security Management: Understanding ISO 17799 Lucent Technologies Worldwide Services. September 2001
100

63

La scurit du systme dinformation : Les enjeux de lexpert comptable

La description de la mthode dvaluation et de management de risque adopte par lorganisme ; Les processus impliqus dans la mise en uvre de la scurit dinformation ; Les responsabilits et lattribution des devoirs et obligations relatifs la scurit de linformation ; Lallocation adquate des ressources et des moyens ncessaires sa mise en uvre ; Les activits relatives la scurit de linformation ; Les enregistrements et les comptes rendus issus des activits relatives la scurit de linformation ; Les actions relatives lamlioration continue de la scurit de linformation. En fait, linstauration dun SMSI dans lorganisme offre une assurance raisonnable et renforce la confiance dans le mode de gestion de la scurit de linformation. Section 2 : La mise en place dun SMSI : La dcision de mise en place dun SMSI est stratgique pour chaque entit. En effet, sa conception et son organisation, sa mise en place dpendent des spcificits et des besoins propres de chaque organisme. Ces besoins sont eux-mmes fonction du mtier de lorganisme et des exigences de scurit qui en rsultent. Cependant, il y a une dmarche normative pour initialiser le SMSI au sein de toute organisation qui consiste :103 Dterminer le primtre concern (fonctionnel, organisationnel, gographique, etc.) ; Identifier parmi les processus de ce primtre, ceux qui sont concerns par la scurit de linformation, et leurs risques associs ; Dterminer les exigences (objectifs, rfrentiels, mthodes, etc.) ncessaires pour assurer la scurit des processus ; Dfinir les mesures de scurit ncessaires pour se conformer aux exigences exprimes. Il en rsulte que le processus ncessaire pour linstauration dun SMSI doit comporter essentiellement;104 Les activits de management ; La mise disposition des ressources et moyens requis ; La ralisation des produits et des services ; Les mesures et lamlioration continue.

103 104

CLUSIF Management de la scurit dinformation. Une approche normative : BS7799-2 , Paris, Dcembre 2004 Eloff Jan, Eloff Mariki Information Security Management- A New Paradigm 2003. University of South Africa

64

La scurit du systme dinformation : Les enjeux de lexpert comptable

Eventuellement, si lorganisme en question recourt lexternalisation dun processus ayant des rpercussions sur la scurit, il doit prvoir dans le SMSI les moyens de matrise ncessaires Toutefois, il est admis que le SMSI varie dune organisation lautre, mais une sensibilisation la scurit est fondamentale. Il serait illusoire de chercher mettre en place un SMSI, sil ny a pas pralablement une forte culture de scurit, qui se traduit par une assistance permanente entre les managers et le personnel pour ladaptation et lamlioration du SMSI. Il y aura collaboration, concertation et donc efficacit du SMSI. Finalement, il nest pas permis de parler de SMSI sans voquer le BS7799-2 ou encore ISO 27001. Section 3 : Le SMSI et Le PDCA dEdward Deming:105 LISO 27001 Exigences pour les systmes de gestion de la scurit de linformation a t tablie afin dassister les managers et lensemble de personnel, en proposant un modle pour une mise en uvre permettant de grer dune manire efficace et efficiente le systme de management de la scurit dinformation. LISO 27001 sappuie sur une approche processus. Dans ce sens, P. Lorino dfinit le processus comme un ensemble dactivits relies entre elles par des flux dinformations ou de matires significatives et qui se combinent pour fournir un produit matriel ou immatriel important et bien dfini 106.

Figure 9: Relation ISO 27001 et ISO 27002

107

Cette approche est base sur une version transversale pour dfinir, implmenter, mettre en fonction, matriser et amliorer lefficacit de lorganisation dun SMSI.108
105

Matthieu Bennasar, Alain Champenois, Patrick Arnould, et Thierry Rivat _ Manager la scurit du SI : Planifier, dployer, contrler, amliorer _ Edition DUNOD _ 2007
106 107

Philippo. Lorino Le dploiement de la valeur par processus Revue Franaise de Gestion, Juin-Juiellet-Aot, 1995 Cours Mme Olya Bahloul universit TIME

65

La scurit du systme dinformation : Les enjeux de lexpert comptable

En effet, la dmarche du British Standard suit le modle Plan, Do, Check, ACT (PDCA), connu aussi sous le nom de Roue de Deming ; lapproche processus met ainsi laccent sur limportance des tapes suivantes : Planifier, implmenter, contrler et amliorer :109

Figure 10: Systme de management de la scurit de linformation

Premire tape : Planifier Plan : Une bonne comprhension en matire de scurit de linformation au regard du business est ncessaire pour llaboration de SMSI qui se traduit par la dfinition de la politique de scurit, des processus et des procdures relevant de la gestion de la scurit, ainsi que les objectifs de scurit qui sont en harmonie avec la politique gnrale de lorganisme, cette tape comporte essentiellement:110 Identification du primtre de SMSI ; Identification et valuation des risques ; Etablissement du plan de gestion des risques ; mthode choisie pour grer le risque ; contrle mis en place ; traitement de risque (acceptation, transfert, rduction de risque un niveau acceptable) ; Ltablissement dune dclaration dapplicabilit (Statement of applicability SAO) ; Ltablissement dun document obligatoire en vue dune certification ; Deuxime tape : Implmenter Do : il sagit de la mise en uvre et du fonctionnement du SMSI dans un contexte de management de lensemble des risques de lorganisation ; en
108 109 110

CLUSIF, 2010 Menaces Informatiques et Pratiques de Scurit en France Edition 2010 www.clusif.asso.fr

Norme ISO 27001 : 2005


Fernandez Alexandre Pourquoi et Comment lancer un projet 7799 HSC Herv Schauer Consultants. 2004

66

La scurit du systme dinformation : Les enjeux de lexpert comptable

dautres termes, la mise en uvre de la politique de scurit, des mcanismes, des processus, des procdures, et des contrles se traduit par : Une allocation des ressources (personnels, temps, argent). La rdaction de la documentation. La formation du personnel concern. La gestion du risque.111 Pour les risques accepts : Rien faire. Pour les risques transfrs : Assurances, partenariats etc. Pour les risques rduire :- Implmenter les contrles identifis dans la phase prcdente, - Assignation des responsabilits, - Identifier les risques rsiduels. Troisime tape : Contrler et Rviser Check : Evaluer, selon des critres de mesure, les performances de la politique de scurit par rapport aux objectifs et aux bonnes pratiques. Il sagit de la surveillance et de la rvision des performances et de lefficacit du SMSI : Vrification de routine. Apprendre des autres. Audits priodiques du SMSI: Conduit la constatation que les contrles ne rduisent pas de faon effective les risques pour lesquels ils ont t mis en place. Identification de nouveaux risques non traits. Tout autre type dinadaptation de ce qui est mis en place. Quatrime tape : Maintenir et Amliorer Act : Ralisation des actions prventives et correctives, visant lamlioration permanente du systme de management de la scurit de linformation. Prendre les mesures rsultant des constatations faites lors de la phase de vrification. Actions correctives et prventives Section 4 : La norme ISO 27001 et le SMSI : A linstar de la norme BS7799-2, lISO 27001 est une rfrence de base permettant la mise en uvre du systme de management de la scurit dinformation. Il convient ainsi, de dcrire son champ dapplication et sa structure. LISO 27001 dfinit les exigences pour planifier, mettre en place, contrler et amliorer un SMSI. Elle est universelle, sapplique tout

111

Fernandez Alexandre Pourquoi et Comment lancer un projet 7799 HSC Herv Schauer Consultants. 2004

67

La scurit du systme dinformation : Les enjeux de lexpert comptable

organisme, mais aussi toute unit oprationnelle, toutes divisions au sein dune entreprise ou tout site gographique. 112 Au sein de lorganisme, la norme concerne aussi bien le systme informatique que les aspects organisationnels (humains et physiques), les processus daffaires.
La norme est structure en deux parties distinctes :

Sous section 1: La premire partie :


Concerne le corps du document qui dfinit les concepts de SMSI, ainsi, le modle de Plan, Do, Check, ACT (PDCA) et insiste sur les tches, limplication et le soutien ferme et permanent du management.

Dans cette partie, la norme aborde les thmes suivants : La notion de SMSI au travers de lapproche processus et du modle PDCA. La complmentarit entre le SMSI et les autres systmes de management tels que la qualit, lenvironnement. Les taches et les jalons de la dynamique dun SMSI. Les implications et les responsabilits du management relatives un SMSI. Lamlioration continue du SMSI. Sous section 2: La seconde partie comporte les annexes (ABCD): Lannexe A est normative, signifie quelle est dapplication obligatoire pour se conformer la norme BS7799-2. Elle prsente les objectifs de matrise de la scurit en reprenant les thmes directeurs de tous les chapitres du document ISO27002. Quant aux annexes B, C, et D, elles sont informatives. Concernant lannexe B, elle prsente dune manire gnrique les actions mettre en place chaque phase du cycle PDCA. Lannexe C tablit respectivement les convergences entre les diffrents systmes de management (ISO 9001 :2000, ISO 14001 :1996, BS7799-2 :2002). Enfin, lannexe D

prsente les volutions et les restructurations survenues sur les versions antrieures de la norme dans BS7799-2 :2002. Conclusion: Lobjectif central du SMSI est prcisment de dfinir un processus qui aboutit lamlioration constante de la scurit de lentreprise face aux risques. Pour que le management de la scurit soit pertinent, il faut commencer par une vritable gestion de risque qui doit tre mise en place par lentit.
112

Huynh. Frdric La certification scurit des entreprises : enjeux des normes ISO 17799 et BS 7799-2 Colloque EPF, Ernest&Young 2004

68

La scurit du systme dinformation : Les enjeux de lexpert comptable

Conclusion de la Premire Partie

Les systmes dinformation sont composs de plusieurs modules, sous-systmes ou applications et des infrastructures permettant de recueillir (collecter et saisir), traiter, stocker, prendre et vhiculer linformation. Ils sont de plus en plus intgrs, ouverts et complexes et permettent de prendre en charge la majorit des processus de lentreprise ou de lorganisation. Dans une conomie de plus en plus mondialise et libralise, les systmes dinformation sont devenus un levier stratgique pour les entreprises et pourront constituer un avantage concurrentiel sils sont grs dune manire efficace et efficiente. Face ce nouvel environnement contraignant, lorganisation de la fonction informatique dans les entreprises performantes a t repense de faon tre ractive et en adquation avec la stratgie de lentreprise. Au cours de cette partie, nous avons expos les menaces, les vulnrabilits, les attaques et les agressions du systme dinformation ainsi que les mthodes dvaluation du risque auquel il est expos. Par ailleurs, nous avons soulign que lvolution, la complexit et louverture des systmes dinformation sur les partenaires de lentreprise saccompagnent le plus souvent par de nouveaux risques. Ces derniers, qui sont lis lenvironnement et lorganisation de lentreprise, rendent les systmes dinformation vulnrables. En effet, sils ne sont pas bien encadrs par le dispositif du contrle interne, ils peuvent engendrer de lourdes consquences pour les entreprises. Les facteurs de ces risques ont t synthtiss dans cette premire partie du mmoire. Au cours de cette mme partie, nous avons dfini la notion de la scurit du systme dinformation et numr ses caractristiques. Egalement, nous avons prsent les normes internationales en matire de scurit tout en signalant que la scurit du systme dinformation est une responsabilit de management. Et enfin, nous avons expos le management de la scurit du systme dinformation (SMSI) partir du modle de gestion de la qualit Roue de Deming ou le PDCA (Plan, Do, Check, Act) dEdward Deming. La mission de laudit financier, qui repose aujourdhui largement sur le contrle interne des entreprises, devra tre adapte et complte de faon prendre en considration les risques et les contraintes imposs par le nouvel environnement des entreprises. En effet, dans un milieu informatis, il est devenu trs difficile de certifier les tats de synthse sans auditer pralablement les systmes dinformation. 69

La scurit du systme dinformation : Les enjeux de lexpert comptable

Les menaces, les vulnrabilits, les attaques et les agressions du systme dinformation sont illimites, et sont difficiles grer. Le souci majeur de chaque organisation est de mettre sur pied les dispositifs et les mesures de scurit afin de protger la confidentialit et lintgrit des informations et assurer leur disponibilit en temps opportun. Il convient donc de mettre le systme dinformation labri de toute agression pouvant affecter le fonctionnement normal ou menacer la prennit de lorganisation. Lobjectif de scurit ne peut tre atteint quavec linstauration dune vritable stratgie de scurit du systme dinformation qui porte sur les aspects organisationnels et techniques. En effet, les organisations doivent savoir identifier, valuer, grer et matriser les risques auxquels elles sont exposes en se basant sur les mthodes de management de risques les plus adquates. Ainsi, elles doivent mettre en place une politique de scurit permettant de dterminer les objets scuriser, identifier les menaces prendre en compte, dfinir le primtre de scurit, spcifier lensemble des lois, rglements en se rfrant aux bonnes pratiques, aux normes et aux standards internationaux. Il en dcoule que, toute organisation doit recourir un audit de scurit de son systme dinformation permettant de mettre en uvre dune manire permanente la meilleure stratgie de scurit. Face ce nouveau contexte dintervention, caractris entre autres, par la dmatrialisation des informations et lautomatisation des contrles, il est de plus en plus difficile pour lauditeur financier de forger son opinion sans concevoir une approche approfondie de la scurit du systme dinformation. Il devient impratif pour lexpert comptable dexaminer la scurit du systme dinformation en vue dmettre une opinion sur la rgularit et la sincrit des tats financiers. Ainsi, laudit de la scurit du systme dinformation savre une ncessite dans le processus de laudit financier. De mme, cet audit peut tre ralis par lexpert comptable dans le cadre de ses travaux de conseil et dorganisation auprs des entreprises. Aussi, la deuxime partie de ce mmoire sera-t-elle consacre lexamen de laudit de la scurit du systme dinformation dans lobjectif de proposer une dmarche daudit correspondante mettre la disposition des experts comptables.

70

DEUXIEME PARTIE : AUDIT DE LA SECURITE DU SYSTEME DINFORMATION

La scurit du systme dinformation : Les enjeux de lexpert comptable

Introduction la Deuxime Partie

Aprs avoir expos les menaces qui psent sur le systme dinformation, et numr les vulnrabilits et les attaques dont il peut faire lobjet et leurs rpercussions sur lentreprise et sur laudit financier, il apparat clairement que laudit de la scurit du systme dinformation est devenu un lment ncessaire dans une mission daudit financier et un nouveau crneau pour lexpert comptable dans le cadre des missions de conseil et dorganisation. Dans le contexte actuel, lenvironnement de laudit financier a fortement chang et il se caractrise ainsi par: La complexit des modes de fonctionnement des entreprises qui deviennent de plus en plus dpendantes des nouvelles technologies; Lvolution de la rglementation et des rfrentiels comptables (Sarbanes Oxley, Loi sur la scurit financire, IFRS,etc.); Lexigence croissante des marchs financiers en ce qui concerne la qualit de linformation financire produite par les socits cotes. Ainsi, les cabinets daudit ont d revoir leur mthodologie de faon rpondre aux exigences des marchs et de la rglementation, dune part, et damliorer la qualit de laudit comptable et financier, dautre part. Les nouvelles dmarches daudit adoptes reposent largement sur la comprhension des risques inhrents au business et lorganisation des entreprises ainsi que sur la qualit de contrle interne de ces dernires. Compte tenu du fait que les entreprises sont devenues hautement informatises, lvaluation des systmes dinformation devient un axe central dans la dmarche de laudit financier. Lobjectif privilgi est la recherche de la fiabilit des informations financires produites par les entits, lefficacit et lefficience du systme de contrle interne exig par laudit financier ou par des conventions dans le cadre des autres missions de conseil et dorganisation. Dans ce
cadre, lexpert comptable, principal conseiller de lentreprise, est amen au cours de sa mission daudit financier, examiner la scurit du systme dinformation au niveau de lvaluation du systme de contrle interne en vue de sassurer de la rgularit et de la sincrit des tats comptables gnrs par les traitements automatiss et de la continuit dexploitation de lentreprise.

Dautre part, une nouvelle opportunit de conseil et dassistance aux entreprises dans le cadre des autres missions spciales, est offerte lexpert comptable en termes de sensibilisation laudit de la scurit du systme dinformation, de mise en place dune politique de scurit

72

La scurit du systme dinformation : Les enjeux de lexpert comptable

pour protger ce systme, de lvaluation de cette politique et la recommandation des solutions de scurit mettre en place. La deuxime partie de ce mmoire est ainsi consacre la proposition dune dmarche daudit de la scurit du systme dinformation par lexpert comptable, assortie de la prsentation dun ensemble de bonnes pratiques de scurit, qui peuvent contribuer la ralisation de telles missions. Le premier chapitre traite de la prsentation des cas dintervention de lexpert comptable dans les missions daudit de la scurit du systme dinformation ainsi que de la dfinition du cadre juridique rglementaire et des comptences requises pour mener bien ses missions daudit de la scurit de ce systme. Le deuxime chapitre traite quant lui des tapes daudit de la scurit du systme dinformation. Le troisime chapitre propose une dmarche daudit de la scurit du systme dinformation comme guide pour lexpert comptable, inspire des bonnes pratiques de scurit selon ISO 27002113 pouvant tre exploites par le professionnel dans le cadre de ses interventions daudit et de conseil en vue daccrotre aussi bien la valeur ajoute de sa mission la conviction des clients. Le quatrime chapitre prsente la relation entre laudit de la scurit du systme dinformation et les normes daudit financier.

113

Norme ISO 27002 Technologies de linformation- Techniques de scurit- Code de bonne pratique pour la gestion de la scurit de linformation

73

La scurit du systme dinformation : Les enjeux de lexpert comptable

Chapitre 1 : Lexpert comptable et les missions daudit de la scurit du systme dinformation


Introduction :
Lexpert comptable est considr comme tant le partenaire principal des chefs dentreprises dans les domaines de gestion comptable, fiscal, social, scurit des systmes dinformation, etc Ces domaines dintervention sont varis et voluent dans le temps, exigeant ainsi de la part de lexpert comptable, non seulement des connaissances continuellement jour en termes de gestion des entreprises, mais galement des nouvelles comptences et de nouveaux savoirs cibls vers les systmes dinformations et les mcanismes de scurit associs.

Ce nouveau cadre dintervention fait lobjet dune tude dtaille dans les sections qui suivent. Section 1 : La scurit du systme dinformation dans le cadre dune mission daudit lgal: Lauditeur doit planifier et raliser laudit financier de manire ramener le Risque dAudit un niveau suffisamment faible en concevant et en mettant en uvre des procds daudit lui permettant de runir des lments probants, suffisants et adquats pour tre en mesure de tirer des conclusions sur lesquelles il pourra fonder son opinion. Afin de couvrir correctement les risques daudit et notamment le risque de scurit du systme dinformation, nous pouvons estimer ncessaire de sassurer de la scurit du systme dinformation pour recueillir certains lments probants utiles notre assurance daudit. La scurit du systme dinformation est aborde par le commissaire aux comptes lors des principales tapes de la dmarche daudit, savoir: Orientation et planification de la mission, Evaluation du risque, Obtention des lments probants.

74

La scurit du systme dinformation : Les enjeux de lexpert comptable

Figure 11: Les phases o lexpert comptable aborde la SSI114

Sous section 1: Phase 1 Orientation et planification de la mission :


La phase Orientation et planification de la mission conduit llaboration du plan de

mission et implique la prise en compte du systme dinformation de lentreprise.


Lapprciation de lincidence de la scurit du systme dinformation ncessite :

La prise de connaissance de linformatique, qui est un des moyens techniques pour faire fonctionner un systme dinformation dans lentreprise et de son incidence sur la production des informations financires et comptables, Lidentification des principales composantes du systme dinformation et la dtermination niveau de complexit de ce dernier.
1- Prise de connaissance de linformatique dans lentreprise : Cette phase consiste collecter des informations sur les systmes et les processus informatiques de lentreprise et en dduire leur incidence sur les procdures dlaboration des comptes. Les domaines prendre en compte sont :

La stratgie informatique, La fonction informatique de lentreprise, Limportance de linformatique dans lentreprise.


1.1- La stratgie informatique: Le commissaire aux comptes prend en considration les lments ci-aprs afin dapprcier la stratgie informatique :

Implication des entits oprationnelles dans la dtermination de la stratgie informatique. Niveau de connaissance de la direction concernant le systme dinformation, Satisfaction des besoins courants par le systme dinformation.
114

Prise en compte de lenvironnement informatique et incidence sur la dmarche daudit p9. CNCC

75

La scurit du systme dinformation : Les enjeux de lexpert comptable

1.2- La fonction informatique : Le commissaire aux comptes doit prendre en compte la fonction informatique notamment en termes de sparation des fonctions, la gestion des mouvements de personnel, la gestion des projets, la fiabilit des processus informatiques. a- Importance de linformatique dans lentreprise : Limportance de linformatique dans lentreprise permet de dterminer le niveau de dpendance de lentreprise vis--vis de son systme dinformation. b- Description du systme dinformation : La description du systme dinformation de lentreprise consiste :

Formaliser la cartographie des applications Apprcier le degr de complexit du systme dinformation, Identifier les processus analyser, utiles aux objectifs de laudit.
c- Prise en compte de linformatique dans le plan de mission : La prise en compte de laspect informatique dans le plan de mission seffectue sur la base des informations recueillies prcdemment, lors de la phase Prise de connaissance de linformatique dans lentreprise et Description du systme dinformation , et qui porte sur :

Lexistence ou non dune stratgie informatique, Les caractristiques de lorganisation informatique, Limportance de linformatique dans lentreprise, La complexit du systme dinformation, Le nombre de processus et applications informatiques concernes. Sous section 2: Phase 2 : Evaluation des risques :115
Lobjectif de lexpert comptable lors de cette phase est la prise en compte de lenvironnement informatique sur le risque inhrent et le risque li au contrle.

Sous section 3: Phase 3 : Obtention dlments probants :116


Suite lvaluation des risques, lexpert comptable peut obtenir des lments probants afin de pouvoir aboutir des conclusions fondant lopinion. Lintgration de laudit de la scurit du systme dinformation dans laudit financier est une question centrale qui proccupe beaucoup les auditeurs. En effet, lexpert comptable est appel auditer la scurit du systme dinformation dans le cadre de la mission dvaluation du systme de contrle interne afin d'identifier et d'valuer le risque que les tats financiers contiennent des anomalies significatives, que celles-ci rsultent de fraudes ou d'erreurs, de concevoir et de mettre en uvre des

115 116

Prise en compte de lenvironnement informatique et incidence sur la dmarche daudit p30. CNCC Prise en compte de lenvironnement informatique et incidence sur la dmarche daudit p78. CNCC

76

La scurit du systme dinformation : Les enjeux de lexpert comptable

procdures d'audit complmentaires selon les dispositions de la norme ISA 315, et de sassurer de la continuit dexploitation de la socit conformment aux dispositions de la norme ISA 570.

Section 2 : La scurit du systme dinformation dans le cadre des autres missions de lexpert comptable : Sous section 1: De la mission de tenue des comptes la mission de conseil :
Le march de la tenue et de surveillance des comptes reprsente encore une proportion importante des prestations ralises par les cabinets dexpertise comptable. Cependant, linformatisation des cabinets et surtout de leurs clients a banalis cette mission. Il est donc ncessaire dapporter cette dernire une valeur ajoute. Cette valeur ajoute ne peut tre cre quen dveloppant des missions de conseil en particulier dans les nouvelles technologies et la scurit des systmes dinformation. 117

Sous section 2: Les stratgies de spcialisation :


Avec lapport des technologies dinformation et de communications, une stratgie peut tre dveloppe : la spcialisation. Entre les groupes multidisciplinaires et les structures ayant des activits de niche, les autres cabinets peuvent tre tents par la voie de la spcialisation. En effet, mme sil a une formation de gnraliste, lexpert comptable doit apprendre reconnatre ses limites de comptences. Dans la mesure o il doit matriser le secteur dactivit de son client pour mieux laccompagner, il devra srement se spcialiser dans les domaines quil matrise le mieux. Un cabinet est un accumulateur dexpriences, de connaissances et de pratiques professionnelles. Chaque mission contribue son enrichissement intellectuel. Pour autant, ce nest que grce laccumulation et la ralisation rgulire de missions similaires quune comptence mtier pourra tre revendique. Le capital technologique parfois difficile mettre en place, devra servir assurer au professionnel un dveloppement de ses comptences et ainsi assurer sa spcialisation.

Sous section 3: Les nouvelles missions technologiques :


Les innovations technologiques peuvent tre pour le cabinet une source de nouvelles missions. Parmi celles-ci nous pouvons citer sans tre exhaustifs : le-commerce, la mise en place de systme dinformation intgrant les nouvelles technologies, laudit de la scurit du systme dinformation, llaboration et la mise en place dune politique de scurit du systme dinformation, la signature lectronique, mission Web-Trust118etc Les menaces et vulnrabilits touchant la scurit du systme dinformation et lobligation de conformit aux exigences lgales, ont pouss les socits de recourir la mise en place dune politique de scurit du systme dinformation au sein de leurs structures internes et des audits priodiques pour assurer la scurit de leurs systmes.119

117 118

La revue franaise de comptabilit n 316 11/99 La mission Web Trust consiste certifier la qualit, la scurit et la confidentialit dun site Internet. 119 Alexandre Fernandez-Toro _ Mmento audit ISO 27001 : auditer la scurit du systme d'information _ Edition DUNOD _ 2009

77

La scurit du systme dinformation : Les enjeux de lexpert comptable

Dans le cadre dune mission spcifique daudit de scurit du systme dinformation, le rle de lexpert comptable dpend en gnral de la lettre de mission qui fixe les primtres et les objectifs de la mission. Cette dernire peut porter sur lapprciation de la politique de scurit en place, lanalyse des techniques de scurit, le contrle de la scurit. Ce rle consiste pour les entreprises soumises aux obligations prvues par la loi 2004-5 du 3 fvrier 2004120, les aider se prparer laudit priodique de leurs systmes dinformation institu par cette loi. Pour les clients non soumis cette obligation et principalement les petites et moyennes entreprises, le rle de lexpert comptable est dautant plus important, vu labsence dun contrle lgal des scurits informatiques et ce, pour convaincre la direction, sensibiliser les utilisateurs, identifier les risques et proposer les solutions de scurit permettant dassurer la prennit de lentreprise, prserver le patrimoine et scuriser la cration de valeurs. Il y a lieu de signaler que dans tous les cas, lexpert comptable nassure pas la scurit, mais donne la direction de lentreprise qui le mandate une assurance raisonnable concernant les dispositifs de scurit mis en place pour faire face aux risques encourus.

Section 3 : Cadre comptable, fiscal, juridique et rglementaire : Cette section est destine prsenter les principales ractions des lgislations et des organismes professionnels face aux volutions du systme dinformation En regard lvolution technologique et informatique et en plus de la rglementation existante, de nouvelles dispositions lgislatives sont apparues et de nombreuses cellules de rflexion ont t cres, ce sujet, dans le cadre dorganismes professionnels. Sous section 1: la rglementation comptable: 1- Code de commerce: Les dispositions du Code de Commerce, non abroges par la loi n 2000-93 du 3 novembre 2000 portant promulgation du nouveau code des socits commerciales, et qui se rapporte aux obligations en matire comptable sont les suivantes : Article 8 : Conserver, pendant dix ans tous les documents justificatifs des oprations inscrites sur les livres susviss . Article 9 : Le livre journal et le livre dinventaire prvus larticle 8 sont cots et paraphs, soit par le juge, soit par le Prsident de la Municipalit ou un adjoint, dans la forme ordinaire et sans frais . Article 10 : les livres sont tenus chronologiquement sans blanc ni altration daucune sorte. Ils seront conservs pendant 10 ans . Article 11 : Les livres, que les commerants sont obligs de tenir et pour lesquels ils nauront pas observ les formalits ci-dessus prescrites, ne pourront tre reprsents ni
120

Loi 2004-5 du 3 fvrier 2004, relative la scurit informatique

78

La scurit du systme dinformation : Les enjeux de lexpert comptable

faire foi en justice au profit de ceux qui les auront tenus, sans prjudice de ce qui sera rgl au livre du concordat prventif et de la faillite. . Ainsi, le code de commerce tunisien na pas prvu de dispositions particulires en cas de comptabilit informatise. En effet, il na pas prcis les conditions de forme pour les pices justificatives des oprations ni les conditions et les moyens de leur conservation. Au niveau du livre journal et du livre dinventaire, ils doivent tre tenus manuellement sur des registres cots (attestant le nombre des pages) et paraphs (certifiant lexistence du livre obligatoire et lui confrant une date certaine). En outre, il convient de signaler quaucune nouvelle disposition comptable na t prvue par le nouveau code des socits commerciales promulgu par la loi 2000-93 du 3 novembre 2000. 2- Le systme comptable des entreprises en Tunisie : La loi N96-112 du 30 dcembre 1996 relative au systme comptable des entreprises a apport de nouvelles dispositions et a aussi confirm les articles 8, 9 et 10 du code de commerce. Ces principales dispositions, qui se rapprochent de celles du Nouveau Plan Comptable Gnral Franais de 1999, se rsument comme suit : 2.1. Les livres comptables : Les livres comptables comportent le journal gnral, le grand-livre et le livre dinventaire. Le journal gnral et le livre dinventaire sont cots et paraphs. En outre, les livres sont tablis sans blanc ni altration daucune sorte. Selon larticle 14 de la loi n 96-112, les documents crits issus de linformatique peuvent tenir lieu de livres et journaux auxiliaires. Dans ce cas, ces documents doivent tre identifis, numrots et dats ds leur laboration par des moyens offrant toute garantie en matire de preuve.. Les critures portes sur les livres et journaux auxiliaires ainsi que les totaux des oprations et des soldes doivent tre centraliss dans le journal gnral et le grand livre au moins une fois par mois. Ainsi, nous devons formuler les remarques suivantes : Les documents informatiques ne peuvent tenir lieu de livre journal et de livre dinventaire comme cest le cas en France. Cette possibilit na t accorde que pour les livres et journaux auxiliaires. Que faut-il entendre par des moyens offrant toute garantie en matire de preuve ?

79

La scurit du systme dinformation : Les enjeux de lexpert comptable

Signalons dabord que cette disposition est identique celle prvue en France121. Plusieurs solutions critiquables ont t avances. Selon le Mmento Comptable dans son paragraphe 311-2, bien que la rglementation franaise a considr que les documents informatiques peuvent tenir lieu de journal gnral et de livre dinventaire, la manire la plus pratique de respecter actuellement lobligation de la tenue du livre journal sans aucun risque, reste et demeure, pour linstant, la transcription manuelle des totalisations des critures mensuelles sur un livre cot et paraph . 2.2. La documentation des procdures et de lorganisation Comptable : Larticle 15 de la loi 96-112 stipule que : lorsque lentreprise opte pour la mthode de centralisation mensuelle des livres et journaux auxiliaires ou pour lusage de linformatique pour tenir sa comptabilit, il est tabli un document qui prvoit lorganisation comptable et comporte notamment les intituls et lobjet des documents utiliss pour le traitement des informations et les modalits de liaison entre ces documents et les pices justificatives y affrentes. La norme gnrale a prcis le contenu de ce document. En ce qui concerne les traitements informatiss, ce manuel doit comprendre notamment : La description des procdures de collecte, de saisie, de traitement et de contrle des informations ; Le systme de classement et darchivage ; Les livres comptables obligatoires et les liens entre ces livres et les autres documents et pices comptables. En outre, les paragraphes 49 et 50 de la norme gnrale stipulent que la ralisation de tout contrle du systme de traitement automatis suppose laccs la documentation relative aux analyses, la programmation et lexcution des traitements en vue, notamment, de procder aux tests ncessaires. Dans le cas dacquisition de logiciel standard, la documentation fournie avec le logiciel peut constituer la documentation requise. Cette documentation dcrivant les procdures et l'organisation comptables est tablie en vue de permettre la comprhension et le contrle du systme de traitement. Elle doit tre complte, claire, prcise et constamment tenue jour. Elle est conserve aussi longtemps qu'est exige la prsentation des documents comptables auxquels elle se rapporte. Toutefois, il y a lieu de prciser quaucune sanction nest prvue pour le non-respect de cette disposition.

121

Dispositions prvues par le dcret N83-1020 du 29 novembre 1983 portant promulgation des obligations comptables des commerants de certaines socits et par le Nouveau Plan Comptable Gnral homologu par larrt du 22 juin 1999 (paragraphe 410-06)

80

La scurit du systme dinformation : Les enjeux de lexpert comptable

En pratique, nous constatons que cette documentation est quasiment absente dans les entreprises ou est dans la majorit des cas obsolte. Par ailleurs, la documentation fournie avec le logiciel standard ne concerne gnralement que le volet dutilisation et dexploitation. 2.3. Les pices justificatives : Selon le paragraphe 53 de la norme gnrale (partie II : dispositions relatives lorganisation comptable) : La pice justificative est tablie sur papier ou sur un support assurant la fiabilit, la conservation et la restitution en clair de son contenu pendant les dlais requis et comporte la mention de la date . Cette disposition est identique celle du paragraphe 420-3 du Nouveau Plan Comptable Gnral Franais de 1999. Selon le Conseil National de la Comptabilit Franais122, les rsultats de traitement en amont peuvent tre intgrs en comptabilit laide dcritures comptables gnres

automatiquement par le systme, sans tre accompagnes de lmission de pices justificatives classiques. 2.4. Le chemin de rvision : Le Nouveau Systme Comptable Tunisien stipule dans son article 12 que : Tout enregistrement prcise lorigine, le contenu et limputation de lopration ainsi que les rfrences des pices justificatives qui lappuient 123. Le paragraphe 52 de la norme gnrale (partie II : Dispositions relatives lorganisation comptable) ajoute que : tout moment, il est possible de reconstituer partir des pices justificatives appuyant les donnes entres, les lments des comptes, tat et renseignements soumis la vrification, ou, partir de ces comptes, tats et renseignements, de retrouver ces donnes et les pices justificatives. Cest ainsi que tout solde de compte doit pouvoir tre justifi par un relev des critures dont il dcoule depuis un solde antrieur. Chacune de ces critures doit comporter une rfrence permettant lidentification des donnes correspondantes. 2.5. Le caractre dfinitif des enregistrements : Selon les paragraphes 56 et 57 de la norme gnrale Partie II : le caractre dfinitif des enregistrements est assur, pour les comptabilits tenues au moyen de systmes informatiss, par la validation. Cette procdure, qui interdit toute modification ou suppression de lenregistrement est mise en uvre au plus tard au terme de chaque mois.

122 123

Bulletin N88 du 3me trimestre 1991, page 4 et suivant. Disposition identique aux dispositions du paragraphe 420-2 du Nouveau Plan Comptable Gnral Franais 1999

81

La scurit du systme dinformation : Les enjeux de lexpert comptable

Une procdure de clture destine figer la chronologie et garantir lintangibilit des enregistrements est mise en uvre et ce, au plus tard avant lexpiration de la priode suivante, sous rserve des dlais diffrents fixs par des dispositions lgales ou rglementaires. . Cette mesure vise interdire la modification ou la suppression des donnes sans laisser de traces. En informatique, elle est en principe assure par la validation, la clture et l'utilisation d'un support de sauvegarde inaltrable. Il convient de distinguer trois phases pour apprcier la validit dune comptabilit informatise : Avant la validation comptable dune criture : la modification est, dans ce cas, permise. En effet, tant que la validation nest pas faite, les critures ne font pas partie du systme comptable. La validation comptable proprement dite : Il sagit dune tape qui consiste figer les diffrents lments de lcriture de faon ce que toute modification ultrieure soit impossible. Cette tape devrait tre ralise au moins mensuellement. Aprs la validation comptable dune criture : Toute modification devrait tre impossible. 2.6. Les procds et les moyens de traitement de linformation : Selon le paragraphe 47 de la norme comptable gnrale, lorganisation de la comptabilit tenue au moyen de systmes informatiss doit permettre : De satisfaire les exigences de scurits et de fiabilit requises en la matire, De restituer sur papier sous une forme directement intelligible toute donne entre dans le systme de traitement . Le paragraphe 48 ajoute que : lidentification des documents informatiques est obtenue par : Une numrotation des pages, Lutilisation de la date du jour de traitement gnre par le systme et qui ne peut tre modifie par lentreprise, pour dater les documents, Lutilisation dun programme interdisant lannulation ou la modification des oprations valides . Sous section 2: La rglementation fiscale: Les principales dispositions fiscales tunisiennes en la matire se rsument dans ce qui suit : 1- Dispositions en matire de comptabilit informatise : Larticle 62 alina II du code de limpt sur le revenu des personnes physiques et de limpt sur les socits stipule que les personnes qui tiennent leur comptabilit sur ordinateur doivent :
82

La scurit du systme dinformation : Les enjeux de lexpert comptable

Dposer, contre accus de rception, au bureau de contrle des impts dont elles relvent un exemplaire du programme initial ou modifi sur support magntique ; Informer ledit bureau de la nature du matriel utilis, du lieu de son implantation et de tout changement apport ces donnes. Ce mme article ajoute dans son alina IV que les livres de commerce et autres documents comptables, et dune faon gnrale, tous documents dont la tenue et la production sont prescrites en excution du prsent code doivent tre conservs pendant 10 ans. Par ailleurs, les entreprises qui tiennent leur comptabilit sur ordinateur demeurent astreintes la tenue des documents prescrits par la lgislation comptable savoir le journal gnral, le grand-livre et le livre dinventaire. En outre, et dans le cas o la comptabilit est tenue sur ordinateur, par le moyen de logiciels informatiques destins lusage collectif et labors par les entreprises des services informatiques, ces derniers peuvent dposer, au lieu et place de leurs entreprises clientes, une copie du programme initial ou modifi sur supports magntiques, condition de faire parvenir aux services du contrle fiscal la liste de la clientle utilisant lesdits programmes. 124 Par ailleurs et selon les dispositions de la loi N 2000-82 du 09 aot 2000 portant promulgation du code des droits et des procdures fiscaux, les personnes soumises la tenue dune comptabilit conformment larticle 62 du code de lIRPP et de lIS, doivent communiquer, en cas de contrle et entre autres, les programmes, logiciels et applications informatiques utiliss pour larrt des comptes ou pour ltablissement de leurs dclarations fiscales. En outre, les personnes qui tiennent leur comptabilit ou tablissent leurs dclarations fiscales par les moyens informatiques, doivent communiquer, aux agents de ladministration fiscale, les informations et claircissements que les agents de ladministration leur demandent dans le cadre de lexercice de leurs fonctions. Selon larticle 97 de la loi 2000-82 prcite, toute personne qui refuse de communiquer ou qui a dtruit, avant lexpiration de la dure lgale de conservation, la comptabilit, les registres ou rpertoires prescrits par la lgislation fiscale est punie dune amende allant de 100 dinars 10.000 dinars. 2- Dispositions en matire de factures : Larticle 18 du code de la TVA stipule dans son alina III que : 1) Les assujettis la TVA sont tenus : dutiliser des factures numrotes dans une srie ininterrompue
124

Note commune 19/98

83

La scurit du systme dinformation : Les enjeux de lexpert comptable

de dclarer au bureau de contrle des impts de leur circonscription les noms et adresses de leurs fournisseurs en factures. 2) Les imprimeurs doivent tenir un registre cot et paraph par les services du contrle fiscal sur lequel sont inscrits, pour toute opration de livraison, les noms, adresses et matricules fiscaux des clients, le nombre de carnets de factures livrs ainsi que leur srie numrique. Cette mesure s'applique aux entreprises qui procdent l'impression de leurs factures par leurs propres moyens. Par ailleurs, ladministration fiscale na pas encore trait la dmatrialisation des factures et leur transmission par voir tlmatique. Sous section 2 : La rglementation juridique: En Tunisie, la rglementation juridique spcifique au systme dinformation se rsume, essentiellement, dans ce qui suit : 1-Loi 94-36 du 24 fvrier 1994 relative la proprit littraire et artistique, mise jour Loi 2009-33 : Les grands axes de cette loi se rapportant aux logiciels sont les suivants : Le logiciel cre par un ou plusieurs salaris dun organisme appartient, sauf stipulation contraire, cet organisme employeur ; Sauf stipulation contraire, lauteur ne peut sopposer ladaptation du logiciel par des tiers dans la limite des droits quil leur a cds ; Sauf stipulation contraire, toute production autre que ltablissement dune copie de sauvegarde par lutilisateur ainsi que toute utilisation dun logiciel non expressment autorise par lauteur ou des ayants droits, est interdite. Les droits prvus steignent lexpiration dune priode de vingt cinq ans compter de la date de la cration du logiciel. 2-Loi 2000-83 du 09 aot 2000 relative aux changes et au commerce lectronique : Cette loi a rglement lactivit du fournisseur de certification lectronique. Elle a prvu aussi la cration de l'ANCE (Agence Nationale de Certification Electronique) charge de chapeauter les fournisseurs privs de services de certification lectronique et de dfinir des normes pour les dispositifs de cration et de vrification des signatures lectroniques. En outre, cette loi a prvu dautres dispositions rgissant les changes et le commerce lectronique dont les principales sont : 2.1. Documents et signatures lectroniques : Selon larticle 4 de la loi 2000-83 :
84

La scurit du systme dinformation : Les enjeux de lexpert comptable

La conservation du document lectronique fait foi au mme titre que la conservation du document crit (article 4). Lmetteur sengage conserver le document lectronique dans la forme de lmission. Le destinataire sengage conserver ce document dans la forme de la rception. Le document lectronique est conserv sur un support lectronique permettant : 1. La consultation de son contenu tout au long de la dure de sa validit 2. Sa conservation dans sa forme dfinitive de manire assurer lintgrit de son contenu 3. La conservation des informations relatives son origine et sa destination ainsi que la date et le lieu de son mission ou de sa rception. La loi admet lapposition dune signature lectronique sous rserve de lexistence dun dispositif fiable dont les caractristiques techniques seront fixes par arrt125 2.2. Des transactions commerciales lectroniques : Avant la conclusion du contrat, le vendeur est tenu lors des transactions commerciales lectroniques de fournir au consommateur de manire claire et comprhensible toutes les informations se rattachant la transaction et au paiement. La loi numre les obligations et les droits aussi bien du consommateur que du vendeur. 2.3. Protection des donnes personnelles : Le fournisseur de services de certification ne peut traiter les donnes personnelles quaprs accord du titulaire du certificat concern. Auquel cas, il doit appliquer des procdures suffisantes pour la protection de ces donnes. Sauf consentement du titulaire du certificat, le fournisseur de services de certification lectronique ou un de ses agents ne peut collecter les informations relatives au titulaire du certificat que dans le cas o ces informations seraient ncessaires la conclusion du contrat, la fixation de son contenu, son excution et la prparation et lmission des factures. 3-Loi N 2001-1 du 15 janvier 2001 portant promulgation du code des tlcommunications, mise jour loi n 2002-46 et loi n 2008-1 : Le code des tlcommunications a pour objet lorganisation du secteur des

tlcommunications. Parmi les principales sanctions prvues par ce code, nous citons : Est puni dun emprisonnement de 3 mois, quiconque divulgue, incite ou participe la divulgation du contenu des communications et des changes transmis travers les rseaux des tlcommunications.

125

Arrt du ministre des technologies de la communication du 19 juillet 2001, fixant les caractristiques techniques du dispositif de cration de la signature lectronique.

85

La scurit du systme dinformation : Les enjeux de lexpert comptable

Est puni dun emprisonnement de six mois cinq ans et dune amende de 1.000 5.000 DT ou de lune de ces deux peines seulement, celui qui utilise, fabrique, importe, exporte, dtient en vue de la vente ou la distribution titre gratuit ou onreux ou met en vente ou vend les moyens ou les services de cryptologie en violation de la rglementation en vigueur. 4-Loi n 5 - 2004 du 3 fvrier 2004:
Cette loi se rapporte la scurit informatique. Elle porte sur lorganisation du domaine de la scurit informatique et fixe les rgles gnrales de protection des systemes informatiques et des rseaux.

5-Dcret n1250-2004 du 25 mai 2004:


Fixant les systmes informatiques et les rseaux des organismes soumis laudit obligatoire priodique de la scurit informatique et les critres relatifs la nature de laudit et sa priodicit et aux procdures de suivi de lapplication des recommandations contenues Art.2- Sont soumis laudit obligatoire priodique conformment larticle 5 de la loi susvise n2004-5 du 3 fvrier 2004, les systmes informatiques et les rseaux relevant des organismes publics et les systmes informatiques et les rseaux des organismes du secteur priv suivants :

Les oprateurs des rseaux publics de tlcommunications et les fournisseurs des services de tlcommunication et dInternet, Les entreprises dont les rseaux informatiques sont interconnectes travers des rseaux externes de tlcommunications, Les entreprises qui procdent au traitement automatis des donnes personnelles de leurs clients dans le cadre de la fourniture de leurs services travers les rseaux de tlcommunications.
En cas de rejet du rapport, lorganisme concern est tenu de refaire laudit et de communiquer le rapport lagence dans un dlai ne dpassant pas deux mois partir de la date de la notification du rejet.

6-Loi organique n 63 2004, du 27 juillet 2004:


Cette loi porte sur la protection des donnes caractre personnel.

7-Circulaire n 22 2004:
Cette circulaire porte sur la suret des locaux appartenant aux ministres et aux entreprises publiques.

8-Circulaire n 19 - du 11 avril 2007:


Relative au renforcement des mesures de scurit informatique dans les tablissements publics; Cration dune Cellule Technique de Scurit, nomination dun Responsable de la Scurit des Systemes d'Information RSSI et mise en place dun Comit de pilotage.

86

La scurit du systme dinformation : Les enjeux de lexpert comptable

9-Code pnal: Les principales dispositions du code pnal, pouvant tre appliques dans un contexte denvironnement informatique, sont : Art 199 bis et Article 199 ter*, ajout par la Loi n 99-89 du 2 aot 1999 prvoyant des sanctions pnales suite lintrusion aux systmes informatiques Abus de confiance : Il est prvu par l'article 297 du Code Pnal. A l'inverse de l'escroquerie, la chose dtourne a t remise avec le consentement de la victime. Lauteur de linfraction la accept par contrat et sest engag la restituer ou en faire un usage dtermin. Dommages divers la proprit dautrui : Prvus par larticle 304 et suivant du code pnal et concernent quiconque, volontairement, cause un dommage la proprit immobilire ou mobilire dautrui. Sous section 3: Les principales ractions des organismes professionnels: 1- Les rflexions de lIFAC: LInternational Federation of Accountants (IFAC) reprsente un organisme de normalisation internationale, dont les normes ont t adoptes par plusieurs pays dans le monde entier, dont la Tunisie. LIFAC au travers du comit des normes internationales IAPC (international auditing
practices committee) a publi plusieurs normes se rapportant lapproche daudit par les risques qui prennent en considration les particularits dun milieu informatis. Il sagit notamment de :

La norme ISA 315 : connaissances de lentit et de son environnement et valuation du risque danomalies significatives ; La norme ISA 330 : procdures mettre en uvre par lauditeur en fonction de son valuation des risques ; La norme ISA 500 : lments probants. 2- Systems Auditability and Control (SAC) Report Le Systems Auditability and Control Report est un rapport sur laudit et le contrle des systmes dinformation publi par linstitut of internal auditors (IAA) aux tats unis et traduit par linstitut franais de laudit interne (IFACI). Ce document prsente essentiellement ce quun auditeur doit savoir pour auditer la scurit du systme dinformation. Ces recommandations ne sont pas prsentes sous forme de normes, mais il sagit plutt dun rfrentiel portant sur la scurit des systmes dinformation en gnral. Il a t conu dans lobjectif de fournir aux directions gnrales et aux auditeurs internes et externes des lignes directrices afin de les aider tablir des priorits pour la mise en uvre des contrles permettant de rduire les risques.
87

La scurit du systme dinformation : Les enjeux de lexpert comptable

A cet effet, sont exposs les contrles fondamentaux permettant de sassurer que lintgrit, la confidentialit, et la disponibilit des ressources et des informations sont garanties. Le module scurit sarticule autour de trois parties : la gestion de la scurit, la scurit physique et la scurit logique. Chacune de ces parties prsente les risques lis la scurit aprs en avoir rappel le contexte, puis propose une dmarche daudit partir de lidentification des zones ou points dentres sensibles. Le module scurit du SAC Report prsente une dmarche gnrale daudit en examinant les contrles des domaines suivants : Politiques, procdures et directives de scurit ; Programmes de sensibilisations et de formation la scurit ; Gestion et administration de la scurit ; Contrle de scurit physique ; Contrle daccs logique, y compris ceux concernant les accs aux donnes et aux programmes, les contrles de modification, les pistes daudit, les caractristiques du logiciel et le logiciel de contrle daccs. 3- Compagnie Nationale des Commissaires aux Comptes (CNCC) : Le CNCC, travers la commission informatique, traite des sujets du systme dinformation susceptibles davoir un impact sur la mission du commissaire aux comptes. Dans ce cadre, cette commission mne rgulirement des rflexions sur les nouvelles technologies et ce, en :
Formulant des avis, en diffusant des guides spcifiques de contrle dans les entreprises informatises (exemple : laudit en milieu EDI, dition 1997) et en apportant des rponses aux questions techniques poses par les professionnels ; Elaborant des outils informatiques daide laudit et la gestion administrative des missions Contribuant la mise en place des actions de formation ncessaires et en organisant des manifestations sur les diffrents thmes se rattachant linformatique.

Certains travaux ont dj abouti des publications spcifiques tels que les sujets traitant de la scurit informatique, du Webtrust, du commerce lectronique, de lchange de donnes informatises (EDI), des technologies de la communication, dInternet et des services publics en ligne, etc., et aussi des ouvrages dont par exemple le diagnostic des systmes informatiss: guide dapplication des recommandations et Prise en compte de lenvironnement informatique et incidence sur la dmarche daudit - dition CNCC 2003. Ce guide fournit lauditeur une grille des contrles des plus importantes effectuer dans le cadre dune mission mene dans un milieu informatique et qui vise sassurer des scurits informatiques mises en place par lentreprise pour garantir la disponibilit, la confidentialit et lintgrit des donnes issues des traitements informatiques.
88

La scurit du systme dinformation : Les enjeux de lexpert comptable

4- Agence nationale de la scurit du systme dinformation (ANSSI) 126 en France et Agence nationale de la scurit informatique (ANSI)127 en Tunisie : LANSSI publie les rfrences juridiques, les procdures, des guides mthodologiques, des documents techniques relatifs la scurit du systme dinformation. 5- LAssociation Franaise dAudit et du conseil en Informatique (AFAI) :128 L'AFAI (Association Franaise de l'Audit et du Conseil Informatiques) a pour objet : De crer une structure d'accueil ouverte toute personne physique ou morale qui souhaite contribuer la matrise des systmes d'information, au dveloppement, en France o l'tranger, des techniques de l'audit et du conseil informatiques dans les domaines de la gestion de l'activit des secteurs privs et publics, de la pdagogie et de la formation. De promouvoir la recherche sur l'audit et le conseil informatiques en organisant notamment les conditions favorables la conduite et la diffusion des techniques et des travaux de recherche dans ces domaines. De regrouper l'ensemble des professionnels et de susciter la cration, notamment l'chelle nationale, d'un rseau d'changes entre les personnes physiques ou morales intresses par le dveloppement des techniques de matrise des systmes d'information. L'AFAI est le chapitre franais de LISACA et compte environ 600 membres. L'ISACA est l'association internationale de l'Audit et du Conseil informatique et compte environ 70 000 membres. 6- Le Club de la Scurit des Systmes dInformation (CLUSIF): Le CLUSIF est un club professionnel, constitu en association indpendante, ouvert toute entreprise ou collectivit. Il accueille des utilisateurs et des offreurs issus de tous les secteurs d'activit de l'conomie. La finalit du CLUSIF est d'agir pour la scurit de l'information, facteur de prennit des entreprises et des collectivits publiques. Il entend, ainsi, sensibiliser tous les acteurs en intgrant une dimension transversale dans ses groupes de rflexion : management des risques, droit, intelligence conomique Les travaux du CLUSIF portant sur le systme dinformation comprennent des travaux de recherche et dveloppement, des prises de position sur des sujets d'actualit, des guides et recommandations caractre didactique, l'effet de lart sur diffrents types de solutions, des mthodes, des enqutes, des outils de sensibilisation, etc

126 127

http://www.ssi.gouv.fr http://www.ansi.tn 128 http://www.afai.fr

89

La scurit du systme dinformation : Les enjeux de lexpert comptable

7- Association Internationale de l'Audit et du Conseil Informatique: ISACA129 LISACA est une association fonde en 1969 qui englobe des professionnels de la vrification, de la scurit et du contrle des technologies de linformation. LISACA a dvelopp et promulgu des Normes Gnrales ainsi que des directives pour l'Audit des Systmes d'Information. L'objectif de ces normes et directives est de dfinir pour les auditeurs un niveau de diligence minimal pour rpondre aux responsabilits professionnelles. Elle a aussi dvelopp le COBIT130 qui constitue un rfrentiel international de Gouvernance, de Contrle et de lAudit de lInformation et des technologies associes. 8- La loi Sarbanes-Oxley (SOX) : Cette loi vise rassurer les marchs financiers quant la sincrit de linformation financire. Elle sapplique aux socits cotes aux Etats-Unis. Elle comprend 11 thmes dont :
La responsabilit d'entreprise, L'amlioration de l'information financire.

Elle impose aux dirigeants de nouvelles obligations relatives au contrle interne affrent au processus de production du reporting financier. Ainsi, lvaluation du contrle interne par les dirigeants est effectue chaque anne, sous leur responsabilit. Ils doivent galement certifier que des procdures et des contrles relatifs l'information publie ont t dfinis, mis en place et maintenus, et que l'efficacit de ces procdures et de ces contrles a fait l'objet d'une valuation. Cette valuation doit tre revue par les auditeurs qui doivent produire une attestation ce sujet. En cas de non-respect de la loi, des peines sont prvues pouvant aller jusqu' 20 ans d'emprisonnement et USD 20 millions d'amende. Afin de rpondre ces nouvelles obligations, les dirigeants doivent mettre en place : Un systme de contrle interne, Un processus permettant de documenter les procdures de contrle, et dvaluer leur efficacit et leur fonctionnement, de documenter les faiblesses et enfin de mettre en place un plan daction visant corriger les faiblesses identifies et amliorer le dispositif du contrle interne.

129 130

http://www.isaca.org Control Objectives for Information and Related Technology

90

La scurit du systme dinformation : Les enjeux de lexpert comptable

9- Committee of Sponsoring Organizations COSO:

Le rfrentiel COSO dfinit le contrle interne comme un processus mis en uvre par les dirigeants tous les niveaux de lentreprise et destin fournir une assurance raisonnable quant la ralisation des trois objectifs suivants : La ralisation et l'optimisation des oprations, La fiabilit des informations financires, La conformit aux lois et rglements. Le contrle interne, comporte cinq composantes. Ces composantes procurent un cadre pour dcrire et analyser le contrle interne mis en place dans une organisation. Il sagit de : L'environnement de contrle, qui correspond, pour l'essentiel, aux valeurs diffuses dans l'entreprise, L'valuation des risques au vu de leur importance et frquence, Les activits de contrle, dfinies comme tant les rgles et les procdures mises en uvre pour traiter les risques, L'information et la communication, qu'il s'agit d'optimiser, La supervision, c'est--dire le contrle du contrle interne. A travers cette tude sommaire, nous constatons lintressement que revt le sujet du systme dinformation aussi bien pour les instances lgislatives que pour les organismes professionnels. Ceci dnote de limportance de lenjeu pour lexpert comptable dans ce domaine. Section 4 : Les comptences requises par lexpert comptable: Sous section 1: Limites la ralisation dune mission daudit de la scurit du systme dinformation: 1- Limites inhrentes lexpert comptable: Le dveloppement des nouvelles technologies de linformation et de la communication sest vite ancr dans la gestion courante des affaires de lentreprise, sans pour autant quil ne soit suivi dun dveloppement aussi spectaculaire au niveau des cabinets des principaux conseillers de lentreprise, en loccurrence les experts comptables. Ce foss sest creus au niveau de trois facteurs cls de succs dune mission dassistance, savoir lorganisation des cabinets, la formation des experts et les budgets temps allous laudit de scurit. Dabord, lexception des grands cabinets internationaux, qui se sont dots de dpartements spcialiss dans laudit de la scurit du systme dinformation, composs dauditeurs spcialiss en scurit systme dinformation et dingnieurs en informatique, les petites et
91

La scurit du systme dinformation : Les enjeux de lexpert comptable

moyennes structures de cabinets ne disposent pas dune telle organisation ou tout au moins dauditeurs spcialiss en informatique. Ainsi, les travaux effectus gnralement dans le cadre dune mission daudit lgal se limitent la validation des outils conduisant larrt des tats financiers et ne portent pas sur lapprciation des mcanismes de scurit mis en place par lentreprise. Faute doutils et de comptences suffisants, laudit financier est souvent privilgi au dtriment de laudit de la scurit informatique 131. Ce manque de comptences prive les cabinets de missions spcifiques daudit de scurit du systme dinformation. Ensuite, le domaine daudit de la scurit du systme dinformation requiert en ce qui concerne laudit technique des comptences tendues, approfondies, et actualises dans le domaine de la scurit. Or, de par sa formation, lauditeur ne dispose pas de ces comptences, ce qui constitue une entrave lors dun audit financier la ralisation des travaux ncessaires en matire de vrification des scurits informatiques. Enfin, on constate dans le cadre de ralisation des missions daudit financier que le budget temps imparti aux vrifications de la scurit du systme dinformation est limit, ce qui, cot du fait de manque de comptences ncessaires, rduit laudit des scurits de la scurit du systme dinformation des contrles primaires daudit des scurits physiques existantes, de lutilisation des mots de passe, dantivirus . Cette restriction relative au budget temps est dautant plus importante lorsquil sagit dune mission de commissariat aux comptes dune petite et moyenne entreprise (PME). En effet, ces structures peuvent prsenter un risque au niveau de la scurit du systme dinformation important du fait quelles utilisent souvent des solutions informatiques et des applications standards achetes sur le march ou hrites dune socit mre de taille trs importante et non adaptes la taille et lactivit de la PME. 2- Limites relatives la dmarche daudit : Prendre en considration laspect de scurit de la scurit du systme dinformation et assurer lapprciation des risques associs et laptitude de la politique de scurit mise en place y faire face, ncessitent de la part de lexpert comptable des comptences en matire daudit dune manire gnrale et des scurits informatiques en particulier. Ces comptences spcifiques en matire informatique seront combines avec les comptences daudit pour assurer la russite de la mission. La dmarche daudit doit prendre en considration, et les aspects organisationnels et les aspects techniques lis la scurit du systme dinformation. De mme, le niveau de scurit
131

Sofiene Maxime Kader : Scurit des systmes dinformation, du principe dexclusion la gestion didentit .

92

La scurit du systme dinformation : Les enjeux de lexpert comptable

applique sur les systmes dinformations est dynamique, il peut voluer fortement en fonction d'une simple mise jour de systme d'exploitation ou d'applicatif. Il en ressort qu'un rsultat d'audit peut tre contredit par le moindre changement sur le systme d'information (organisationnel ou technique), do la ncessit de valider les rponses des interlocuteurs par des pices justificatives. 3- Limites lies lorganisation des clients: La russite de la mission de lexpert comptable dpend dans une grande partie de la structure de ses clients. Or, rares sont les petites structures qui disposent dun responsable de scurit du systme dinformation ou dun informaticien. En labsence de comptences suffisantes, la mission peut tre difficile raliser dans le temps imparti et avec le budget allou. S'il semble aujourd'hui vident que les technologies de linformation et de la communication (TIC) ont largement influenc l'exercice de la profession comptable, on peut sinterroger sur la manire dont les cabinets comptables ont intgr ces technologies pour laudit de la scurit du systme dinformation. 132 La question de lutilisation des TIC se pose au regard des mutations actuelles du secteur et amne une ncessaire rflexion sur la notion d'usages de ces outils TIC par des acteurs dont le cur de mtier repose sur la collecte et le traitement de l'information. Malgr la grande diversit des cabinets comptables133 (dune toute petite structure un cabinet de plus de cinquante salaris, les stratgies et les marchs tant bien diffrents), des problmatiques et des enjeux communs existent en termes d'intgration technologique. Dans un premier temps, un tat des lieux des profonds changements auxquels sont confronts les cabinets comptables permettra dapprhender le rle des TIC dans le renouveau de la profession. Nous aborderons ensuite les comptences dvelopper par lexpert comptable pour russir les missions daudit de la scurit du systme dinformation. Sous section 2: Intgrer les TIC pour faire face aux mutations du secteur La profession comptable est actuellement dans une phase de profonde mutation. Plusieurs volutions de l'environnement, communication libre, concentration des cabinets, acclration des innovations technologiques, soulvent des incertitudes et parfois des inquitudes sur l'avenir de la profession comptable librale. Lactivit de production comptable sexerce dsormais dans un march satur, de plus en plus concurrentiel, encore
132

Parmi les enqutes les plus rcentes disponibles sur le thme, celle ralise, par voie lectronique, par le Conseil suprieur de l'Ordre des experts-comptables (CSOEC) auprs de 13 000 experts-comptables (sur 16 000 inscrits), a fait l'objet d'une analyse des impacts d'internet sur la relation client et la performance : http://www.iae.univ-poitiers.fr/afc07/Programme/PDF/p87.pdf 133 Nous laissons les grosses structures ( Big-Four ) de ct, leurs problmatiques tant spcifiques. Les Big Four sont les quatre rseaux mondiaux qui dominent le march de laudit des grandes entreprises (Deloitte et KPMG, PricewaterhouseCoopers PwC- et Ernst & Young). Pour les rcentes volutions de ces rseaux, voir notamment larticle de La Tribune Du nouveau chez les Big Four : http://www.latribune.fr/info/Audit---du-nouveau-chez-les-Big-Four-

93

La scurit du systme dinformation : Les enjeux de lexpert comptable

trs atomis, et avec, en tendance de fond, la recherche d'une convergence internationale des systmes d'information comptables. 1- Les TIC, un bouleversement supplmentaire ou un tremplin pour la profession ? La profession comptable librale a t largement secoue depuis plusieurs annes par les volutions technologiques. Celles-ci ont notamment favoris la concentration en permettant lapparition progressive de gros cabinets issus de regroupements ou la mise en rseaux de cabinets ayant des comptences sectorielles spcifiques et dots de puissants moyens de communication. Elles ont galement conduit une rorganisation de toutes les activits qui peuvent faire lobjet dun traitement numris et donc transportables et accessibles partout. Les cabinets comptables ont peu dactivits non numrisables et sont de plus en plus contraints de changer leur positionnement et leur faon d'exercer leur mtier, en valorisant ces activits, dans le sens d'un meilleur service client. L'expert-comptable traditionnel , technicien du chiffre, rigoureux, constant voire statique, doit faire place un professionnel qui peut moduler son profil et adapter son comportement sans cesse, avec davantage de conseils et de capacits managriales (accompagnement du crateur dentreprise prvisions, dmarches bancaires, organisation - optimisation du statut et de la rmunration du chef dentreprise, ralisation de tableaux de bord pour les TPE, informatisation du client, valuation dentreprise). Les technologies de l'information et de la communication sont, dans ce cadre-l, de rels tremplins pour la profession. Elles devraient permettre de rationaliser les missions centrales - comptables, fiscales et sociales - pour reporter et dvelopper des comptences vers l'accompagnement. Par ailleurs, l'utilisation des TIC peut permettre aux cabinets de mieux se faire connatre, en communiquant plus rgulirement et autrement vers les clients, mais aussi de mieux connatre ces derniers, pour anticiper leurs besoins. 134 2- Les TIC au service de la flexibilit du cabinet: La mission de l'expert-comptable est une mission de conseil au service du dveloppement des PME. Actuellement, la profession, tout en restant un mtier du chiffre , s'ouvre vers l'extrieur, vers les autres mtiers, et la capacit grer la relation client vient au premier plan, au ct des capacits techniques. Parmi les pistes d'volution dans le sens d'un accompagnement plus important et innovant, il semble que la matrise des TIC pour modifier l'organisation du cabinet et gagner en productivit et en souplesse soit un incontournable. 135

134

Article Les enjeux actuels des TIC dans les cabinets dexpertise comptable http://www.laprofessioncomptable.com/pages/INTERVIEW/ConseilAuditSynthese.pdf 135 Franois Rivard, Georges Abou Harb, et Philippe Meret _ Le systme d'information transverse : Nouvelles solutions du SI et performance mtier _ Edition Lavoisier _ 2008

94

La scurit du systme dinformation : Les enjeux de lexpert comptable

3- Outils et usages TIC en cabinet dexpertise comptable: Si l'usage des technologies en cabinet semble tre considr comme allant de soi, il est important de prciser la notion d' usages , afin de faire apparatre les critres de choix de tel ou tel outil. De la mme faon, il faut rappeler que les habitudes quotidiennes (hors de la sphre professionnelle) jouent un rle prpondrant dans l'appropriation des TIC. Dans ce cadre, l'expert-comptable a tout intrt adopter une attitude prospective pour adapter ses pratiques professionnelles. Le terme usage est utilis avec des sens diffrents (utilisation, application, emploi, pratique, habitude, appropriation...). Appliqu aux TIC, il dcrit une palette large de comportements relatifs un outil ou une technologie, de sa simple utilisation un ensemble plus complet de comportements, associs des reprsentations et des comptences spcifiques.136 Sous section 3: Les comptences dvelopper Afin de choisir et de mettre en uvre des outils pertinents et fort potentiel de valeur ajoute pour le cabinet et pour mener bien les missions daudit de la scurit du systme dinformation, les professionnels du chiffre doivent enrichir leurs comptences et cultiver leur adaptabilit et leur capacit grer le changement. L'appropriation des technologies exige certaines comptences spcifiques et srement une dmarche active de prospection. Un certain niveau de comptences informatiques est ncessaire pour apprhender lensemble des possibilits offertes par les nouveaux produits et services, mais aussi pour en apprcier les limites. Lobjectif est de savoir ce que permet de faire ou de ne pas faire un outil dans le cadre du modle daffaires que souhaite dvelopper le cabinet. Prenons lexemple des solutions intgres qui proposent en un seul systme lensemble des informations de base comptables ou sociales et des modules plus spcifiques de gestion tableaux de bord, laboration de devis. Cependant, ces fonctionnalits ne permettent pas de prendre en charge lensemble des missions de lexpert-comptable, notamment celles ncessitant une connaissance fine du client. Le travail de lexpert-comptable va tre, par exemple, de construire des tableaux de bord adapts aux besoins de chaque client ou de personnaliser la prsentation des honoraires et des lettres de missions - imposes par le code de dontologie - pour faire valoir les nombreux services associs. Ainsi, loutil ne peut se substituer aux pratiques et comptences managriales (relationnelles et organisationnelles) de lexpert-comptable. Dans loptique dune approche mtier des outils TIC, les organisations d'une certaine taille peuvent mettre en place des quipes combinant comptences techniques informatiques et
136

Les usages des TIC ont fait l'objet de plusieurs recherches et approches sociologiques ou cognitives. Par exemple : la thorie de l'appropriation (Chambat, Proulx), la socio-politique des usages (Vitalis, Vedel), etc. Pour un aperu de ces diffrentes approches : http://commposite.org/v1/98.1/articles/ntic_1.htm#surlan

95

La scurit du systme dinformation : Les enjeux de lexpert comptable

comptences mtier. Dans les petits cabinets, c'est l'expert-comptable que revient ce rle. Cela peut ventuellement passer par des changes avec les diteurs de solutions (par exemple via des clubs dutilisateurs ) afin de participer leur dmarche dlaboration dans une optique de recherche dadquation entre loutil et les besoins et volutions du mtier. 137 En outre, l'expert-comptable doit s'intresser la faon dont ses ventuels collaborateurs vont utiliser et s'approprier les outils mis leur disposition. Ce choix technologique conduit donc des usages nouveaux associs des mutations organisationnelles. Il semble vident que la russite de lintgration des TIC par tous les acteurs du cabinet repose sur des changes nombreux propos des pratiques, des besoins des utilisateurs et du projet mtier dans lequel sinscrit le projet technologique. Les TIC ont pris une telle place dans les cabinets dexpertise comptable, ces derniers doivent imprativement dvelopper les comptences en matire des TIC afin de proposer, au final, un service de qualit au client. Pour assurer convenablement sa mission, lexpert comptable a besoin de renforcer, dune part, sa formation acadmique par des disciplines se rapportant aux technologies de linformation et de la communication et aux mesures de scurit permettant de rduire le risque global de lentreprise, et de veiller, dautre part, la constante mise jour de ces connaissances vu les volutions rapides dans ce domaine. A cet effet, le programme de formation des experts comptables tabli par lIFAC, intgre, outre les disciplines de comptabilit, de finances et de management, les technologies de linformation et de la communication. De mme, parmi les domaines de formation des commissaires aux comptes exigs par la huitime directive europenne138, il y a lieu de citer les technologies de linformation et systmes informatiques. L'expert-comptable intervient en appui toutes les tapes de la vie des entreprises et dans tous les secteurs de l'conomie. Vritable coach du chef d'entreprise, il le conseille et l'assiste dans ses choix stratgiques et dans leur mise en uvre oprationnelle. L'expert-comptable intervient galement dans des missions de conseil dfinies

contractuellement avec le dirigeant dans les domaines aussi divers que la fonction personnel, l'ouverture de capital, la mise en place de systmes d'information, audit du systme dinformation, laboration dun schma directeur, dveloppement dune politique de scurit dinformation. Il intervient sur des missions d'audit lgal pour certifier les comptes des entreprises et garantir la fiabilit de l'information financire ou pour des missions de conseil et dorganisation. Ses atouts, de l'indpendance, de l'aisance sur les techniques d'aide
137

propos du degr dinformatisation des clients, voir lenqute TIC Eurostat /Insee Lintgration des TIC est encore incomplte dans les entreprises : http://www.insee.fr/fr/themes/document.asp?ref_id=ip1184&reg_id=0#sommaire
138

Article 8 directive 2006/43/ce du parlement europen et du conseil du 17 mai 2006 concernant les contrles lgaux des comptes annuels et des comptes consolides et modifiant les directives 78/660/CEE et 83/349/CEE du conseil, et abrogeant la directive 84/253/CEE du conseil

96

La scurit du systme dinformation : Les enjeux de lexpert comptable

la dcision, une approche pragmatique de l'conomie, le got du contact, de la communication et du travail en quipe, une bonne gestion des temps. Les technologies de linformation et de la communication sont devenues un support incontournable de lensemble des activits de lentreprise. Elles simposent, dsormais, comme un actif stratgique au service des oprations et du pilotage de lentreprise. Dans ce contexte, lenjeu essentiel pour lentreprise est de tirer le meilleur parti de son Systme dInformation afin den faire un levier majeur de latteinte de ses objectifs. Cest pourquoi, lentreprise doit dfinir une stratgie pour son Systme dInformation qui doit tre cohrente avec sa stratgie mtiers . Elle doit anticiper les besoins relatifs sa croissance organique et/ou externe. Elle doit ensuite mettre en place un responsable de scurit du systme dinformation (RSSI) apte mettre en uvre une politique de scurit du systme dinformation. Enfin, elle doit savoir valoriser les donnes produites par le Systme dInformation et protger efficacement ces donnes contre les risques de perte, de vol ou de fraude. Lexpert comptable, acteur dexcellence du conseil et dinnovation, a dvelopp une expertise de premier plan sur lensemble de ces enjeux. Ainsi, lauditeur doit avoir une connaissance suffisante des nouvelles technologies de linformation et de la communication et ce, afin de : Dterminer leffet de ces technologies sur lvaluation du risque daudit global et du risque au niveau du compte et au niveau de la transaction Obtenir une comprhension de la structure du contrle interne telle quaffecte par ces technologies et son effet sur les transactions de lentit Dterminer et excuter les tests sur les contrles et les tests substantifs appropris adapts la dmarche particulire daudit Pouvoir mettre en uvre les techniques daudit assistes par ordinateur Evaluer les rsultats des procdures effectues. Evaluer la confidentialit, la disponibilit et lintgrit du systme dinformation. Par ailleurs, laudit de la scurit du systme dinformation et de la communication exige de lauditeur : Une comptence et une exprience la hauteur des difficults rencontres et de l'efficacit requise ; la formation permanente en sminaires et sur le terrain doit constituer un investissement important ; Une recherche permanente des mthodes et techniques nouvelles et mieux adaptes. Participation dans des concours internationaux tel que le concours du CISA Certified Information System Auditor .

97

La scurit du systme dinformation : Les enjeux de lexpert comptable

Participation des formations universitaires spcialises connues par exemple les DESS (Diplme dEtudes Suprieures Spcialises) en systme dinformation et autres cycles de formation Lauditeur doit, quand mme, veiller avoir un minimum de formation et de comptence en matire de nouvelles technologies de linformation et de la communication. Ce niveau minimal doit lui permettre de : Dtecter la ncessit de faire appel un spcialiste pour des questions purement techniques Dfinir le domaine dintervention du spcialiste Diriger et superviser le droulement des travaux du spcialiste Intgrer les conclusions des travaux du spcialiste avec celles de laudit. En effet, il est utile de rappeler que lauditeur ne peut en aucun cas dlguer la responsabilit de tirer les conclusions finales de laudit ou celle dexprimer son opinion sur linformation financire. En consquence, lorsquil dlgue certains travaux des assistants ou quil a recours des travaux effectus par dautres auditeurs ou des experts qualifis en nouvelles technologies de linformation et de la communication, lauditeur doit possder des connaissances suffisantes en la matire pour diriger, superviser et examiner les travaux des assistants qualifis et/ou pour obtenir un degr raisonnable de certitude que les travaux effectus par dautres auditeurs ou des experts qualifis rpondent bien ses besoins. Comptence professionnelle : Lauditeur des SI doit tre professionnellement comptent, cest--dire possder les aptitudes et connaissances ncessaires pour mener bien ses missions daudit. Il doit entretenir ces comptences professionnelles en suivant des programmes de formation professionnelle continue. Lauditeur des SI doit attester de comptences professionnelles suffisantes (aptitudes, connaissances et exprience pertinentes pour la mission concerne) avant de commencer son travail. Dans le cas contraire, lauditeur des SI doit refuser ou se retirer de la mission. Sil possde les comptences requises, lauditeur des SI doit satisfaire aux exigences de formation ou de dveloppement professionnel continus de la CISA, ainsi quaux autres charges professionnelles lies laudit. Les membres de lISACA non titulaires de la certification CISA ou dun autre titre dauditeur professionnel et qui sont impliqus dans laudit des systmes dinformation doivent possder une formation et une exprience professionnelles suffisantes. Si lauditeur des SI dirige une quipe charge du contrle, il doit attester que tous ses membres possdent le niveau de comptences professionnelles requis pour la tche excuter.
98

La scurit du systme dinformation : Les enjeux de lexpert comptable

Conclusion: La scurit du systme dinformation apparat donc comme une ncessit pour toutes les entreprises quelque soit leur taille, compte tenu dune part de lutilisation rpandue de linformatique, et de la nature et du cot des risques informatiques, et de la complexit du systme dinformation dautre part. Toutefois, la scurit du systme dinformation de nos jours reste trop ractive, on ragit pour rsoudre un problme plutt que de chercher l'viter. Il n'y a actuellement pas de garantie absolue de scurit, on assure au mieux la protection, on rduit les risques mais on ne peut pas les liminer compltement. Rares sont les entreprises qui adoptent une vritable attitude proactive pour prvenir les problmes 139. Une attitude proactive met en exergue le besoin de procder un audit de la scurit du systme dinformation, qui permet la fois de prvenir et de faire face aux menaces et aux vulnrabilits du systme dinformation. Assurer laudit de la scurit du systme dinformation constitue pour lexpert comptable une phase ncessaire la ralisation de laudit financier et un nouveau mtier pour lexpert comptable dans les cadres des missions de consulting. Pour assurer la russite dune mission daudit de la scurit du systme dinformation, lexpert comptable est appel dabord renforcer ses connaissances de gestion par des connaissances techniques se rattachant aux technologies dinformation et de communication. Ensuite, il lui incombe dadapter sa dmarche daudit en vue de prendre en considration leffet de linformatique sur lapprciation des risques de lentreprise.

139

www.awt.be scurit et aspects juridiques des TIC

99

La scurit du systme dinformation : Les enjeux de lexpert comptable

Chapitre 2 : Les tapes daudit de la scurit du systme dinformation


Introduction: Comme toute mission daudit, la ralisation dune mission daudit de la scurit du systme dinformation ncessite une dmarche cyclique. Du fait que les risques sont dynamiques et volutifs, aucune solution de scurit nest immuable, et il convient alors de raliser des audits priodiques en vue de dtecter les vulnrabilits nouvelles et de prvoir les plans dactions correctifs. Les tapes daudit de la scurit du systme dinformation couvrent les tapes suivantes : Dfinitions et objectifs de laudit de la scurit du systme dinformation, Prise de connaissance gnrale, Planification de la mission, Elaboration du rapport et des recommandations. Section 1: Dfinitions et objectifs de laudit de la scurit du systme dinformation: Sous section 1 : Dfinition de la scurit du systme dinformation: Linformation constitue un bien important pour lorganisme, elle est ce titre un lment important de lorganisme et elle ncessite une protection adquate. Ce point savre particulirement important dans lenvironnement actuel qui comporte des interconnections de plus en plus nombreuses. Du fait du nombre croissant de ces interconnections, linformation est de plus en plus expose et vulnrable. Linformation se prsente sur des supports varis. Elle peut tre disponible sur papier, stocke lectroniquement, transmise par voie postale ou lectronique, diffuse sur des supports audiovisuels ou verbalement. Quelque soit le support ou les moyens utiliss pour la partager ou la stocker, il convient de protger toujours linformation de manire adapte. La scurit de linformation vise protger linformation contre une large gamme de menaces de manire garantir la continuit des transactions, rduire le plus possible le risque et optimiser le retour sur investissement ainsi que les opportunits en terme dactivit pour lorganisme. La scurit de linformation est assure par la mise en uvre des mesures adapts, qui regroupent des rgles, des processus, des procdures, des structures organisationnelles et des fonctions matriels et logiciels. Ces mesures doivent tre spcifies, mises en uvre, suivies, rexamines et amliores aussi souvent que ncessaire, de manire atteindre les objectifs

100

La scurit du systme dinformation : Les enjeux de lexpert comptable

spcifiques en matire de scurit et dactivit dun organisme. Pour ce faire, il convient dagir de manire concerte avec les autres processus de gestion de lorganisme.140 La scurit du systme dinformation cest lart de combiner un ensemble de mesures prventives et curatives, la fois au plan technique et organisationnel, en vue de faire face aux menaces que lon aura pris soin, au pralable, didentifier et de hirarchiser .141 Sous section 2 : Objectifs de la scurit du systme dinformation : Lobjectif central de la scurit des systmes dinformation est de garantir quaucun prjudice ne puisse mettre en pril la prennit de lentreprise. Cela consiste diminuer la probabilit de voir des menaces se concrtiser, en limiter les atteintes ou dysfonctionnements induits en agissant sur les vulnrabilits des systmes, et autoriser le retour un fonctionnement normal en cas de sinistre des cots et dans des dlais acceptables. En fait, la scurit ne permet pas directement de gagner de largent mais vite den perdre. Ce nest rien quune stratgie prventive qui sinscrit dans une approche globale de la scurit de systme dinformation142. Le concept de scurit des systmes dinformation recouvre un ensemble d'objectifs permettant de protger les ressources dun systme dinformation afin dassurer:143 La confidentialit: faire en sorte que linformation nest accessible quaux personnes autorises y accder, et ce, en rendant l'information inintelligible pour tous ceux qui ne sont pas acteurs de la transaction: La technique principalement utilise cette fin est la cryptographie. Lintgrit: protger lexactitude de lintgrit de linformation et des mthodes de traitement; en dautres termes, vrifier si les donnes n'ont pas t altres durant la communication (de manire fortuite ou intentionnelle). La fonction de hachage est gnralement utilise. La disponibilit: faire en sorte que les utilisateurs autoriss puissent accder linformation et aux biens auxquels elle est associe, chaque fois quils en ont besoin, ce qui implique que le systme sous-jacent soit oprationnel et fonctionnel. La trilogie confidentialit, intgrit, disponibilit dtermine la valeur dune information. La scurit des systmes dinformation a pour but de garantir la valeur des informations que nous utilisons.

140

La norme ISO 27002 Technologies de linformation- Techniques de scurit- Code de bonne pratique pour la gestion de la scurit de linformation 141 GDI Jeans-Louis Desvignes les enjeux de la scurit des systmes dinformation SSTIC 2003 142 Solange Ghernaouti-Hlie Claud scurit Internet ; Stratgies et technologies, Dunod, octobre 2000 143 Kane Paul M Information Security Management BS 7799 now ISO 17799 Armenia September 2004

101

La scurit du systme dinformation : Les enjeux de lexpert comptable

Figure 12: Objectifs de la scurit du systme dinformation

Section 2 : Prise de connaissance gnrale : Lauditeur doit acqurir une connaissance des structures et des activits de lentit ainsi que de son contrle interne y compris son systme dinformation. Cette connaissance doit tre suffisante pour lui permettre didentifier et dvaluer le risque que les tats financiers contiennent des anomalies significatives, que celles-ci rsultent de fraudes ou derreurs, et de concevoir et de mettre en uvre des procdures daudit complmentaires. 144 La prise de connaissance de l'entit est un processus itratif qui se poursuit durant toute la dure de l'audit. Lauditeur doit acqurir la connaissance des spcifis du secteur dactivit concern, de lenvironnement rglementaire et des autres facteurs externes. La phase de prise de connaissance de lenvironnement du systme dinformation est une phase primordiale dans la russite dune mission daudit de la scurit de ce systme. En effet, partir de ce moment, lexpert comptable commence recueillir les lments lui permettant dapprcier les risques encourus par lentreprise. Elle lui sert galement pour tablir le plan de mission, estimer le budget temps allouer et lquipe intervenante en envisageant, le cas chant, le besoin de recourir un spcialiste en informatique pour les cas purement technique La phase prise de connaissance conduit llaboration du plan de mission et implique la prise en compte du systme dinformation de lentreprise. Cette phase est particulirement importante pour le bon droulement de la mission; elle reprsente souvent une part significative du budget dheures, notamment au cours de la premire anne du mandat. Pour les annes suivantes, le poids relatif cette phase par rapport celle dvaluation des risques et dobtention des lments probants pourra diminuer, sous rserve quaucune

144

ISA 315 Connaissance de l'entit et de son environnement et valuation du risque d'anomalies significatives

102

La scurit du systme dinformation : Les enjeux de lexpert comptable

modification majeure nintervienne dans lenvironnement de lentreprise et dans son organisation. La phase de prise de connaissance passe par lidentification des principales composantes du systme dinformation et de son niveau de complexit. Sous section 1: Description du systme dinformation de lentreprise: En labsence dune norme traitant des tapes de laudit de la scurit du systme dinformation, la norme CNCC 2-302 prcise dans le paragraphe 07 - que Dans un environnement informatique utilisant des systmes importants et complexes, le commissaire aux comptes acquiert galement la connaissance de cet environnement et dtermine si celui-ci peut influencer lvaluation du risque inhrent et lvaluation du risque li au contrle . 145 La description du systme dinformation de lentreprise consiste : Formaliser la cartographie des applications, Apprcier le degr de complexit du systme dinformation, Identifier les processus analyser, utiles aux objectifs de laudit. Sous section 2: Cartographie gnrale des applications: La ralisation dune cartographie gnrale des applications permet de comprendre et de documenter les composantes du systme dinformation. Elle permet, en outre, de mettre en vidence les risques potentiels lis cette architecture. Ltablissement de la cartographie du systme dinformation ncessite lidentification des principales applications et interfaces. Pour chaque application, il est ncessaire de connatre les lments suivants: 1- Identification des principales applications informatiques: Lidentification des applications informatiques concerne le recensement des applications qui composent le systme dinformation de lentreprise. Pour chaque application, il est ncessaire de connatre :146 Le type (progiciel avec indication de lditeur/dveloppement spcifique), La date de mise en place, Lenvironnement technique : Unix, Windows, AS400..., Le mode de traitement (diffr ou temps rel), Le nom de lditeur ou du prestataire,

145 146

La norme CNCC 2-302 paragraphe 7 Eric Deschaintre, Christian Draux, et Jacqueline Thdi _ Gestion du systme d'information BTS Premire anne : Assistant de gestion de PME-PMI _ Edition hachette _ 2009

103

La scurit du systme dinformation : Les enjeux de lexpert comptable

La date de la dernire modification, Les principales fonctionnalits, La nature des sorties, Une estimation du volume traite. 2- Identification des principales interfaces: Lidentification des principales interfaces concerne les liens qui existent entre les diffrentes applications. Ces liens peuvent tre automatiques, semi-automatiques ou manuels. Pour chaque interface identifie, il est ncessaire de connatre : Le type dinterface : automatique, semi-automatique, manuel, Les applications en amont / en aval, La nature des flux : ventes, stocks, clients, La frquence : quotidienne, hebdomadaire, mensuelle, Les tats danomalies. La reprsentation graphique des diffrentes applications et des liens existant entre elles constitue la cartographie gnrale des applications. Elle permet de visualiser de faon synthtique un systme dinformation complexe et sert, en outre, de support de communication pluridisciplinaire (culture comptable, culture informatique) dans

lidentification des risques potentiels. Pour les systmes trs simples de deux trois applications, la cartographie pourra se limiter la formalisation de tableaux dinventaire tablis par le commissaire aux comptes, alors que pour les systmes dinformation trs complexes, lintervention dun expert informatique peut savrer ncessaire. La cartographie des applications peut tre complte avec une description de linfrastructure technique : matriels et rseaux.

104

La scurit du systme dinformation : Les enjeux de lexpert comptable

Cartographie des applications Exemple dun systme dinformation simple : 147

Exemple dun systme dinformation complexe : 148

147 148

Congrs de lordre des experts comptables Lexpert comptable & lentreprise lre numrique p 18 Congrs de lordre des experts comptables Lexpert comptable & lentreprise lre numrique p 19

105

La scurit du systme dinformation : Les enjeux de lexpert comptable

Cartographie technique:149

Sous section 3: Apprciation de la complexit du systme dinformation: La complexit du systme dinformation est un lment important prendre en compte lors de ltablissement du plan de mission. Son apprciation permet de dcider si des comptences informatiques particulires sont ncessaires pour raliser la mission et sil convient que le commissaire aux comptes se fasse assister par un expert. Lapprciation de la complexit du systme dinformation concerne lensemble des applications et seffectue au travers de lanalyse de la cartographie en prenant en compte les critres suivants : Existence de progiciel intgr ou de nombreuses applications spcifiques, Technologie utilise : systme central, client serveur, Internet, Paramtrage : complexit, tendue, paramtres standards ou dfinis par lentreprise, Nombre dinterfaces, Existence dinterfaces manuelles entre les systmes, Dpendance des traitements entre les systmes. La complexit du systme dinformation de lentreprise va pouvoir tre apprcie partir de la cartographie ralise prcdemment et de la documentation fournie. Cette tude peut tre complte par un entretien avec le responsable informatique pour couvrir les points suivants : Existence ou non dune documentation,
149

Congrs de lordre des experts comptables Lexpert comptable & lentreprise lre numrique p 20

106

La scurit du systme dinformation : Les enjeux de lexpert comptable

Degr de mise jour de la documentation en fonction des volutions du systme dinformation, Dpendance des traitements entre les systmes. Lanalyse de la complexit du systme dinformation dans le plan de mission conduit dterminer des situations o le risque sur la fiabilit du systme dinformation sera plus ou moins important.

Figure 13: Apprciation de la complexit du systme dinformation150

Les risques potentiels lis aux systmes fortement intgrs sont nuancer avec les connaissances que le commissaire aux comptes aura acquises sur lorganisation informatique et les comptences du personnel informatique. En effet, bien quune telle architecture minimise les risques compte tenu de lutilisation de bases de donnes homognes et dinterfaces inter-modules, lintgrit des informations est fortement soumise notamment aux corrects paramtrage. Il conviendra donc de sassurer que ces systmes sont matriss par le service informatique et les utilisateurs, avant de considrer que les rsultats des traitements sont fiables. La prise en compte des lments ci-dessus permet dapprcier la complexit du systme dinformation. Dans le cas dun systme trs complexe faisant appel aux nouvelles technologies, le commissaire aux comptes pourra faire appel un expert afin didentifier les zones de risques majeures. Par la suite, lexpert pourra ventuellement apporter une assurance complmentaire sur : La fiabilit des informations gres au travers du systme dinformation, Le respect des procdures de contrle interne sur les flux oprationnels.
150

Prise en compte de lenvironnement informatique et incidence sur la dmarche daudit. CNCC

107

La scurit du systme dinformation : Les enjeux de lexpert comptable

Sous section 4: Identification des processus analyser : Lvaluation des risques nest pas seulement influence par les seules applications informatiques. En effet, lincidence de lenvironnement informatique sur le risque inhrent et le risque li au contrle ne peut tre apprcie sans prendre en compte la notion de flux dinformation ou processus. Un processus peut tre dfini comme un enchanement de tches, manuelles, semiautomatiques, automatiques, concourant llaboration, la production ou au traitement dinformations, de produits ou de services. Exemples : processus de gestion des ventes, processus de gestion des impays, processus de fabrication, processus dinventaire permanent, processus dtablissement des comptes, etc.. Le commissaire aux comptes ne sintresse pas lensemble des processus existant au sein de lentreprise, mais uniquement ceux contribuant directement ou indirectement la production des comptes. Les processus tudis sont dans la majorit des cas, les suivants : achats, ventes, stocks, rglements, paie. Seules les applications et leurs inter-relations qui interviennent dans ces processus mritent de faire lobjet dune tude dans le cadre de la dmarche daudit. Pour chacun des processus concourant directement ou indirectement la production des comptes, il est ncessaire de dterminer les applications qui participent aux traitements des donnes. Cette dtermination seffectue partir de la cartographie ralise prcdemment. Selon limportance du rle jou par les applications et les interfaces dans chaque processus, le commissaire aux comptes slectionne le ou les processus analyser dans le cadre de son valuation des risques. Ainsi, ltude dune application peut ncessiter lanalyse de plusieurs processus, lorsquune mme application intervient dans plusieurs processus. Le rsultat peut tre formalis sous forme du tableau suivant :

Si lapplication 5 prsente par exemple des risques potentiels importants compte tenu de son obsolescence, du nombre de fonctionnalits et de limportance des donnes gres, on peut conclure que les processus 1 et 2 devront faire lobjet dune analyse approfondie afin de pouvoir rduire le risque daudit un niveau faible acceptable.

108

La scurit du systme dinformation : Les enjeux de lexpert comptable

Section 3: Planification de la mission: L'auditeur doit planifier l'audit de la scurit du systme dinformation afin que la mission soit ralise de manire efficace. Planifier un audit implique dtablir un plan de mission dcrivant la stratgie gnrale daudit adopte pour la mission et de dvelopper un programme de travail dans le but de rduire le risque d'audit un niveau faible acceptable. La planification ncessite la participation de l'associ responsable de la mission et des autres membres cls de l'quipe affecte la mission afin de bnficier de leur exprience et de leur apport personnel et de rendre le processus de planification plus efficace et plus efficient. Une planification adquate permet de s'assurer qu'une attention particulire est porte aux aspects essentiels de l'audit, que les problmes potentiels sont identifis et rsolus en temps voulu et que la mission d'audit est correctement organise et administre afin qu'elle soit mene d'une manire efficace et efficiente. Une planification adquate permet galement l'attribution des travaux aux membres de l'quipe affecte la mission, facilite la direction et la supervision de ceux-ci ainsi que la revue de leurs travaux et, enfin, facilite, le cas chant, la coordination des travaux avec les auditeurs des composants ou les experts. La nature et l'tendue du processus de planification variera en fonction de la taille et de la complexit de l'entit, de l'exprience passe de l'auditeur dans l'entit, ainsi que des changements de situations qui peuvent intervenir au cours de la mission d'audit. La planification n'est pas une phase isole d'un audit, mais, au contraire, un processus continu et itratif qui commence souvent avec, l'achvement de l'audit prcdent ou peu de temps aprs et se poursuit tout au long de la mission jusqu' l'achvement de la mission d'audit en cours. Cependant, lors de la planification d'un audit, l'auditeur prend en compte le calendrier de certaines phases de la planification et les procdures d'audit qui ncessitent d'tre ralises et compltes avant la mise en uvre d'autres procdures d'audit. Sous section 1: Travaux prliminaires la planification de la mission: L'auditeur doit, au commencement d'une mission d'audit: 151 Mettre en uvre des procdures concernant le maintien de la relation client et de la mission d'audit individuelle; Evaluer le respect des rgles d'thique, y compris celles relatives lindpendance ; S'assurer qu'il a connaissance des termes de la mission.

151

ISA 300 Planification d'une mission d'audit dtats financiers 6

109

La scurit du systme dinformation : Les enjeux de lexpert comptable

La prise en considration par l'auditeur du maintien de la relation client et des rgles d'thique, y compris les rgles d'indpendance, reste permanente tout au long du droulement de la mission. L'objectif poursuivi en procdant ces tches prliminaires est d'aider l'auditeur s'assurer qu'il a pris en considration tous vnements ou circonstances qui peuvent affecter ngativement la possibilit de planifier et de raliser la mission d'audit en ayant rduit le risque d'audit un niveau faible acceptable. En procdant ainsi, lexpert comptable en planifiant la mission daudit s'assure quil: Conserve son indpendance et les capacits ncessaires pour mener la mission ; N'y a pas de problmes relatifs l'intgrit de la direction qui peuvent affecter son souhait de poursuivre la mission ; N'y a pas de malentendus avec le client quant aux termes de la mission. Sous section 2: Le plan de mission : L'auditeur doit tablir un plan de mission dcrivant la stratgie globale adopte pour la mission, qui fixe l'tendue, le calendrier et la dmarche daudit, et donne des lignes directrices pour la prparation d'un programme de travail plus dtaill. 152 Lorsque le plan de mission a t arrt, l'auditeur est alors en mesure de dvelopper un programme de travail plus dtaill rpondant aux diffrentes questions identifies lors de l'tablissement du plan de mission, prenant en compte le besoin d'atteindre les objectifs de l'audit en utilisant de faon efficiente les ressources de l'auditeur.153 Sous section 3: Le programme de travail : Le programme de travail est plus dtaill que le plan de mission et dfinit la nature, le calendrier et l'tendue des procdures d'audit mettre en uvre par les membres de l'quipe affecte la mission afin de recueillir des lments probants suffisants et appropris pour rduire le risque d'audit un niveau faible acceptable. La documentation du programme de travail sert galement garder la trace de la planification et de la ralisation des procdures d'audit qui peuvent tre revues et approuves avant la mise en uvre de procdures d'audit additionnelles.154 Le programme de travail comporte: Une description de la nature, du calendrier et de l'tendue des procdures

152 153

ISA 300 Planification d'une mission d'audit dtats financiers 9 et 10 ISA 300 Planification d'une mission d'audit dtats financiers 11 154 ISA 300 Planification d'une mission d'audit dtats financiers 14

110

La scurit du systme dinformation : Les enjeux de lexpert comptable

Une description de la nature, du calendrier et de l'tendue des procdures d'audit complmentaires; et Toute autre procdure d'audit qu'il est ncessaire de raliser devant la mission pour se conformer aux normes daudit de la scurit du systme dinformation. La planification de ces procdures d'audit a lieu tout au long de la mission d'audit au fur et mesure que le programme de travail est mis en uvre. Sous section 4: Modifications au cours du droulement de l'audit des dcisions prises lors de sa planification : Le plan de mission et le programme de travail doivent tre mis jour et modifis autant de fois qu'il est ncessaire durant le droulement de l'audit. La planification d'un audit est un processus continu et itratif tout au long de la mission. A la suite de faits inattendus, de changements dans les conditions, ou des lments probants recueillis lors de la ralisation des procdures d'audit, l'auditeur peut juger ncessaire de modifier le plan de mission et le programme de travail et, par voie de consquence, la nature, le calendrier et l'tendue des procdures d'audit complmentaires.155 Sous section 5: Direction, supervision et revue : L'auditeur planifie la nature, le calendrier, l'tendue des instructions donner, et la supervision des membres de l'quipe affecte la mission et la revue de leurs travaux. La nature, le calendrier, l'tendue des instructions donner, la supervision des membres de l'quipe affecte la mission et la revue de leurs travaux, varient en fonction de multiples facteurs, comprenant la taille et la complexit de l'entit, le domaine sur lequel porte laudit, le risque d'anomalies significatives, et les aptitudes et la comptence du personnel affects la mission. 156 Sous section 6: Documentation : L'auditeur doit documenter dans ses dossiers de travail la stratgie gnrale daudit et le programme de travail, y compris des modifications importantes apportes au cours du droulement de la mission. Sous section 7: Communications aux personnes constituant le gouvernement d'entreprise et la direction: L'auditeur peut s'entretenir des questions relatives la planification avec les personnes constituant le gouvernement d'entreprise et avec la direction de l'entit. Ces entretiens peuvent faire partie de la communication d'ensemble prvue ces personnes ou peuvent avoir lieu
155 156

ISA 300 Planification d'une mission d'audit dtats financiers 14 ISA 300 Planification d'une mission d'audit dtats financiers 19 et 20

111

La scurit du systme dinformation : Les enjeux de lexpert comptable

pour amliorer l'efficacit et l'efficience de l'audit. Les entretiens avec les personnes constituant le gouvernement d'entreprise portent sur le plan de mission et le calendrier du droulement de l'audit, sur les limitations de son tendue, ou sur toute autre question additionnelle.157 Il convient que le plan daudit couvre les lments suivants: Les objectifs daudit, Les critres daudit et tous documents de rfrence; Le champ de laudit, y compris lidentification des units organisationnelles et fonctionnelles et des processus auditer; Les dates et les lieux o seront menes les activits daudit sur site; lhoraire et la dure prvus des activits daudit sur site, y compris les runions avec la direction de laudit et les runions de lquipe daudit; Les rles et responsabilits des membres de lquipe daudit et des accompagnateurs; La mise disposition des ressources appropries pour les domaines critiques se laudit Si ncessaire, le plan daudit couvre galement les lments suivants : Lidentification du reprsentant de laudit pour laudit; La langue de travail et de rapport de laudit lorsque ce nest pas celle de lauditeur et / ou de laudit; Les rubriques du rapport daudit; La logistique (dplacements, disposition sur site, etc.); Les activits de suivi daudit. Section 4 : Mise en plan du plan de mission : Sous section 1 : Phase 0 Planification et mise de place du plan de mission : Cette section dcrit les diffrents prparatifs avant de commencer rellement laudit. Il a pour but de mettre la mission daudit dans son contexte, de dfinir les tapes suivre pour le lancement de la mission de laudit ainsi que toutes les prparations faire avant la runion ouverture qui constitue le dmarrage officiel de laudit aprs les lignes directrices de la norme ISO 19011 lignes directrices pour l'audit des systmes de management de la qualit et/ou de management environnemental , la planification et la ralisation de la mission daudit passent par les tapes suivantes :

157

ISA 300 Planification d'une mission d'audit dtats financiers 27

112

La scurit du systme dinformation : Les enjeux de lexpert comptable

Figure 14: Planification et mise de place du plan de mission158

1- Dfinition du contexte: Dans le cadre de sa mission de commissariat aux comptes et plus prcisment lors de la vrification de la fiabilit du systme de contrle interne dans le cadre dune mission convenue, lexpert comptable est appel auditer laudit de la scurit du systme dinformation. 2- Objectifs de la mission :159 Partant du principe que la scurit est dabord une question dorganisation, laudit de scurit du systme dinformations devra approfondir cette approche et relever toutes les failles concernant les aspects physiques (scurit de lenvironnement) et organisationnels (procdure dexploitation, les structures administratives ddies la scurit, suivi et pilotage interne), informationnels (logiciels et quipements spcifiques la scurit) et de communications (scurit des changes sur le rseau interne et externe). Ainsi laudit aura pour objectif de : Dterminer le degr de conformit du S.I de laudit par rapport aux normes internationales de scurit. Cibler tous les aspects touchant la scurit des systmes d'information et des rseaux de communication. Analyser les risques capitaux encourus par le systme dinformation de lentit audite
158 159

Mmento audit ISO 27001 : auditer la scurit du systme d'information dAlexandre Fernandez-Toro (Broch - 19 juin 2009) Voir modle lettre de mission annexe

113

La scurit du systme dinformation : Les enjeux de lexpert comptable

Couvrir les aspects de contrle d'accs l'information et aux rseaux. Permettre de s'assurer de la fiabilit des mcanismes d'authentification des usagers. Indiquer toutes les failles de scurit et proposer une solution de scurit tout en indiquant les actions et les mesures entreprendre en vue d'assurer la scurisation du systme. Valider les processus dalerte, de raction face des sinistres ou des incidents. Sensibiliser les utilisateurs, de la hirarchie aux subordonns, aux risques encourus. 3- Dtermination de la faisabilit de laudit: La faisabilit de laudit est dtermine en tenant compte de plusieurs facteurs dont : Lexistence des informations suffisantes et appropries pour pouvoir planifier laudit La possibilit dune coopration adquate de la part de laudit. La disponibilit des ressources ncessaires et ladquation du temps imparti. 4- Etablissement du premier contact avec laudit Il faut tablir les circuits de communication avec les reprsentants de laudit, demander laccs aux documents pertinents et collaborer avec la direction afin de raliser la mission daudit dans les bonnes conditions. 5- Primtre de la mission: La mission daudit de la scurit du systme dinformation portera notamment sur les aspects suivants : Politique de scurit Organisation de la scurit Classification et contrle des actifs Scurit des ressources humaines Scurit physique et scurit de lenvironnement Exploitation et rseaux Contrle daccs Dveloppement et maintenance des systmes Gestion des incidents de scurit Le plan de secours ou de continuit de service Conformit lgale 6- Revue des documents Avant de dbuter laudit il faut revoir la documentation constitus des procdures suivant : Maitrise des donnes informatique Administration des bases de donnes et des applications
114

La scurit du systme dinformation : Les enjeux de lexpert comptable

Manuel de management de la qualit 7- Elaboration du calendrier de la mission Activits Audit organisationnel et physique Analyse des risques Reconnaissance du rseau Sondage des systmes Sondage du rseau Audit des applications Audit des vulnrabilits Audit de larchitecture de scurit existante Dure

Audit niveau 1 Audit organisationnel et physique Audit niveau 2 Audit Technique

Figure 15: Calendrier de la mission daudit de scurit informatique

Clture de laudit : Suite au bon droulement de la mission daudit de la scurit du systme dinformation, un rapport complet doit tre fourni. Ce rapport comprend:160 Lanalyse des diffrents rsultats obtenus suite lutilisation des outils de scan, Lanalyse des failles dtectes sur les quipements rseau disponibles, Les recommandations formules pour augmenter le niveau de scurit du site audit. Sous section 2 : Phase 1 Audit organisationnel et physique : En se basant sur une batterie de questionnaires inspirs de la norme ISO 27002 161 adresss aux responsables et les interlocuteurs au niveau de la socit, l'audit niveau 1 couvre les activits suivantes : L'organisation gnrale de la scurit : rglementations, procdures, personnel,... La scurit physique des locaux: lutte anti-incendie, contrle des accs, sauvegarde et archivage des documents,... L'exploitation et l'administration: sauvegarde et archivage des donnes, continuit dactivit, journalisation,... les rseaux : matriels (routeurs, modems,...), contrle des accs logiques, les systmes (postes de travail, serveurs, logiciels de base, solution antivirale,...) et les applications (mthodes de dveloppement, procdures de tests et de maintenance,...)

160 161

Voir modle rapport en annexe Voir annexe Questionnaire ISO 27002 Technologies de linformation Techniques de scurit Code de bonne pratique pour la gestion de la scurit de linformation .

115

La scurit du systme dinformation : Les enjeux de lexpert comptable

Suivant cette mthode (la norme ISO 27002) choisie, nous allons : Dterminer le niveau de maturit atteint par le systme dinformation de la socit en matire de scurit. Dterminer l'ensemble des risques et des menaces pouvant porter prjudice la prennit du fonctionnement du systme d'information et les analyss minutieusement. Formuler un ensemble de recommandations organisationnelles et techniques qui constitue un plan d'action a suivre par la socit pour rduire les risques identifies prcdemment. 1- Questionnaire scurit systme dinformation (QSSI): Cette valuation est effectue moyennant un Questionnaire de Scurit du Systme d'Information (QSSI), tabli en respectant la norme ISO27002. Le QSSI renferme toutes les questions de la norme ISO 27002. Chaque question se prsente avec un coefficient de pondration qui dpend de son niveau d'importance en matire de rduction du risque. Quatre niveaux de rponse existent; soit que laction est entirement mise en uvre, soit elle est partiellement mise en uvre, planifie ou elle est ni implmente ni planifie. 2- Analyse des rsultats observs: Aprs la validation du QSSI auprs de l'quipe de suivi de la mission de la socit audite, les rponses seront introduites un logiciel d'valuation accompagne des coefficients de pondration par question. Le traitement consiste calculer une moyenne pondre des notes obtenues par principe en fonction des rponses choisies et du coefficient d'efficacit y affrent. Cette analyse nous permet de relever les insuffisances au niveau organisationnel et physique du systme dinformation. Sous section 3 : Phase 2 Analyse des risques : Aprs avoir effectu les diffrentes tapes de laudit organisationnel et physique, nous devons prsent concentrer nos efforts sur lexcution de lanalyse de risque, qui reprsente une importante tape dans le processus de laudit de la scurit du systme dinformation. 1- Objectif : Lanalyse des risques opte rduire les risques lis aux accidents, aux erreurs et aux malveillances dans les domaines de la confidentialit, de l'intgrit et de la disponibilit, par des moyens de scurit cohrents entre eux et en adquation avec le couple en jeux-moyens. 2- Mthodologies danalyse de risques:

116

La scurit du systme dinformation : Les enjeux de lexpert comptable

De nombreuses mthodes danalyse de risque ont t dveloppes, certaines sont trs orientes dans les grandes entreprises : Marion, MEHARI, EBIOS, COBIT, Sous section 4 : Phase 3 Audit technique : Aprs avoir ralis laudit niveau 1 (organisationnel et physique) et laudit niveau 2 (analyse des risques), on commencera dans cette partie laudit technique qui sattache identifier les vulnrabilits techniques prsentes sur les systmes dinformation critiques du primtre audit. Il comprend des analyses et des tudes de performance pour une scurisation optimale du primtre audit. Les phases de laudit techniques sont : -Phase 1 : Audit de larchitecture du systme -Phase 2 : Audit de la rsistance du systme -Phase 3 : Audit de larchitecture de scurit existante -Phase 4 : Audit de lopacit du rseau depuis lextrieur Section 5 : Elaboration du rapport et des recommandations : Sous section 1: Elaboration des constats daudit: Les preuves daudit sont valuer par rapport aux critres daudit pour laborer les constats daudit. Les constats daudit peuvent indiquer, soit une conformit, soit une non-conformit aux critres daudit. Ils peuvent alors signaler une opportunit damlioration. Les membres de lquipe daudit se runissent en cas de besoin pour procder une revue des constats daudit. Les points de conformit sont identifis par rapport aux critres daudit en rsumant les lieux, les fonctions, ou les processus qui ont t audits. Les constats daudit individuels de conformit et les preuves associes doivent tre enregistrs si cela est prvu dans le plan daudit. Il en est de mme pour les non-conformits et les preuves associes daudit. Il est prfrable aussi denregistrer les points non rsolus. Sous section 2: Prparation des conclusions daudit: Avant la runion de clture, il convient que les membres de lquipe daudit se concertent pour : Procder une revue des constats daudit et de toute autre information approprie recueillie pendant laudit en relation avec les objectifs daudit, Se mettre daccord sur les conclusions daudit en tenant compte de lincertitude inhrente au processus de laudit, Prparer les recommandations, si cela est prcis dans les objectifs de laudit, et Discuter des modalits du suivi daudit, si cela est prvu dans le plan daudit.
117

La scurit du systme dinformation : Les enjeux de lexpert comptable

1- Conduite de la runion de clture: La runion de clture est compose de : Responsable de lquipe de laudit (prsident de la runion) : il prsente les constats et les conclusions daudit Membres de lquipe daudit : ils appuient leurs responsables Laudit : tudie les conclusions daudit et arrte un plan daction Commanditaire et dautres parties invites 2- Prparation du rapport daudit: La prparation du rapport daudit est confie au responsable de lquipe de laudit. Ce rapport doit fournir un enregistrement complet, prcis, concis et clair de laudit et comprendre ou y faire rfrence les lments suivants : Les objectifs daudit, Le champ daudit, notamment lidentification des units organisationnelles ou fonctionnelles ou des processus audits et le laps de temps couvert, Lidentification du commanditaire de laudit Lidentification des membres de lquipe daudit et de son responsable Les dates et les lieux o les activits daudit sur site ont t ralises Les critres daudit, Les constats daudit, Les conclusions daudit Si applicable, il est prfrable que le rapport daudit comprenne ou y fasse rfrence aux lments suivants : Le plan daudit, La liste des reprsentants de laudit, Un rsum du processus daudit, y compris lincertitude et/ou les obstacles rencontrs susceptibles daltrer la confiance qui peut tre accorde aux conclusions daudit La confirmation que les objectifs daudit ont t atteints dans le cadre du champ de laudit et conformment au plan daudit Les domaines non couverts bien que compris dans le champ daudit Les opinions divergentes non rsolues entre lquipe daudit et laudit Les recommandations pour lamlioration, si cela est prcis dans les objectifs daudit, Les plans daction de suivi daudit, si cela est convenu Une dclaration relative la confidentialit du contenu La liste de diffusion du rapport daudit.
118

La scurit du systme dinformation : Les enjeux de lexpert comptable

3- Approbation et diffusion du rapport daudit: Lauditeur doit mettre son rapport daudit dans les dlais prvus. Faute de quoi, le motif du retard et une nouvelle date dmission doivent tre communiqus au commanditaire de laudit. Ce rapport daudit doit tre dat, soumis une revue et approuv comme dfini dans le programme daudit. Une fois valid, le rapport daudit doit tre diffus aux destinataires dsigns par le commanditaire de laudit. 4- Suivi de laudit: La ralisation du plan daction issu du rapport daudit est du ressort de laudit. Il convient de vrifier lachvement et lefficacit des actions correctives. Cette vrification peut tre incluse dans un audit ultrieur. Les objectifs du programme daudit peuvent spcifier que le suivi soit ralis par les membres de lquipe daudit dont lexpertise apporte une valeur ajoute. Dans ce cas, il est recommand de veiller prserver lindpendance lors dactivits daudit ultrieures. Sous section 3: Exigences de lISACA sur les rapports:162 La forme et le contenu du rapport varient gnralement selon le type de service ou de mission. Lauditeur des systmes dinformation peut effectuer lune des oprations suivantes : Audit Contrle Procdures convenues Lorsque lauditeur des SI doit formuler une opinion sur lenvironnement de contrle conformment aux termes de sa mission et que des lments probants indiquent linsuffisance de certaines informations, il doit sabstenir de conclure que les contrles internes sont efficaces. Le rapport de lauditeur des systmes dinformation doit dcrire les lments ne jouissant pas de la pertinence requise et leurs effets sur lapplication des critres de contrle. Lauditeur des SI doit prsenter aux dirigeants concerns une version prliminaire de son rapport et discuter avec eux de son contenu avant la finalisation et la diffusion. Le cas chant, les commentaires des dirigeants doivent tre inclus dans le rapport final. Lorsque lauditeur des SI remarque dimportantes dficiences dans lenvironnement de contrle, il doit en faire part au comit daudit ou aux autorits responsables et signaler dans le rapport que lesdites dficiences importantes ont t dceles. Lorsque lauditeur des SI tablit des rapports distincts, le rapport final doit faire rfrence lensemble de ces rapports.
162

ISACA norme daudit des systmes dinformation rapport documents n7 www.isaca.org

119

La scurit du systme dinformation : Les enjeux de lexpert comptable

Lauditeur des SI doit sinterroger sur lopportunit de communiquer aux dirigeants les dficiences du contrle interne considres comme moins importantes. Le cas chant, lauditeur des SI doit signaler au comit daudit ou lautorit responsable que lesdites dficiences du contrle interne ont t communiques aux dirigeants. Lauditeur des SI doit solliciter et examiner des informations pertinentes sur les conclusions et recommandations des prcdents rapports pour dterminer si les mesures appropries ont t mises en uvre dans les dlais impartis. Conclusion: Lvolution croissante des systmes dinformation largit de plus en plus le champ et les domaines dintervention de lexpert comptable. Par ailleurs, la dmarche prsente, tout au long de ce chapitre, peut tre applique dans le cadre dune mission daudit de la scurit du systme dinformation indpendante non rattache une mission daudit financier ou dans le cadre dune mission de consulting. Dans ces cas, le champ daction est gnralement plus largi et la responsabilit et l'autorit de la mission doivent tre dfinies de faon approprie dans une lettre de mission ou une charte d'audit. Aussi, est-il ncessaire de rappeler que lexpert comptable est tenu de respecter les rgles dthique dindpendance, dintgrit, dobjectivit, de comptence professionnelle, de confidentialit, de professionnalisme et de respect des normes techniques et professionnelles. Lexpert comptable doit tre indpendant de l'entit audite en attitude et en apparence. Il doit aussi tre suffisamment indpendant du domaine audit pour permettre une ralisation objective de laudit.

120

La scurit du systme dinformation : Les enjeux de lexpert comptable

Chapitre 3 : Dmarche daudit de la scurit du systme dinformation base sur ISO 27002
Introduction: Laudit de la scurit du systme dinformation nous permet :163 Didentifier les dfaillances dordre organisationnel, physique et technique dans ce systme dinformation. De mettre en place un plan daction qui permettra au systme dinformation de la socit datteindre un niveau de maturit acceptable et danalyser les dviations par rapport aux normes et aux bonnes pratiques. Notre guide daudit de la scurit du systme dinformation va tre en conformit avec ISO 27002 les bonnes pratiques de scurit . L'approche adopte pour conduire la mission daudit respecte deux orientations principales : La premire est une orientation organisationnelle et physique qui consiste mesurer la maturit du systme dinformation et sa conformit la norme ISO 27002. La deuxime orientation est technique; son objectif est didentifier les principales faiblesses en conduisant des tests de vulnrabilit. Section 1: Prsentation de la norme les bonnes pratiques de scurit ISO 27002 : LISO 27002 est un guide de bonnes pratiques pour la gestion de la scurit de linformation qui peut reprsenter un intrt pour tout type dorganisation (entreprise, corps gouvernementaux) quelque soit sa taille ou son secteur dactivit. Cette norme dfinit des objectifs et des recommandations en termes de scurit de linformation et a pour ambition de rpondre aux proccupations globales de scurisation de linformation des organisations et ce, pour lensemble de leurs activits. Selon lISO, cette norme a pour objectif de : Donner des recommandations pour grer la scurit de linformation intention de ceux qui sont responsables de dfinir, dimplmenter ou de maintenir la scurit dans leur organisation. Elle est conue pour constituer une base commune de dveloppement de normes de scurit organisationnelle et de pratiques efficaces de gestion de la scurit, et pour introduire un niveau de confiance dans les relations interentreprises.

163

Introduction aux systmes dinformation, D. Taouri Mc.Belaid_Novembre 2008 p 70

121

La scurit du systme dinformation : Les enjeux de lexpert comptable

Sous section 1: Bref Historique: Dans les annes 90, des reprsentants de grandes entreprises comme Shell, British Telecom, Midland Bank, Marks & Spencer se sont runis et ont dfini un code de bonnes pratiques partir de leurs expriences. Ce document a t publi sous forme de document public en 1993 par le British Stantard Instutute (BSI) En mars 1995, volution de ce premier code, la BS7799:1995 est publi sous le titre de code of practice for information security management . En 1997, une norme nationale complmentaire intitule spcifications for security management sous la dnomination de BS7799-2:1997 En 1999 : Intgration de plusieurs amliorations la BS 7799 ; BS 7799:1999 Adoption de la premire partie de la Norme BS 7799-1 par lISO ; apparition en dcembre 2000 : ISO/IEC 17799:V2000 Mise jour de lISO/IEC 17799:2005 en Juin 2005 BS 7799-2 est pass ISO/IEC 27001:2005 en Octobre 2005 qui est le rfrentiel de certification LISO/IEC 17799:2005 est renomme ISO/IEC 27002 en 2007. Sous section 2: Schma darchitecture: La norme ISO 27002 comporte 11 chapitres. Chaque chapitre prsente un thme de scurit dans lequel sont exposs des objectifs de contrles et des recommandations sur les mesures de scurit mettre en oeuvre et les contrles implmenter.

122

La scurit du systme dinformation : Les enjeux de lexpert comptable

Le schma ci-aprs reprsente les 11 thmes dISO 27002 et permet de voir si ces thmes traitent de la scurit de linformation au niveau organisationnel ou oprationnel:

Figure 16:Structure de la norme ISO 27002164

LISO 27002 couvre 11 thmes de scurit de linformation : 1. La politique de scurit 2. Lorganisation de la scurit de linformation 3. La gestion des actifs (biens) 4. La scurit lie aux ressources humaines 5. La scurit physique et environnementale 6. La gestion de la communication et de lexploitation 7. Les contrles daccs 8. Lacquisition, le dveloppement et la maintenance des systmes dinformation 9. La gestion des incidents de scurit de linformation 10. La gestion du plan de continuit des affaires 11. La conformit Section 2: Audit organisationnel et physique: Au cours des runions effectus au sein de lorganisme audit, lauditeur dfinit le primtre de laudit et les personnes interviewes et planifi ses interventions. Pour mener bien cette phase, lexpert comptable peut se rfrer la norme ISO 27002 les bonnes pratiques de scurit . Lvaluation du niveau de scurit stablit partir des entretiens avec les personnes interviewes et de lanalyse des ressources critiques et des documents fournis.
164

ISO 27002 Technologies de linformation Techniques de scurit Code de bonne pratique pour la gestion de la scurit de linformation

123

La scurit du systme dinformation : Les enjeux de lexpert comptable

Les vulnrabilits identifies seront rapproches des menaces pouvant survenir dans le contexte technique et fonctionnel, objet de laudit. Rduire le risque revient soit agir sur les vulnrabilits, soit essayer de rduire limpact quaurait lexploitation dune vulnrabilit par une menace conformment la formule: Risque = Menace*Impact*Vulnrabilit LISO 27002 traite laudit organisationnel et physique partir des 11 thmes de scurit. Chacun des thmes prsente des objectifs de scurit comportant un objectif de contrle et un ou plusieurs contrles pouvant sappliquer pour atteindre lobjectif de contrle. Sous section 1: Politique de scurit:165 Le premier thme abord dans ISO 27002 est la politique de scurit de linformation. Le seul objectif de contrle cherche dmontrer lappui de la direction en ce qui concerne la gestion de la scurit de linformation. Pour cela ISO 27002 prconise deux contrles. Le premier concerne la cration dun document de politique de scurit de linformation. Celui-ci reprsente un moyen privilgi pour la direction dtablir son appui et de prsenter lapproche de lorganisation en termes de scurit de linformation. Afin dtre parfaitement efficace, ce document sera publi et communiqu aux employs et tiers qui y trouveraient un intrt. Le second contrle concerne la rvision de la politique de scurit. Ceci devra tre fait rgulirement, que ce soit des intervalles planifis ou tout simplement en cas de changements significatifs des exigences en scurit de linformation. La rvision rgulire de la politique de scurit assurera sa continuit et son efficacit. Sous section 2: Organisation de la scurit de linformation: En ce qui concerne lorganisation de la scurit de linformation, ISO 27002 propose deux objectifs de contrle de scurit: Le premier objectif de contrle de scurit concerne lorganisation interne. Il sagit de grer la scurit de linformation dans lorganisation par le biais dun cadre de gestion. Celui-ci permettra dinitialiser et de contrler limplmentation de la scurit de linformation au sein de lorganisation. Le second objectif de contrle concerne les tiers : il sagit de maintenir la scurit des informations qui sont accessibles, diffuses, communiques ou gres par des tiers et des quipements qui la dlivrent. En effet, lintroduction de produits ou services en provenance de tiers ne doit pas avoir dimpact sur la scurit de linformation.

165

Management de la scurit de l'information : Implmentation ISO 27001 - Mise en place d'un SMSI et audit de certification de Alexandre Fernandez-Toro, et Herv Schauer (Broch - 3 dcembre 2009) p 47

124

La scurit du systme dinformation : Les enjeux de lexpert comptable

Une valuation des risques permettra de mettre en lumire les contrles mettre en place pour limiter les incidents de scurit.166 Sous section 3: Gestion des actifs: Le troisime thme, qui voque la gestion des actifs, comporte deux parties : les responsabilits pour les actifs et la classification de linformation. Dfinir les responsabilits pour les actifs permet datteindre et de maintenir une protection adquate des actifs de lorganisation. En effet, tous les actifs de lorganisation doivent tre comptabiliss et avoir un propritaire : celui-ci aura le devoir de maintenir les contrles adquats pour lactif dont il est responsable. Bien entendu, il pourra dlguer une partie de ses tches (notamment limplmentation de contrles spcifiques) sil le juge ncessaire, mais demeurera le seul responsable de la protection des actifs. En ce qui concerne la classification de linformation, celle-ci permet de sassurer que linformation reoit un niveau de protection appropri ses caractristiques : certaines peuvent exiger un niveau de protection supplmentaire en raison de leur degr de criticit ou de sensibilit. Pour cela, linformation doit tre classe afin de mettre en relief les besoins, priorits et degrs de protection attendus. Le dveloppement dun schma de classification pourrait alors savrer judicieux, notamment en ce qui concerne les informations ncessitant des traitements spciaux Sous section 4: Scurit des ressources humaines: Ce thme distingue trois objectifs de contrle de scurit, un par tape du cycle de vie dun individu dans une organisation. Avant lembauche, lobjectif est de sassurer que les parties signataires au contrat (futur employ, organisation, tiers) comprennent leurs responsabilits et quils acceptent les rles qui leurs sont assigns, afin de rduire le risque de vol, fraude ou de mauvaise utilisation des quipements. A cet effet, deux documents seront produits : la description demploi, qui exposera les responsabilits de chacun, et un accord dacceptation des rles et des responsabilits. Ce dernier devra tre sign pour tre valide. Lors du mandat de lindividu, lobjectif est de vrifier et garantir que les signataires du contrat sont non seulement conscients des menaces en termes de scurit de linformation (et donc de leurs responsabilits en la matire), mais aussi quils appuient la politique de scurit organisationnelle pendant leur mandat pour rduire le risque derreur humaine. La formation permettra de minimiser le risque dun niveau inadquat de comprhension des procdures de

166

Manager un systeme d'information - guide pratique du dsi de Claudine CHASSAGNE (Broch - 1 janvier 2009) p 52

125

La scurit du systme dinformation : Les enjeux de lexpert comptable

scurit ou de mauvaise utilisation des quipements. A cet effet, un processus disciplinaire formel de gestion des failles de scurit pourra tre tabli. A la fin du contrat ou en cas de changement demploi, le but est de sassurer que les signataires concerns quittent lorganisation ou changent demploi de manire organise. En cas de dpart de lorganisation, on vrifie que tout lquipement est retourn et que les droits daccs ont t effacs. Le changement demploi sera quant lui dcoup en deux tapes : la fin dun mandat et le dbut dun nouvel emploi (nouvelles fonctions). 167 Sous section 5: Scurit physique ou environnementale: Deux points sont prendre en compte lorsque lon parle de scurit physique et environnementale : les zones scurises et la scurit des quipements. Les zones scurises ont pour but de prvenir les accs physiques non autoriss, les dommages et les intrusions dans les btiments et informations de lorganisation. Elles hbergeront les quipements qui dlivrent ou stockent des donnes sensibles ou critiques et seront renforces par des primtres de scurit, barrires de scurit et codes daccs. Ici on cherche protger physiquement les quipements selon les risques identifis. Lobjectif de contrle relatif la scurit des quipements cherche prvenir les pertes, les dommages, les vols ou les compromissions dactifs, et les interruptions des activits de lorganisation. La protection de lquipement face aux menaces physiques et

environnementales peut ncessiter des contrles spciaux (quipements de fourniture dlectricit) et devra prendre en compte leur disposition et leur localisation pour tre efficace. Sous section 6: Gestion de la communication et de lexploitation: Ce point, dense, comporte 10 objectifs de contrles de scurit:168 Le premier voque limplmentation de procdures dexploitation et de dfinition des responsabilits pour assurer le fonctionnement correct et scuris des quipements dlivrant et stockant linformation. Il conseille le dveloppement de procdures de fonctionnement appropries aux caractristiques des quipements. Le deuxime objectif de contrle, relatif aux prestations de services en provenance de tiers, vise implmenter et maintenir un niveau de scurit de linformation et de prestation de service conforme aux accords de prestation passs avec les tiers.

167

SIRH : Systme d'information des ressources humaines de Michelle Gillet, et Patrick Gillet (Broch - 21 avril 2010) p 45 168 Norme ISO 27002 Technologie de linformation_ Techniques de scurit_ Code de bonne pratique pour la gestion de la scurit de linformation

126

La scurit du systme dinformation : Les enjeux de lexpert comptable

Le troisime objectif, la planification du systme, a pour but de minimiser les risques de pannes du systme dinformation. A cet effet, ISO 27002 prconise de raliser des projections afin dassurer la disponibilit des ressources et des capacits mais aussi dviter une surcharge du systme. Le quatrime objectif de contrle est de protger lintgrit des logiciels et des informations contre les codes mobiles et malveillants (virus informatiques, chevaux de Troie, bombes logiques). Pour cela, lorganisation pourra tablir un programme dinformation des dangers de ces codes sur la scurit et introduire des contrles. Le cinquime point de scurit concerne les sauvegardes : elles ont pour objectif de maintenir la disponibilit et lintgrit des informations et des quipements dlivrant linformation grce la cration de politiques de routine. Le sixime objectif savoir, la gestion de la scurit du rseau, garantit la protection de linformation contenue dans le rseau et celle de linfrastructure de support. Le septime objectif de contrle, relatif lutilisation daccessoires informatiques, vise prvenir toute modification, destruction ou dplacement dactif mais aussi les interruptions des activits de lorganisation. Il prconise lutilisation de protections physiques et incite limplmentation de contrles. Huitime objectif, le contrle des changes dinformations garantit le maintien de la scurit de linformation et des logiciels changs entre lorganisation et toute entit externe grce la cration dune politique dchange formelle et daccords dchange. Le contrle des services de commerce lectronique (transactions en ligne), objet du neuvime objectif, assure la scurit des services de commerce en ligne et leur utilisation scurise. Enfin, lobjectif dencadrement est de dtecter les activits de livraison dinformation qui ne seraient pas autorises en enregistrant les erreurs didentification. Sous section 7: Contrles daccs: Ce thme prsente les sept objectifs de contrle qui permettent de prvenir tout accs non autoris: Le premier objectif sert prendre en compte les exigences daffaires dans le contrle daccs linformation. En effet, pour prvenir tout risque, les contrles daccs linformation devront non seulement tre conformes aux exigences daffaires, mais aussi aux politiques et autorisations de divulgation de linformation.

127

La scurit du systme dinformation : Les enjeux de lexpert comptable

Ensuite il faut grer les accs aux utilisateurs grce des procdures dallocation des droits daccs aux systmes dinformation et aux services. Nous apporterons une attention spciale lallocation daccs privilgis dans la mesure o ceux-ci permettent aux utilisateurs doutrepasser les contrles du systme. Autre objectif de contrle, la dtermination des responsabilits des utilisateurs permet de prvenir les compromissions et les vols dinformations et dquipements dlivrant linformation. Ici la coopration entre utilisateurs est essentielle pour quils soient conscients de leurs rles et assurer ainsi le maintien dun systme de contrle daccs efficace. LISO 27002 accorde une place particulire aux contrles daccs au rseau, aux contrles daccs aux systmes dexploitation et aux contrles daccs linformation et aux applications. En effet, une mauvaise gestion de ces accs serait fortement prjudiciable la scurit de lorganisation. Afin dviter tout risque, les contrles et procdures devront tre renforcs, les quipements de scurit contrleront les accs. Le but est de fournir une protection supplmentaire tout en ne compromettant pas le systme de contrle daccs dj en place.169 Le dernier objectif de contrle concerne le tltravail et les quipements informatiques mobiles. Ce type de travail spcifique fera lobjet dune valuation des risques part, tant donn que les protections concerneront le site de tltravail lui-mme. Sous section 8: Acquisition, dveloppement et maintenance des systmes dinformation: Dans un premier temps, ISO 27002 dfinit un objectif de contrle relatif aux exigences de scurit pour les systmes dinformation pour assurer que la scurit de linformation fait partie intgrante du systme dinformation. Ensuite, la norme voque le droulement correct des applications, qui permet de prvenir les erreurs, pertes, modifications non autorises ou mauvaises utilisations de linformation contenue dans les applications. Pour cela, il convient de choisir les contrles appropris pour valider les donnes entrantes et sortantes des applications. LISO 27002 recommande quant elle les contrles cryptographiques afin de protger lauthenticit, la confidentialit et/ou lintgrit de linformation de lorganisation. Une politique spcifique dutilisation de ces contrles devra tre tablie et laide dune quipe qualifie pour grer les techniques de cryptographie. Enfin, la norme dveloppe des objectifs de contrle propos de la scurit des fichiers systmes et de la scurit des processus de dveloppement et de support. Il sagit dans les

169

Le poste de travail Web : Portail d'entreprise et accs au systme d'information de Arnaud Deslandes, J-C Grosjean, Mdric Morel, et Guillaume Plouin (Broch - 10 mars 2010) p 58

128

La scurit du systme dinformation : Les enjeux de lexpert comptable

deux cas de maintenir la scurit de linformation par limplmentation de contrles adapts, la dfinition de responsabilits et la gestion des changements. La norme mentionne aussi la gestion des vulnrabilits techniques, qui a pour but de rduire les risques rsultant de lexploitation des vulnrabilits techniques publies.

Limplmentation de contrles et de mesures defficacit qui sinscrivent dans un processus damlioration continue permettra de minimiser les vulnrabilits techniques auxquelles lorganisation pourrait faire face. Sous section 9: Gestion des incidents de scurit de linformation: Pour ce thme, ISO 27002 dfinit deux objectifs de contrle: Le premier est relatif aux rapports des vnements et faiblesses de la scurit de linformation. Ces rapports doivent tre communiqus de manire permettre des actions correctives rapides. Il prconise des rapports formels dvnements et la cration dchelles de procdures connues de tous. Les chelles de procdures dfinissent les priorits de traitement entre les incidents. Le second concerne la gestion des incidents et des amliorations de la scurit de linformation et garantit quune approche consistante et efficace est implmente. Il faut notamment que les responsabilits et les procdures soient dfinies et mises en place, quun processus damlioration continue soit dvelopp et que lorganisation prenne garde aux exigences lgales dans sa rcolte de preuves dincidents de scurit de linformation. Sous section 10: Gestion de la continuit daffaires:170 Ce point dveloppe les aspects de scurit de linformation dans la gestion de continuit daffaires. Lobjectif de contrle cherche contrer les interruptions dactivit et protger les processus daffaires critiques des effets de catastrophes ou de failles majeures dans le systme dinformation. Il permet, en outre, dassurer la reprise rapide des activits de lorganisation grce limplmentation dun processus damlioration continue. 171 Sous section 11: Conformit: Ce dernier thme dveloppe la conformit avec les exigences lgales, la conformit technique et la conformit avec les normes et politiques de scurit et enfin expose des considrations sur les audits des systmes dinformation. La conformit avec les exigences lgales a pour but dviter daller lencontre des lois, des obligations contractuelles, statutaires ou de rgulation, et des exigences de scurit.
170

Plan de continuit d'activit et systme d'information : Vers l'entreprise rsiliente de Matthieu Bennasar, et Paul Thron (Broch - 24 fvrier 2010) p 73 171 Plan de continuit d'activit : Secours du systme d'information de Patrick Boulet (Broch - 4 juillet 2008) p 64

129

La scurit du systme dinformation : Les enjeux de lexpert comptable

A cet effet, ISO 27002 voque la possibilit de demander lavis de conseillers afin de mieux apprhender la loi et ses exigences. Le deuxime type de conformit explicit dans ce chapitre assure la conformit des systmes avec les politiques et les normes de scurit organisationnelles. Elle ncessite un audit et doit tre correctement documente. De plus, pour tre efficiente sur le long terme, elle doit tre rvise rgulirement. Enfin, les considrations sur les audits de systmes dinformation permettent de maximiser lefficacit du processus daudit des systmes. Elles prconisent une protection spcifique garantissant lintgrit du processus et prvenant une mauvaise utilisation des outils daudit.172 Section 3 : Audit technique Laudit technique suit une tude organisationnelle & physique permettant davoir une vue globale de ltat de scurit du systme dinformation et didentifier les risques potentiels. Lobjectif de laudit technique est de vrifier que lintgration des lments de linfrastructure a t ralise avec un niveau de scurit optimum en fonction de la politique de management de la scurit du systme dinformation de lentreprise. Et de recenser toutes les vulnrabilits et toutes les erreurs possibles pouvant reprsenter un risque. L'audit technique s'effectue en trois phases;173 Sous section 1: Phase d'approche : Pour valuer le niveau de scurit d'un rseau, il faut d'abord le connatre. Pour la reconnaissance de l'architecture du systme, l'auditeur reoit des informations inventories par l'quipe informatique locale afin de vrifier le plan d'adressage IP et ventuellement la stratgie de mise en uvre de DHCP et de NAT. Il utilise ensuite de multiples outils de traage du rseau et des passerelles, afin de dtecter les stations, routeurs et firewalls du rseau et des outils de traages des frontires externes du rseau : passerelles externes (routeurs et firewalls) et connexions modems pour dterminer les primtres extrieurs du rseau. Il utilise galement les informations disponibles partir des ventuels services SNMP174 et des serveurs de noms locaux ou Internet. Multiples outils de l'open source sont utiliss pour l'identification de la topologie rseau comme Cheops, traceroute et tcptraceroute.
172

Systmes d'information, dynamique et organisation de Frantz Rowe, et Rolande Marciniak (Broch - 1 septembre 2008) p 92
173
174

Mmento audit ISO 27001 : auditer la scurit du systme d'information dAlexandre Fernandez-Toro (Broch - 19 juin 2009)

Simple Network Management Protocol (abrg SNMP), en franais protocole simple de gestion de rseau , est un protocole de communication qui permet aux administrateurs rseau de grer les quipements du rseau, de superviser et de diagnostiquer des problmes rseaux et matriels distance.

130

La scurit du systme dinformation : Les enjeux de lexpert comptable

Au cours de cette phase, l'auditeur effectue des tests de sondage rseau et systme pour dterminer les services rseau, les types d'applications associes et de leur mises jour, les partages rseau et les mesures de scurit mises en ouvre. Les outils de scan de l'open source les plus utiliss sont Nmap, Nsat, knocker, Blaster Scan. Il effectue galement des tests de sondage des flux rseaux pour analyser le trafic, identifier les protocoles et les services prdominant au niveau du rseau audit, le taux d'utilisation ainsi que les flux inter-stations. Les outils open source utiliss sont : Ntop, Bing, Iptraf et Network Probe. Avant d'aborder la phase d'analyse des vulnrabilits des systmes, l'auditeur identifie les serveurs ; serveurs de fichiers, de backup, de logs, NIS175, et autres serveurs d'applications et de donnes importants puis utilise un ensemble d'outils afin de suivre leur tat, leur activit et leur performances et inspecter les moyens de contrle d'accs et de leur stratgie d'administration. Sous section 2: Phase d'analyse des vulnrabilits : Au cours de cette phase, l'auditeur dtermine, l'aide des rsultats obtenus lors de l'tape prcdente, les vulnrabilits potentielles et les outils ncessaires leur exploitation. En pratique, l'auditeur teste la rsistance du systme face aux failles connues, via une analyse automatise des vulnrabilits; ainsi, il tablit pour chacune le type des applications et des services concerns. Nessus est un exemple d'outil de test automatique de vulnrabilits. Il offre des rapports volus sur les degrs des vulnrabilits et les risques qu'imposent des failles dtectes sur le systme audit. Sara, Whisker, Webserver, fingerprinting, karma et Tnscmd.pl sont d'autres exemples d'outils d'analyse de vulnrabilits des serveurs de donnes et d'applications. Sous section 3: Phase de tests intrusifs : L'objectif des tests intrusifs est d'expertiser l'architecture technique dploye et de mesurer la conformit des configurations quipements rseaux, firewall, commutateurs, sondes, etc. avec la politique de scurit dfinie et les rgles de l'art en la matire. Les tests d'intrusion sont raliss aprs autorisation explicite du client et reposent sur un ensemble de scnarios d'attaques expertes (pntration, intrusion, etc..) mis en uvre pour compromettre un systme d'information. Raliss de manire rcurrente, les tests d'intrusion permettent de valider priodiquement le niveau de scurit du systme d'information et d'en mesurer les variations. Les tests d'intrusion commencent par une phase de collecte des informations disponibles publiquement, sans interagir avec l'environnement cible. Puis, il s'agit de localiser et caractriser les composants cibles (systmes d'exploitation et services applicatifs,
175

Network Information Service (NIS) nomm aussi Yellow Pages est un protocole client serveur dvelopp par Sun permettant la centralisation d'informations sur un rseau UNIX.

131

La scurit du systme dinformation : Les enjeux de lexpert comptable

positionnement des quipements les uns par rapport aux autres, types de dispositifs de scurit mis en ouvre, etc.); c'est la phase de cartographie de l'environnement cible. Enfin, il s'agit d'exploiter les vulnrabilits mises en vidence pendant les phases prcdentes de faon a obtenir un accs " non autoris " aux ressources. En dfinitive, une valuation des risques sera tablie, dans laquelle les catgories de toutes les faiblesses de linfrastructure seront numres et associes des correctifs adapts. Conclusion : A lissue de cette phase, lauditeur propose les recommandations pour la mise en place des mesures organisationnelles et d'une politique scuritaire adquate, il peut galement prsenter une prsentation de la synthse de la mission avec pour objectif de sensibiliser sur les risques potentiels et les mesures mettre en uvre.

132

La scurit du systme dinformation : Les enjeux de lexpert comptable

Chapitre 4 : Laudit de la scurit du systme dinformation et les normes daudit financier


Introduction : Il convient de rappeler dans ce chapitre la relation entre la scurit du systme dinformation et les normes daudit financier. Section 1 : La relation entre les risques de la scurit de linformation et le risque daudit: Lobjectif de lauditeur dans lapproche daudit par les risques est d'obtenir lassurance raisonnable que les tats financiers ne contiennent pas danomalies significatives, que cellesci rsultent de fraudes ou derreurs. Cela implique trois tapes essentielles : Lvaluation des risques danomalies significatives dans les tats financiers ; La conception et la mise en uvre de procdures d'audit complmentaires, qui rpondent aux risques valus et rduisent les risques d'anomalies significatives dans les tats financiers un niveau faible acceptable ; Lmission dun rapport appropri bas sur les conclusions daudit. La norme ISA 200 stipule que. Lauditeur doit planifier et effectuer laudit pour rduire le risque daudit un niveau faible, acceptable, rpondant aux objectifs dun audit . Sous section 1: Le risque daudit: Le risque d'audit contient deux lments cls : Le risque que les tats financiers contiennent des anomalies significatives (risque inhrent et risque li au contrle) ; Le risque que l'auditeur ne dtecte pas de telles anomalies (risque de non-dtection ou risque daudit). Pour rduire le risque d'audit un niveau faible acceptable, l'auditeur doit : valuer le risque danomalie significative ; Limiter le risque de non-dtection. Ceci peut tre ralis au moyen de la mise en uvre de procdures daudit en rponse aux risques valus au niveau des tats financiers, des flux de transactions, des soldes de comptes, et au niveau des assertions. Sous section 2: Les composants du risque daudit : Les composants majeurs du risque daudit sont dcrits dans le tableau ci-dessous :

133

La scurit du systme dinformation : Les enjeux de lexpert comptable

Figure 17: Les composants du risque daudit176


176

Guide pour lutilisation des Normes Internationales dAudit dans lAudit des Petites et Moyennes Entreprises

134

La scurit du systme dinformation : Les enjeux de lexpert comptable

Les interdpendances entre les composants des risques daudit177

Figure 18: Les risques danomalies significatives178

Le terme niveau de contrle de lentit intgre de nombreux lments de l'environnement de contrle, de lvaluation des risques et de suivi des composants du contrle interne et notamment le systme dinformation. Lexpert comptable doit acqurir la connaissance du systme dinformation et des processus oprationnels affrents qui ont un rapport avec llaboration de linformation financire, y compris en ce qui concerne :179 Les flux doprations dans les activits de lentit ayant un caractre significatif pour les tats financiers, Les procdures du systme informatique et des systmes manuels, par lesquelles ces oprations sont inities, enregistres, traites et prsentes dans les tats financiers, Les enregistrements comptables y affrents, aussi bien lectroniques que manuels, tayant linformation et les postes spcifiques des tats financiers, pour ce qui concerne le lancement, lenregistrement, le traitement et la prsentation des oprations, La faon dont le systme dinformation saisit des vnements, autres que des flux doprations, ayant un caractre significatif pour les tats financiers.

177 178

Guide pour lutilisation des Normes Internationales dAudit dans laudit des PME, page 30 Guide pour lutilisation des Normes Internationales dAudit dans lAudit des Petites et Moyennes Entreprises 179 ISA 315 Connaissance de l'entit et de son environnement et valuation du risque d'anomalies significatives

135

La scurit du systme dinformation : Les enjeux de lexpert comptable

Le processus dlaboration de linformation financire utilis pour ltablissement des tats financiers de lentit, y compris les estimations comptables significatives et les informations fournies. Cette prise de connaissance permet lexpert comptable dvaluer le risque inhrent affrent la scurit du systme dinformation. Ainsi, une valuation du systme de contrle interne permet lauditeur dvaluer le risque li au contrle portant sur la scurit du systme dinformation. Lvaluation du risque daudit peut tre prsente comme suit : RA= RILSSI* RINLSSI *RLCSSI* RLCNSSI *RND RA: Risque dAudit RILSSI: Risque Inhrent Lie Au Scurit Du Systme Dinformation RINLSSI: Risque Inhrent Non li Au Scurit Du Systme Dinformation RLCSSI: Risque Lie Au Contrle Scurit Systme Dinformation RLCNSSI: Risque Lie Au Contrle RND: Risque De Non Dtection Lincidence du systme dinformation sur le risque inhrent : La conception et lacquisition des solutions informatiques, La distribution et le support informatique, La gestion de la scurit, La gestion des projets informatiques. Lincidence du systme dinformation sur le risque li au contrle : Etude des processus et des applications Eviter leffet boite noire La fiabilit des contrles applicatifs mis en place permet dallger les contrles sur les comptes Deux types de contrles : Programms Manuels Peuvent tre : Prventifs ou dfectifs Lvaluation du risque inhrent et du risque li au contrle relatif la scurit du systme dinformation, permet lauditeur de dterminer sa stratgie daudit afin de rduire le risque danomalie significative.

136

La scurit du systme dinformation : Les enjeux de lexpert comptable

Section 2: La scurit du systme dinformation et lvaluation du systme de contrle interne : L'auditeur doit acqurir une connaissance de l'entit et de son environnement, y compris de son contrle interne, qui soit suffisante pour lui permettre d'identifier et d'valuer le risque que les tats financiers contiennent des anomalies significatives, que celles-ci rsultent de fraudes ou d'erreurs, et de concevoir et de mettre en uvre des procdures d'audit complmentaires. Le contrle interne est un processus, conu et mis en place par les personnes constituant le gouvernement dentreprise, la direction et dautres membres du personnel, pour fournir une assurance raisonnable quant la ralisation des objectifs de l'entit en ce qui concerne la fiabilit de linformation financire, l'efficacit et l'efficience des oprations, ainsi que leur conformit avec les textes lgislatifs et rglementaires applicables. Il en rsulte que le contrle interne est conu et mis en uvre pour rpondre aux risques identifis lis lactivit qui menacent la ralisation de lun de ces objectifs. Sous section 1: Les composantes du contrle interne: Selon lISA 315, le terme contrle interne comprend cinq composantes qui sont : 1- Lenvironnement de contrle ; 2- Le processus dvaluation des risques de lentit ; 3- Le systme dinformation affrent linformation financire et la communication, y compris les processus oprationnels qui sy rapportent ; 4- Les activits de contrle ; 5- Le suivi des contrles internes.

137

La scurit du systme dinformation : Les enjeux de lexpert comptable

Ces composants ont trait essentiellement aux objectifs de lentit, relatifs l'information financire, comme illustre ci-dessous.

Figure 19: Les composantes du contrle interne

180

La division du contrle interne en cinq composants fournit aux auditeurs un cadre utile pour comprendre les diffrents aspects du systme de contrle interne d'une entit. Toutefois, il convient de noter que : La faon dont le systme de contrle interne est conu et mis en oeuvre varie selon la taille de l'entit et selon sa complexit. Les petites entits ont souvent recours des moyens peu formels et la simplification des processus et des procdures pour raliser leurs objectifs. Les cinq composants du contrle interne peuvent ne pas tre clairement distingus, mais leurs objectifs sous-jacents restent tous aussi valables. Des terminologies ou des cadres diffrents de ceux utiliss dans la norme ISA 315 peuvent tre employs pour dcrire les diffrents aspects du contrle interne et leurs effets sur laudit, mais les cinq lments doivent tous tre traits dans laudit. La proccupation primordiale de lauditeur consisterait de savoir si, et comment, un contrle spcifique empche ou dtecte et corrige des anomalies significatives dans les flux de transactions, les soldes de comptes et les informations fournies dans les tats financiers, ainsi que dans les assertions qui sy rapportent, plutt que son classement dans tel ou tel composant de contrle interne. Sous section 2: Le systme dinformation: La norme ISA 315 stipule que : Lauditeur doit acqurir la connaissance du systme dinformation et des processus oprationnels affrents qui ont un rapport avec llaboration de linformation financire, y compris en ce qui concerne :
180

Guide pour lutilisation des Normes Internationales dAudit dans laudit des Petites et Moyennes Entreprises page 38

138

La scurit du systme dinformation : Les enjeux de lexpert comptable

Les flux doprations dans les activits de lentit ayant un caractre significatif pour les tats financiers Les procdures du systme informatique et des systmes manuels, par lesquelles ces oprations sont inities, enregistres, traites et prsentes dans les tats financiers. Les enregistrements comptables y affrents, aussi bien lectroniques que manuels, tayant linformation et les postes spcifiques des tats financiers, pour ce qui concerne le lancement, lenregistrement, le traitement et la prsentation des oprations. La faon dont le systme dinformation saisit des vnements, autres que des flux doprations, ayant un caractre significatif pour les tats financiers ; Le processus dlaboration de linformation financire utilis pour ltablissement des tats financiers de lentit, y compris les estimations comptables significatives et les informations fournies.

Le systme d'information qui inclut le systme comptable est constitu des procdures et mthodes d'enregistrements mises en place pour initier, enregistrer, traiter, et rendre compte des oprations ralises par l'entit (ainsi que des vnements et conditions), et d'assurer l'obligation de prsenter les situations probantes en ce qui concerne les actifs, les passifs, et les capitaux propres.

139

La scurit du systme dinformation : Les enjeux de lexpert comptable


Points prendre en considration Les flux de transactions dans les oprations de l'entit, ayant un caractre significatif pour les tats financiers. La manire dont les oprations sont gnres dans le processus daffaires de lentit. Les critures comptables (lectroniques ou manuelles) tayant les informations et les postes spcifiques des tats financiers, en ce qui concerne linitialisation, l'enregistrement, le traitement et la prsentation des oprations. La faon dont le systme d'information saisit les vnements et les conditions, autres que les flux de transactions, qui ont un caractre significatif pour les tats financiers. Le processus dlaboration des informations financires utilis pour prparer les tats financiers de l'entit, incluant les estimations comptables significatives et les informations fournies. La faon dont l'entit communique sur le rle de linformation financire, les responsabilits et les questions ayant un caractre significatif, relatives linformation financire. Les risques d'anomalies significatives associs aux dpassements inappropris des contrles relatifs aux critures comptables. Les procdures utilises pour : Initier, enregistrer, traiter, et prsenter les oprations significatives et inhabituelles dans les tats financiers (telles que les transactions avec des parties lies et les notes de frais) ; Transfrer des informations des systmes de traitement des oprations au grand livre et au systme dinformation financier. Saisir les informations, autres que les oprations, affrentes aux vnements et aux conditions qui se rapportent aux tats financiers (tels que les dprciations/amortissements des actifs et les changements destimations relatives aux chances de recouvrement des crances) ; Enregistrer et contrler la passation des critures comptables courantes et non courantes ; Veiller ce que les informations requises, qui doivent tre communiques par le rfrentiel comptable applicable, soient recueillies, enregistres, traites, rsumes, et prsentes dans les tats financiers de manire approprie. La manire de rsoudre les traitements incorrects des oprations. Cet aspect peut tre automatis ou requrir des interventions manuelles. Les contrles automatiss peuvent-ils tre suspendus en toutes circonstances ? Et que se passe-t-il sils narrivent pas fonctionner ? Comment les exceptions sont-elles signales et rgles ? Quels sont les rapports produits rgulirement par le systme d'information et comment sont-ils utiliss pour grer l'entit ? Quelles sont les informations fournies par la direction et par les personnes qui constituent le gouvernement dentreprise aux parties externes telles que les autorits de rgulation ?

Sources dinformation

Traitement des informations

Utilisation des informations produites

Figure 20: La scurit du systme dinformation et lvaluation du systme de contrle interne 181

181

Guide pour lutilisation des Normes Internationales dAudit dans laudit des Petites et Moyennes Entreprises page 43

140

La scurit du systme dinformation : Les enjeux de lexpert comptable

Un systme d'information se compose de l'infrastructure physique et matrielle, du logiciel, des personnels, des procdures et des donnes. L'infrastructure et le logiciel nexisteront pas ou bien auront moins dimportance dans les systmes qui sont exclusivement ou principalement manuels. Beaucoup de systmes d'information sappuient sur la technologie de l'information Le systme d'information li aux objectifs de l'laboration de linformation financire qui inclut le systme d'tablissement des tats financiers, regroupe des procdures et des documents destins initier, enregistrer, traiter et prsenter les oprations de lentit (aussi bien des vnements que des conditions) et pour justifier des actifs, des passifs et des fonds propres. Des oprations peuvent tre gnres manuellement ou automatiquement par des procdures automatises. L'enregistrement inclut lidentification et la saisie d'informations appropries aux oprations ou aux vnements. Le traitement inclut des fonctions telles que ldition et la validation, le calcul, la mesure, la valorisation, la totalisation et le rapprochement, quils soient raliss par des procdures automatises ou manuelles. La prsentation est lie ltablissement des tats financiers mais galement dautres informations sous un format lectronique ou papier que lentit utilise en particulier pour mesurer et revoir ses performances financires. La qualit des informations gnres par le systme affecte la capacit de la direction prendre les dcisions appropries pour grer et contrler les activits de lentit et pour prparer des informations financires fiables. Par consquent, un systme d'information englobe des mthodes et des enregistrements qui: Identifient et enregistrent toutes les oprations valides ; Dcrivent de faon approprie les oprations avec suffisamment de dtails pour en permettre une bonne classification ; Mesurent la valeur de lopration de faon permettre son enregistrement dans les comptes la valeur montaire approprie ; Dterminent quand les oprations ont eu lieu afin de pouvoir les enregistrer dans la priode comptable approprie ; Prsentent correctement les oprations et assurent leur prsentation correcte dans les tats financiers. Il en rsulte que la scurit du systme dinformation constitue le noyau dur pour le jugement de la fiabilit du contrle interne.

141

La scurit du systme dinformation : Les enjeux de lexpert comptable

Section 3 : La scurit de linformation et lhypothse sous jacente de la continuit dexploitation : Sous section 1: Cadre conceptuel, Hypothses sous-jacentes et conventions comptables relatives la continuit de l'exploitation : La continuit de l'exploitation suppose que l'entreprise poursuit normalement ses activits dans un avenir prvisible et qu'elle n'a ni l'intention, ni l'obligation de mettre fin ses activits ou de rduire sensiblement leur tendue. Elle tablit que l'entreprise est en mesure de raliser les oprations envisages et dhonorer ses engagements dans un avenir prvisible. Dans le cas contraire, les tats financiers doivent tre prpars sur une base diffrente.182 Lors de la planification de l'audit et de la mise en uvre des procdures d'audit ainsi que de l'valuation des rsultats qui en dcoulent, l'auditeur doit apprcier le caractre appropri de l'application par la direction du principe de continuit d'exploitation pour l'tablissement des tats financiers. Sous section 2: Responsabilit de lexpert comptable selon lISA 570 Continuit dexploitation: La responsabilit de l'auditeur est d'apprcier le caractre appropri de l'application par la direction du principe de continuit d'exploitation dans l'tablissement des tats financiers, et de prendre en considration lexistence dincertitudes significatives quant la capacit de l'entit poursuivre son activit pour lesquelles des informations sont fournir dans les tats financiers. L'auditeur apprcie le caractre appropri de l'application par la direction du principe de continuit d'exploitation mme dans les cas o le rfrentiel comptable utilis pour l'tablissement des tats financiers ne prvoit aucune obligation explicite pour la direction d'avoir valuer la capacit de l'entit poursuivre son activit. L'auditeur ne peut prdire les vnements ou conditions futurs qui pourraient conduire l'entit cesser son activit. De ce fait, l'absence dune quelconque rfrence dans le rapport d'audit une incertitude sur la continuit d'exploitation ne peut tre considre comme une garantie de la capacit de l'entit poursuivre son activit. Il en rsulte que lexpert comptable doit sassurer que la socit a adopt et mis en uvre un processus de gestion du plan de continuit de lactivit visant rduire le plus possible limpact sur lorganisme et rcuprer les actifs informationnels perdus notamment la suite de catastrophes naturelles, daccidents, de pannes de matriels et dactes dlibrs. Des mesures prventives et correctives sont prises dans le but datteindre un niveau de rcupration suffisant. Il convient didentifier les processus mtier cruciaux et dassocier les
182

Paragraphe 35 Cadre conceptuel Hypothses sous-jacentes et conventions comptables.

142

La scurit du systme dinformation : Les enjeux de lexpert comptable

exigences de gestion de la scurit de linformation en matire de continuit de lactivit aux autres exigences lies la continuit affectant des domaines tels que lexploitation, laffectation des effectifs, le matriel, le transport et les quipements. Il convient de soumettre les consquences des sinistres, des dfaillances de scurit, de la parte de service et de la disponibilit de service une analyse de limpact sur lactivit de lorganisme. Il convient dlaborer et de mettre en uvre des plans de continuit de lactivit visant garantir une reprise des oprations essentielles dans les meilleurs dlais. Il convient que la scurit de linformation fasse partie intgrante du processus de continuit de lactivit dans son ensemble et des autres processus de gestion inhrents lorganisme. Il convient que la gestion du plan de continuit de lactivit prvoit, outre le processus gnral dapprciation du risque, des mesures destines lidentifier et rduire les risques, limite les consquences dincidents dommageables et garantisse laccs ais linformation requise dans le cadre du processus mtier. Section 4: Laudit externe et le respect de la rglementation en matire de scurit: Le contrle interne est conu et mis en uvre par la direction pour rpondre aux risques identifis lis lactivit et aux risques de fraudes qui menacent la ralisation des objectifs dclars, tels que la fiabilit de l'information financire. Le contrle interne est un processus : Conu et mis en place par les personnes constituant le gouvernement dentreprise, la direction et d'autres membres du personnel ; Programm pour fournir une assurance raisonnable quant la ralisation des objectifs de l'entit en ce qui concerne la fiabilit de l'information financire, l'efficacit et l'efficience des oprations, ainsi que la conformit avec les textes lgislatifs et rglementaires en vigueur. Ainsi, lexpert comptable doit assurer le respect de la rglementation en matire de scurit tout en vrifiant les aspects suivants :183 Sous section 1: Conformit avec les exigences lgales : Lobjectif est dviter toute violation des obligations lgales, statutaires, rglementaires ou contractuelles et des exigences de scurit. La conception, lexploitation, lutilisation et la gestion des systmes dinformation peuvent tre soumis de telles exigences. Il convient de demander des conseils sur les exigences lgales spcifiques auprs des conseillers juridiques de lorganisme ou des juristes qualifis dans le domaine. Les exigences

183

ISA 315 Connaissance de l'entit et de son environnement et valuation du risque d'anomalies significatives

143

La scurit du systme dinformation : Les enjeux de lexpert comptable

lgales diffrent dun pays lautre notamment en raison de la transmission dinformations entre les pays. Sous section 2: Identification de la lgislation en vigueur : Pour chaque systme dinformation et pour lorganisme, il convient de dfinir, documenter et mettre jour explicitement toutes les exigences lgales, rglementaires et contractuelles en vigueur, ainsi que la procdure utilise par lorganisme pour satisfaire ces exigences. De la mme faon, il convient de dfinir et de documenter les mesures spcifiques et les responsabilits individuelles mises en place pour rpondre ces exigences.184 Il convient de mettre en uvre des procdures appropries visant garantir la conformit avec les exigences lgales, rglementaires et contractuelles concernant lutilisation du matriel pouvant tre soumis des droits de proprit intellectuelle et lutilisation des logiciels propritaires. Sous section 3: Protection des enregistrements de lorganisme : Il convient de protger les enregistrements importants de la perte, destruction et falsification conformment aux exigences lgales, rglementaires et aux exigences mtier. Pour remplir les obligations de sauvegarde des enregistrements, il convient que lorganisme suive les tapes suivantes :185 1- Etablir des directives relatives la conservation, au stockage, la manipulation et llimination des enregistrements et informations. 2- Etablir un calendrier de conservation identifiant les enregistrements et leur dure de conservation, 3- Tenir jour un inventaire des sources des informations cl, 4- Prendre des mesures appropries destines protger les enregistrements et les informations contre la perte, la destruction et la falsification. Sous section 4: Protection des donnes et confidentialit des informations relatives la vie prive: Il convient dlaborer et de mettre en uvre la protection des donnes de lorganisme et une politique de confidentialit. Il convient que cette politique soit connue de toutes les personnes impliques dans le traitement des informations relatives la vie prive. La conformit avec cette politique et avec toutes les lgislations et rglementations relatives la protection des donnes requiert un contrle et une structure de gestion appropris. La meilleure faon de mettre en place une telle structure est de dsigner un responsable, par
184 185

Guide pour lutilisation des Normes Internationales dAudit dans laudit des Petites et Moyennes Entreprises page 41 La gouvernance du Systme d'Information dans les PME - Pratiques et volutions de Jean-Franois Carpentier ( 10 mai 2010) p 39

144

La scurit du systme dinformation : Les enjeux de lexpert comptable

exemple un administrateur de la scurit des donnes; il convient que cet administrateur conseille les responsables, utilisateurs et prestataires de services sur leurs responsabilits individuelles et les procdures spcifiques quil convient de respecter. Sous section 5: Mesure prventive lgard du mauvais usage des moyens de traitement de linformation : Il convient que la direction approuve lutilisation des moyens de traitement de linformation. Il convient de considrer comme inapproprie toute utilisation de ces quipements des fins non professionnelles sans accord de la direction ou des fins non autorises. Si une activit non autorise est identifie par le biais de la surveillance ou par dautres moyens, il convient den informer le responsable concern en vue denvisager laction judiciaire et/ou la sanction approprie. Il convient de prendre les conseils dun juriste avant de mettre en uvre les procdures de surveillance. Il convient galement que tous les utilisateurs soient informs du domaine dapplication exact de leur accs autoris et de la surveillance mise en place en vue de dtecter toute utilisation non autorise. Les utilisateurs doivent tre en possession dune autorisation crite. Il convient dune copie de ce document soit signe par lutilisateur et conserve de faon scurise par lorganisme. Il convient dinformer les salaris dun organisme, les contractants et les utilisateurs quaucun accs, autre que celui autoris, nest tolr. Sous section 6: Rglementation relative aux mesures cryptographique : Il convient de prendre des mesures cryptographiques conformment aux accords, lois et rglementations applicables, et de prendre en compte les lments suivants : a- Les restrictions en matire dimportation et/ou dexportation de matriels et de logiciels destins lexcution de fonctions cryptographiques, b- Les restrictions en matire dimportation et/ou dexportation de matriels et de logiciels intgrant des fonctions cryptographiques, c- Les restrictions en matire dutilisation du chiffrement, d- Les mthodes non discrtionnaires ou discrtionnaires dont disposent les autorits nationales pour accder aux informations chiffres par des moyens matriels ou logiciels dans le but de prserver la confidentialit du contenu. Sous section 7: Conformit avec les politiques et normes de scurit: Il convient que les responsables sassurent de lexcution correcte de lensemble des procdures de scurit places sous leur responsabilit en vue de garantir leur conformit avec
145

La scurit du systme dinformation : Les enjeux de lexpert comptable

les politiques et normes de scurit. Il convient que les responsables rexaminent rgulirement la conformit du traitement de linformation dont ils sont chargs avec les politiques, normes de scurit applicables et toute autre exigence de scurit.186 Si le rexamen dtecte une non-conformit, il convient que les responsables : a- Dterminent les causes de la non-conformit b- Evaluent la ncessit dengager des actions pour ne pas reproduire les causes de cette nonconformit, c- Dterminent et mettent en uvre laction corrective adquate, et d- Rexaminent laction corrective engage. Sous section 8: Vrification de la conformit technique : Il convient quun ingnieur systme expriment lance la vrification de la conformit technique manuellement laide des outils logiciels appropris, le cas chant et/ou laide des outils automatiss gnrant un rapport technique en vue dune interprtation ultrieure par un spcialiste. Lors dessais dintrusion ou dapprciations des vulnrabilits, il convient de procder avec la plus grande prudence car de telles activits peuvent compromettre la scurit du systme. Il convient de planifier et de documenter ces essais qui doivent tre rptables. Il convient que toute vrification de la conformit technique soit effectue par des personnes comptentes, habilites ou de manire encadre. Sous section 9: Contrles de laudit du systme dinformation : Il convient que les exigences daudit et les activits impliquant des contrles des systmes en exploitation soient planifies de manire prcise et quelles soient le rsultat dun accord afin de rduire le plus possible le risque de perturbations des processus. Conclusion: Face aux menaces et vulnrabilits du systme dinformation et aux exigences rglementaires et professionnelle, lexpert comptable est appel sadapter aux nouvelles missions daudit de la scurit du systme dinformation.

186

ISO 27002 Technologie de linformation_ Technique de scurit_ Code de bonne pratique pour la gestion de la scurit de linformation

146

La scurit du systme dinformation : Les enjeux de lexpert comptable

Conclusion de la deuxime partie


Laudit de la scurit du systme dinformation dans le cadre des missions daudit financier devient une exigence impose par les normes professionnelles. Il constitue galement une ncessit en raison de lvolution du contexte des organisations. En effet, dans le contexte actuel o les systmes dinformation sont prpondrants dans la majorit des processus des entreprises, il nest plus possible de certifier les tats financiers sans procder lvaluation des systmes dinformation. La dmarche des auditeurs devra donc tre adapte pour reflter cette nouvelle ralit. Laudit de la scurit du systme dinformation en tant que support laudit financier est ax sur la fiabilit des informations financires produites par les systmes. Il porte sur les aspects organisationnels et physiques beaucoup plus que sur laspect technique. Lapproche daudit relative ces deux aspects a t dveloppe dans la deuxime partie de ce mmoire. Par ailleurs, lexpert comptable en tant que commissaire aux comptes est appel effectuer des missions connexes qui impliquent la revue des systmes dinformation (examen du dossier financier, valuation du contrle interne des tablissements de crdit y compris les aspects lis aux systmes dinformation). Lexpert comptable, en tant que conseiller de lentreprise, est souvent appel assister le management dans la mise en place des procdures et des outils permettant de grer les risques. Pour assurer la russite dune mission daudit de la scurit du systme dinformation, lexpert comptable est appel dabord renforcer ses connaissances de gestion par des connaissances techniques se rattachant aux technologies dinformation et de communication. Il lui incombe ensuite dadapter sa dmarche daudit en vue de prendre en considration le rle de linformatique dans lapprciation des risques de lentreprise. La dmarche propose dans ce mmoire est spcifique la ralisation daudit de la scurit du systme dinformation dans le cadre dune mission daudit financier ; elle peut galement tre adapte la conduite dune mission analogue dans le cadre de consulting. Ainsi, conduire un audit de la scurit du systme dinformation dans le cadre dune mission daudit financier ou dans le cadre dune mission spciale, na plus rien dexceptionnel. A terme, nous parlerons, peut tre, non plus des auditeurs financiers et des auditeurs en scurit du systme dinformation, mais des auditeurs tout simplement, chacun ayant une comprhension globale de lentreprise. Il ne sagit pas dun changement de mtier, mais plutt dune volution des mthodes et des outils de travail, ce quoi lauditeur doit se prparer.
147

La scurit du systme dinformation : Les enjeux de lexpert comptable

Conclusion Gnrale

Aujourdhui, le monde conomique est caractris par la libralisation et la globalisation. Cette culture nouvelle sest rapidement concrtise par lutilisation des rseaux informatiques qui permettent la transmission et la rception des informations dune manire instantane. Comme tout changement, cette volution entrane la modification des modles de fonctionnement des entreprises. Pour tre comptitives dans lenvironnement conomique actuel, les entreprises tunisiennes sont appeles oprer de profondes mutations tant au niveau de leurs stratgies quau niveau de la mise niveau de leurs modes de gestion. Le processus de changement qui est enclench par suite de ce nouveau contexte, incite ces derniers mieux matriser leurs systmes dinformation afin de gagner en performance. En effet, les systmes dinformation sont devenus des leviers stratgiques qui accompagnent les entreprises dans la phase de leur mise niveau en leur permettant dtre plus performantes et ractives. Ceci implique une rapidit et une efficacit dans le traitement de linformation, ce qui conduit, le plus souvent, une refonte totale du systme dinformation et une redistribution des activits et des tches entre les diffrentes structures de lorganisation. La dpendance des entreprises envers linformation et envers les systmes qui la vhiculent saccroit avec le dveloppement des technologies ; ces dernires ont eu pour effet doprer une mutation radicale des organisations et des pratiques des affaires. Il est vident que les systmes dinformation permettent lentreprise dtre performante et ractive, mais la mise en place de ces systmes saccompagne, le plus souvent, par une refonte des processus de lorganisation, ce qui pourrait se traduire par la suppression de certains contrles cls dans la gestion des risques de lentit. Aujourdhui, nous assistons une forte intgration des systmes dinformation et leur ouverture sur les partenaires de lentreprise. Ceci augmente considrablement la vulnrabilit de ces systmes et engendre de nouveaux risques. Il y a lieu de noter que les risques inhrents aux systmes dinformation augmentent avec louverture de ces derniers aussi bien en externe avec lInternet quen interne travers les outils dIntranet. Les entreprises doivent tre conscientes des risques lis aux systmes dinformation. Elles sont tenues, par consquent, de mettre en place les outils et les procdures de contrle adquats permettant dempcher la survenance de ces risques ou limiter leur impact.

148

La scurit du systme dinformation : Les enjeux de lexpert comptable

Les lgislateurs ont mis de nouvelles dispositions visant se prmunir contre les risques lis lutilisation des nouvelles technologies de linformation. Ils ont galement impos aux auditeurs dvaluer et de tester les contrles, y compris ceux lis aux systmes informatiques. Pour rpondre aux nouvelles exigences rglementaires et aux contraintes et risques induits par les systmes dinformation (intgration, ouverture, automatisation des contrles, etc.), les organismes professionnels de laudit comptable et financier ont d rviser leurs normes et mthodologies daudit de faon prendre en compte les enjeux cres par ce nouveau contexte. Dans lenvironnement actuel, les systmes dinformation, sont devenus prpondrants, il est inconcevable de certifier les comptes sans procder un audit de ces systmes. Face ce nouveau contexte, les cabinets dexpertise comptable ont procd une mise niveau de leur mthodologie daudit de faon se conformer aux nouvelles normes professionnelles et dispositions rglementaires. Les nouvelles dmarches proposes par les cabinets daudit reposent largement sur la comprhension et lvaluation des contrles lis aux systmes dinformation. Compte tenu que la comprhension du systme dinformation et de son environnement constitue un pralable pour la ralisation des missions daudit de la scurit du systme dinformation, nous avons prsent dans le cadre de ce travail: Une dfinition du systme dinformation ainsi que les menaces et les vulnrabilits qui psent sur ce systme, Une dfinition de la scurit du systme dinformation, ainsi que les caractristiques et la normalisation internationale rgissant la scurit de ce systme, Une dmarche daudit pragmatique pour la ralisation des missions daudit du systme dinformation en tant que support laudit comptable et financier. La prsentation de ces aspects a pour but de prsenter limportance du systme dinformation dans la socit et dexposer les menaces et vulnrabilits affectant linformation et le contrle interne de lentreprise dune part, et didentifier les risques lis aux systmes dinformation dautre part, sachant quun systme dinformation performant peut constituer une ressource stratgique permettant damliorer la comptitivit de lentreprise sur le march. La dmarche daudit prsente est inspire des bonnes pratiques de la norme ISO 27002, des rfrentiels existants et de lexprience vcue dans les missions daudit de la scurit du systme dinformation ralises au cours de mon stage. En effet, laudit de la scurit du systme dinformation couvre deux aspects : Un audit organisationnel et physique portant sur les lments suivants: la politique de scurit, lorganisation de la scurit de linformation, la gestion des actifs (biens), la
149

La scurit du systme dinformation : Les enjeux de lexpert comptable

scurit lie aux ressources humaines, la scurit physique et environnementale, la gestion de la communication et de lexploitation, les contrles daccs, lacquisition, le dveloppement et la maintenance des systmes dinformation, la gestion des incidents de scurit de linformation, la gestion du plan de continuit des affaires et sa conformit. Un audit technique permettant davoir une vue globale de ltat de scurit du systme
dinformation et didentifier les risques potentiels.

Nous avons galement prsent la relation entre le risque daudit financier et le risque daudit de la scurit du systme dinformation. Ainsi, la scurit du systme dinformation est aborde avec srnit et professionnalisme par le commissaire aux comptes lors des principales tapes de la dmarche daudit ; ce dernier doit accomplir les diligences suivantes: Orientation et planification de la mission, Evaluation du risque, Obtention des lments probants. Par ailleurs, il y a lieu de souligner que les missions dans le domaine de laudit et la gestion des risques du systme dinformation sont nombreuses et varies. Ceci permet lexpert comptable dlargir le champ de ses missions et de se positionner en tant que conseiller et interlocuteur privilgi du management de lentreprise. Il convient de souligner galement quil existe de nombreuses autres missions dans le domaine de laudit et de conseil en matire des procdures de contrle et de gestion des risques des systmes dinformation. Parmi ces missions nous pouvons citer : La mise en place dune politique de scurit du systme dinformation. La mise en place dun plan de continuit des affaires La mise en place dun plan de reprise des affaires Pour faire face aux nouvelles contraintes et saisir les opportunits offertes par lutilisation des nouvelles technologies de linformation, lexpert comptable devra investir dans lacquisition des comptences dans ce domaine. Dans le cadre de ce travail de recherche, nous avons tudi et valu les dmarches que peut suivre un auditeur afin dapprcier la pertinence et lefficacit du systme dinformation. Des actions de formation dans laudit de la scurit du systme dinformation peuvent tre assures travers des participations aux concours du CISA en profitant de loccasion quoffre lATAI par louverture dun centre dexamen en Tunisie et par la participation des sminaires et des cycles de formation qui sont organiss essentiellement par lAFAI.

150

La scurit du systme dinformation : Les enjeux de lexpert comptable

Les cabinets dexpertise comptable, ralisant actuellement des missions daudit de la scurit du systme dinformation des entreprises tunisiennes acceptent, de plus en plus, toutes demandes manant de leur clientle tendant dvelopper davantage le champ dinvestigation de laudit de la scurit du systme dinformation. Ceci peut tre ralis par lassociation avec des professionnels dans le domaine et par lamlioration des comptences de leurs collaborateurs en la matire en leur offrant loccasion de participer des cycles de formation ltranger ou par linvitation des comptences extrieures. En outre, lordre des experts comptables de Tunisie, en tant quorganisme lcoute des proccupations de la profession, est appel uvrer pour la mise jour de la loi n 88-108 rglementant la profession dexpert comptable par lextension du champ dintervention des socits dexpertise comptable dautres disciplines et par lorganisation des cycles de formation priodiques dans le domaine de laudit de la scurit du systme dinformation. Egalement, lordre des experts comptables peut jouer un rle important auprs du Ministre de lEnseignement Suprieur pour proposer lenseignement de laudit de la scurit du systme dinformation aux experts comptables. LEtat, pour sa part, a mis la charge des tablissements publics lobligation de raliser laudit de la scurit de leurs systmes dinformation et exige la ralisation de cette mission par des cabinets privs en respectant les qualifications professionnelles stipules dans le dcret n2005-1249 du 25 avril 2004 fixant les conditions et les procdures de certification des experts auditeurs dans le domaine de la scurit informatique. De notre point de vue, nous estimons que ce dcret nest pas appliqu lheure actuelle avec lefficacit qui se doit, vu le nombre limit de professionnels tunisiens dans le domaine et linsuffisance constate dans la formation acadmique et universitaire de lexpert comptable en matire daudit de la scurit du systme dinformation. Eu gard ce qui prcde, la mission daudit de la scurit du systme dinformation sera assure exclusivement par quelques cabinets qui disposent dun personnel qualifi dans ce domaine. En outre, cette obligation peut accrotre le recours des cabinets internationaux, ce qui alourdirait les charges financires de la mission. Le tissu conomique tunisien actuel se compose essentiellement de PME dont la proccupation essentielle est dassurer la continuit dexploitation compte-tenu de la concurrence qui sinstalle suite louverture des frontires. La question qui mrite dtre pose est de savoir si les chefs dentreprises vont accepter de supporter des charges supplmentaires pour auditer la scurit de leurs systmes dinformation ?

151

ANNEXES

La scurit du systme dinformation : Les enjeux de lexpert comptable

ANNEXE 1 : Questionnaire daudit de la scurit du systme dinformation


1. Politique de la Scurit 1.1.1 - Document de politique de scurit de l'information Est-ce que la politique de scurit de l'information a t approuve par la direction, publie et communique l'ensemble des employs 1.1.2 - Examen et valuation Est-ce que la politique de scurit de l'information est rvise rgulirement, et lors de changements pouvant influencer son exactitude? Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Entirement mise en uvre Partielement mise en uvre Planifi Pas implment ni planifi Niveau Entirement mise en uvre Partielement mise en uvre Planifi Pas implment ni planifi

2. Organisation de la Scurit 2.1 Organisation interne 2.1.1 - Groupe de gestion de la scurit de l'information (comit de gestion) Existe-t-il un groupe de gestion qui a pour mission d'assurer une dmarche claire dans la gestion de la scurit et dapporter le soutien ncessaire la direction dans les initiatives concernant la scurit? Est-ce que ce groupe de gestion encourage la scurit au sein de l'organisation au moyen d'un engagement appropri et d'une affectation adquate des 2.1.2 - Coordination de la scurit de l'information (entre les diffrentes directions)

Niveau 1 Est-ce que la coordination de la mise en oeuvre des mesures de scurit de l'information Niveau 2 est effectue par un groupe de gestion dont les membres reprsentent des fonctions Niveau 3 diverses dans les sections concernes de l'organisation? Niveau 4 2.1.3 - Attribution des responsabilits de scurit de l'information Niveau 0 Niveau 1 Est-ce que les responsabilits concernant la protection des actifs individuels et l'excution Niveau 2 des processus de scurit spcifiques sont clairement dfinies? Niveau 3 Niveau 4 2.1.4 - Processus d'autorisation pour les infrastructures de traitement de l'information Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 2.1.5 - Accords de confidentialit Niveau 0 Niveau 1 Est-ce que les accords de confidentialit dterminent les conditions de la protection des Niveau 2 informations confidentielles en utilisant les termes lgislatifs excutoires ncessaires ? Niveau 3 Niveau 4 2.1.6 Contact avec les autorits Niveau 0 Niveau 1 Est-ce que l'entreprise entretient des contacts appropris avec les autorits lgales, les Niveau 2 organismes de rglementation, les prestataires de services d'information et les Niveau 3 exploitants des tlcommunications? Niveau 4 2.1.7 Contact avec les spcialistes en scurit de l'information Niveau 0 Niveau 1 Est-ce qu'un conseiller spcialis en scurit de l'information a t engag autant Niveau 2 l'intrieur qu' l'extrieur de l'organisation pour coordonner les connaissances et fournir Niveau 3 une assistance pour la prise de dcision ayant trait la scurit? Niveau 4 2.1.8 - Revue indpendante de la scurit de l'information Niveau 0 Niveau 1 Est-ce que la mise en application de la politique de scurit fait l'objet d'un examen Niveau 2 indpendant? Niveau 3 Niveau 4 2.2 - Intervenant Externe 2.2.1 - Identification des risques en relation avec des intervenants externes Niveau 0 Niveau 1 Est-ce que les risques associs l'accs par les tiers aux infrastructures de traitement de Niveau 2 l'information de l'organisation ont t valus ? et les mesures de contrle ont-elles t Niveau 3 implantes ? Niveau 4 2.2.2 Scurit adresse au commerce avec les clients Niveau 0 Niveau 1 Ltablissement fixe t-il systmatiquement ses exigences en matire de scurit lors de Niveau 2 louverture de son systme dinformations pour donner laccs aux clients potentiels, Niveau 3 fournisseurs, CNI, TTN..? Niveau 4 2.2.3 - Scurit adresse dans les accords de tierces parties Niveau 0 Niveau 1 Est-ce que les contrats avec les tiers impliquant l'accs aux infrastructures de traitement Niveau 2 de l'information de l'organisation mentionnent toutes les exigences de scurit pour Niveau 3 assurer la conformit aux politiques et aux normes de scurit de l'organisation? Niveau 4 Est-ce qu'un processus d'autorisation des nouvelles infrastructures de traitement de l'information a t tabli?

153

La scurit du systme dinformation : Les enjeux de lexpert comptable


3. Management des Actifs 3.1 - Responsabilits lies aux actifs 3.1.1 - Inventaire des actifs Existe-t-il un inventaire de tous les actifs importants conservs et intgrs aux systmes d'information rigs? 3.1.2 - Propritaire des Actifs Existe t-il un responsable de chaque ressource inventorie ? 3.1.3 - Utilisation acceptable des actifs Est-ce que les directives qui tablissent les rgles de lutilisation acceptable des informations et des actifs de la socit sont identifies, documentes et implmentes ? 3.2 Classification de linformation 3.2.1 - Lignes directrices de classification Est-ce que les classifications et les mesures de protection ayant trait l'information tiennent compte des besoins de l'entreprise de partager ou de restreindre l'information ainsi que des impacts associs ces besoins sur l'entreprise? 3.2.2 - tiquetage et traitement de l'information Existe-t-il un ensemble de procdures appropries pour l'tiquetage et le traitement de l'information conformment au systme de classification adopt par l'organisation? Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Entirement mise en uvre Partielement mise en uvre Planifi Pas implment ni planifi Niveau Entirement mise en uvre Partielement mise en uvre Planifi Pas implment ni planifi

4. Scurit des ressources humaines 4.1 Avant emploi 4.1.1 - Rles et responsabilits Niveau 0 Niveau 1 Est-ce que la dfinition des postes inclut tous les dtails sur les rles et responsabilits en Niveau 2 matire de scurit tels que dcrits dans la politique de scurit de l'organisation? Niveau 3 Niveau 4 4.1.2 Slection Niveau 0 Est-ce que les contrles de vrification concernant le personnel permanent, les Niveau 1 fournisseurs et le personnel temporaire sont effectus au moment de la demande Niveau 2 d'emploi conformment aux lois et proportionnellement la nature et aux exigences de Niveau 3 lactivit de lentreprise ? Niveau 4 4.1.3 - Conditions d'emploi Niveau 0 Niveau 1 Est-ce que les responsabilits de l'employ en matire de scurit de l'information sont Niveau 2 mentionnes dans leurs conditions d'emploi? Niveau 3 Niveau 4 4.2 - Pendant l'emploi 4.2.1 - Gestion des responsabilits Niveau 0 Niveau 1 Est-ce que ltablissement rappelle au personnel (employs de l'organisation et, s'il y a Niveau 2 lieu, les utilisateurs externes) quils sont tenus dappliquer les exigences de scurit Niveau 3 conformment aux politiques et aux procdures de lorganisation ? Niveau 4 4.2.2 - Conscience, ducation et formation la scurit de l'information Niveau 0 Niveau 1 Est-ce que les employs de l'organisation et, s'il y a lieu, les utilisateurs externes reoivent Niveau 2 une ducation et une formation la scurit ainsi quaux mises jour rgulires sur les Niveau 3 politiques et les procdures de l'organisation? Niveau 4 4.2.3 - Processus disciplinaire Niveau 0 Niveau 1 Existe-t-il un processus disciplinaire formel pour les employs qui ont viol les politiques et Niveau 2 les procdures de scurit de l'organisation ? Niveau 3 Niveau 4 4.3 - Terminaison ou changement d'emploi 4.3.1 - Terminaison des responsabilits Niveau 0 Niveau 1 Est-ce que les responsabilits de lemploy aprs la terminaison ou le changement de Niveau 2 lemploi sont clairement dfinies et assigns ? Niveau 3 Niveau 4 4.3.2 - Retour des actifs Niveau 0 Niveau 1 Est-ce que les employs de l'organisation et, s'il y a lieu, les utilisateurs externes doivent Niveau 2 rendre les actifs de lorganisation qui sont en leur possession aussitt que leur contrat est Niveau 3 achev ? Niveau 4 4.3.3 - Suppression des droits d'accs Niveau 0 Niveau 1 Est-ce que les droits daccs des employs de l'organisation et, s'il y a lieu, les utilisateurs Niveau 2 externes sont supprims aussitt que leur contrat est achev ? Niveau 3 Niveau 4

154

La scurit du systme dinformation : Les enjeux de lexpert comptable


5. Scurit Physique et de l'environnement 5.1 Zones de scurit 5.1.1 - Primtre de scurit physique Niveau 0 Niveau 1 Est-ce que des primtres de scurit ont t utiliss afin de protger les zones contenant Niveau 2 des infrastructures de traitement de l'information en fonction de la sensibilit des Niveau 3 informations? Niveau 4 5.1.2 - Mesures physiques lentre Niveau 0 Niveau 1 Est-ce que les zones de scurit sont protges l'entre par des mesures appropries Niveau 2 pour faire en sorte que seul le personnel autoris puisse y avoir accs? Niveau 3 Niveau 4 5.1.3 - Scurisation des bureaux, des salles et des infrastructures Niveau 0 Niveau 1 Est-ce que des zones de scurit ont t cres afin de protger les bureaux, les chambres Niveau 2 et les infrastructures avec des quipements de scurit spcialiss? Niveau 3 Niveau 4 5.1.4 - Protection contre les menaces externes et environnementales Niveau 0 Niveau 1 Existe-t-il une protection physique des biens de ltablissement contre les incendies, le Niveau 2 feu et dautres formes de dsastres ? Niveau 3 Niveau 4 5.1.5 - Travail dans les zones de scurit Niveau 0 Niveau 1 Est-ce que des mesures de protection et des directives de travail dans les zones de Niveau 2 scurit ont t implantes afin d'augmenter la scurit fournie par les contrles Niveau 3 physiques? Niveau 4 5.1.6 - Accs public, zone de livraison et de chargement Niveau 0 Niveau 1 Est-ce que les zones de livraison et de chargement sont contrles et, si possible, isoles Niveau 2 des infrastructures de traitement de l'information afin d'viter tout accs non autoris? Niveau 3 Niveau 4 5.2 - Scurit du matriel 5.2.1 - Emplacement et protection du matriel Niveau 0 Niveau 1 Est-ce que le matriel est situ et protg de faon rduire les risques prsents par les Niveau 2 menaces et les dangers lis l'environnement et les occasions d'accs non autoris? Niveau 3 Niveau 4 5.2.2 - Alimentation lectrique Niveau 0 Niveau 1 Est-ce que les quipements sont protgs contre les pannes de courant ou les autres Niveau 2 anomalies lectriques? Niveau 3 Niveau 4 5.2.3 - Scurit du cblage Niveau 0 Niveau 1 Est-ce que les cblages lectriques et de tlcommunications transmettant des donnes Niveau 2 ou supportant des services d'information sont protgs contre les interceptions ou les Niveau 3 dommages? Niveau 4 5.2.4 - Maintenance du matriel Niveau 0 Niveau 1 Est-ce que le matriel est entretenu correctement afin d'assurer sa disponibilit et son Niveau 2 intgrit continues? Niveau 3 Niveau 4 5.2.5 - Scurit du matriel utilis lextrieur des locaux Niveau 0 Niveau 1 Est-ce que les procdures de scurit sont appliques sur le matriel utilis lextrieur Niveau 2 en prenant en considration les conditions du travail en dehors des locaux de Niveau 3 ltablissement ? Niveau 4 5.2.6 - Mise au rebut ou rutilisation du matriel en toute scurit Niveau 0 Niveau 1 Est-ce que les dispositifs de stockage contenant des informations sensibles sont dtruits Niveau 2 physiquement ou recouverts de manire sre plutt que d'utiliser la fonction de Niveau 3 suppression standard? Niveau 4 5.2.7 - Enlvement des biens Niveau 0 Niveau 1 Est-ce que les quipements, les informations et les logiciels sont transports en dehors Niveau 2 des locaux de ltablissement uniquement sous une autorisation au pralable ? Niveau 3 Niveau 4 Niveau Entirement mise en uvre Partielement mise en uvre Planifi Pas implment ni planifi

155

La scurit du systme dinformation : Les enjeux de lexpert comptable


6. Gestion des communications et des oprations 6.1 Procdures et responsabilits oprationnelles 6.1.1 - Procdures oprationnelles documentes Niveau 0 Niveau 1 Dans la politique de scurit, est-ce que les procdures oprationnelles sont identifies, Niveau 2 documentes et mises la disposition des utilisateurs? Niveau 3 Niveau 4 6.1.2 - Changement de gestion Niveau 0 Niveau 1 Est-ce que les modifications apportes aux infrastructures et aux systmes de traitement Niveau 2 de l'information sont contrles? Niveau 3 Niveau 4 6.1.3 - Division des responsabilits Niveau 0 Niveau 1 Est-ce que les responsabilits ou zones de responsabilits sont spares de faon Niveau 2 rduire les possibilits de modifications non autorises ou d'utilisation abusive de Niveau 3 l'information ou des services? Niveau 4 6.1.4 - Sparation des infrastructures de dveloppement et des infrastructures Niveau 0 oprationnelles Niveau 1 Est-ce que les infrastructures de dveloppement et d'essai sont spares des Niveau 2 infrastructures oprationnelles? Est-ce que des rgles sont dfinies pour le transfert de Niveau 3 logiciels du stade de dveloppement au stade excutable? Niveau 4 6.2 - Gestion des services dlivrs par les tiers 6.2.1 - Service dlivr Niveau 0 Niveau 1 Est-ce que des contrles de scurit sont mis en place pour assurer que les livraisons des Niveau 2 biens ou des services se font selon les exigences contenues dans les accords et les Niveau 3 contrats signs avec tiers ? Niveau 4 6.2.2 - Supervision et revue des services des tiers Niveau 0 Niveau 1 Est-ce que les services, les rapports et les enregistrements fournis par les tiers externes Niveau 2 sont rgulirement superviss et revus ? Niveau 3 Niveau 4 6.2.3 Gestion des changements apports aux services livrs par tiers Niveau 0 Niveau 1 Les changements apports aux services assurs par les tiers externes sont-ils grs de Niveau 2 faon assurer la maintenance et lamlioration des politiques et des procdures de Niveau 3 scurit en fonction de la criticit du systme ? Niveau 4 6.3. - Planification et recette des systmes 6.3.1 - Planification des capacits Niveau 0 Niveau 1 Est-ce que les demandes daugmentation en capacit sont surveilles et est-ce que les Niveau 2 prvisions sur les besoins de capacit futurs ont t values afin d'assurer la Niveau 3 disponibilit d'une puissance de traitement et d'un stockage adquat? Niveau 4 6.4 - Protection contre les codes pernicieux et mobiles 6.4.1 - Contrle contre les codes pernicieux Niveau 0 Niveau 1 Est-ce que des mesures de dtection et de prvention ont t implantes pour fournir une Niveau 2 protection contre les logiciels pernicieux? Est-ce que des procdures ont t tablies pour Niveau 3 sensibiliser les usagers ce problme? Niveau 4 6.4.2 - Contrle contre les codes mobiles Niveau 0 Niveau 1 Est-ce que les codes mobiles autoriss sont excuts en respectant clairement une Niveau 2 politique de scurit dfinie ? et est-ce que les codes mobiles non autoriss sont interdits Niveau 3 lexcution ? Niveau 4 6.5 - Sauvegarde 6.5.1 - Sauvegarde des informations Niveau 0 Niveau 1 Est-ce que des copies de sauvegarde des informations et des logiciels essentiels de Niveau 2 l'entreprise sont effectues intervalles rguliers? Niveau 3 Niveau 4 6.6 - Gestion de la scurit des rseaux 6.6.1 - Mesures de contrle des rseaux Niveau 0 Niveau 1 Est-ce qu'un ensemble de mesures est mis en oeuvre afin d'obtenir et de maintenir la Niveau 2 scurit dans les rseaux informatiques? Niveau 3 Niveau 4 6.6.2 - Scurit des services rseaux Niveau 0 Niveau 1 Est-ce que les caractristiques et les exigences de scurit des services rseaux sont Niveau 2 identifies et pris en considration lors de lexploitation du rseau ? Niveau 3 Niveau 4 Niveau Entirement mise en uvre Partielement mise en uvre Planifi Pas implment ni planifi

156

La scurit du systme dinformation : Les enjeux de lexpert comptable


6. Gestion des communications et des oprations 6.7 - Manipulation des supports 6.7.1 - Gestion des supports amovibles Niveau 0 Niveau 1 Existe-t-il des procdures de gestion des supports informatiques amovibles tels que les Niveau 2 bandes, les disques, les cassettes et les rapports imprims? Niveau 3 Niveau 4 6.7.2 - Mise au rebut des supports Niveau 0 Niveau 1 Est-ce que des procdures officielles sur la mise au rebut des supports de manire sre Niveau 2 ont t tablies? Niveau 3 Niveau 4 6.7.3 - Procdures de manipulation de linformation Niveau 0 Niveau 1 Est-ce que des procdures pour la manipulation et le stockage des informations ont t Niveau 2 tablis afin de protger ces informations contre toute divulgation non autorise ou toute Niveau 3 utilisation abusive? Niveau 4 6.7.4 - Scurit des documentations de systmes Niveau 0 Niveau 1 Niveau 2 Est-ce que la documentation est protge contre un accs non autoris? Niveau 3 Niveau 4 6.8 - changes dinformations 6.8.1 - Politique et procdure d'change d'information Niveau 0 Niveau 1 Existe-t-il des procdures et des contrles formels pour protger lchange des Niveau 2 informations travers les moyens de communications utilises ? Niveau 3 Niveau 4 6.8.2 - Accord sur les changes Niveau 0 Niveau 1 Est-ce que des accords ont t tablis sur les changes d'informations et de logiciels entre Niveau 2 lorganisation et dautres parties externes? Niveau 3 Niveau 4 6.8.3 - Supports physique en transit Niveau 0 Niveau 1 Est-ce que les supports en transit sont protgs contre les accs non autoriss, les Niveau 2 utilisations abusives ou les altrations lors de leur transport entre les sections Niveau 3 priphriques de ltablissement ? Niveau 4 6.8.4 - Message lectronique Niveau 0 Niveau 1 Est-ce que les informations contenues dans les messages lectroniques sont Niveau 2 suffisamment protges ? Niveau 3 Niveau 4 6.8.5 Systmes dinformations lis au commerce Niveau 0 Niveau 1 Existe-t-il des procdures implmentes pour la protection des informations ainsi que Niveau 2 linterconnectivit entre les diffrents systmes lis au commerce? Niveau 3 Niveau 4 6.9 - Services du commerce lectronique 6.9.1 Commerce lectronique Niveau 0 Niveau 1 Est-ce que le commerce lectronique est protg contre les activits frauduleuses, les Niveau 2 diffrends contractuels et la divulgation ou la modification de l'information? Niveau 3 Niveau 4 6.9.2 - Transaction On-Line Niveau 0 Niveau 1 Les informations changes lors des transactions en ligne sont-ils protgs contre les Niveau 2 problmes de transmission, de routage et des altrations ou duplications non autoriss Niveau 3 Niveau 4 6.9.3 Information disponible publiquement Niveau 0 Niveau 1 Est-ce que les informations disponibles publiquement sont protges des modifications Niveau 2 non autorises ? Niveau 3 Niveau 4 Niveau Entirement mise en uvre Partielement Planifi mise en uvre Pas implment ni planifi

157

La scurit du systme dinformation : Les enjeux de lexpert comptable


6. Gestion des communications et des oprations 6.10 Supervision 6.10.1 Audit des journaux Est-ce que les fichiers logs qui enregistrent les activits, les exceptions et les vnements de scurit sont audits des intervalles rguliers ? 6.10.2 - Supervision des systmes Les procdures de supervision des systmes sont-ils tablis ? et les rsultats des activits de supervision sont-ils rgulirement revus? 6.10.3 Protection des journaux Est-ce que les fichiers logs sont protgs contre les accs non autoriss ? 6.10.4 - Les journaux des administrateurs et des oprateurs Est-ce que les activits des administrateurs et des oprateurs du systme sont archives dans des fichiers logs ? 6.10.5 Consignation des dfauts Est-ce que les fautes commises sont galement archives dans des fichiers logs, analyses et prises en considration par des actions consquentes ? 6.10.6 - Synchronisation d'horloge Est-ce que les horloges de tous les systmes au sein de la socit sont synchronises afin dassurer lexactitude des journaux daudit? Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Entirement mise en uvre Partielement mise en uvre Planifi Pas implment ni planifi

7. Contrle des accs 7.1 Exigences de lentreprise concernant le contrle des accs 7.1.1 - Politique de contrle des accs Niveau 0 Niveau 1 Est-ce des exigences d'affaires en matire de contrle des accs ont t dfinies et Niveau 2 documentes, et est-ce que la restriction des accs correspond ce qui est dfinit dans la Niveau 3 politique de contrle d'accs? Niveau 4 7.2 - Gestion des accs utilisateurs 7.2.1 - Enregistrement des utilisateurs Niveau 0 Niveau 1 Est-ce qu'une procdure officielle d'enregistrement et d'annulation de l'enregistrement Niveau 2 des utilisateurs a t mise en place pour l'octroi de l'accs tous les systmes et les Niveau 3 services d'information multiutilisateurs? Niveau 4 7.2.2 - Gestion des privilges Niveau 0 Niveau 1 Niveau 2 Est-ce que l'attribution et l'utilisation de privilges sont restreintes et contrles? Niveau 3 Niveau 4 7.2.3 - Gestion des mots de passe utilisateur Niveau 0 Niveau 1 Est-ce que l'attribution de mots de passe est contrle par un processus de gestion Niveau 2 officiel? Niveau 3 Niveau 4 7.2.4 - Examen des droits daccs utilisateur Niveau 0 Niveau 1 Est-ce qu'un examen officiel des droits d'accs des utilisateurs est effectu par la Niveau 2 direction intervalles rguliers? Niveau 3 Niveau 4 7.3 - Responsabilits des utilisateurs 7.3.1 - Utilisation des mots de passe Niveau 0 Niveau 1 Est-ce que les utilisateurs suivent de bonnes pratiques de scurit lors de la slection et Niveau 2 de l'utilisation des mots de passe? Niveau 3 Niveau 4 7.3.2 - Matriel utilisateur sans surveillance Niveau 0 Niveau 1 Est-ce que les utilisateurs veillent ce que le matriel sans surveillance ait une protection Niveau 2 approprie? Niveau 3 Niveau 4 7.3.3 - Politique de bureaux et dcrans dgags Niveau 0 Niveau 1 Est-ce que l'organisation a adopt une politique de bureaux et d'crans dgags afin de Niveau 2 protger les informations contre des accs non autoriss, de perte d'information et de Niveau 3 dommages? Niveau 4

Niveau

Entirement mise en uvre

Partielement mise en uvre

Planifi

Pas implment ni planifi

158

La scurit du systme dinformation : Les enjeux de lexpert comptable


7. Contrle des accs 7.4 - Contrle de laccs aux rseaux 7.4.1 - Politique sur lutilisation des services sur rseaux Est-ce que les utilisateurs n'ont un accs direct qu'aux services spcifiques pour lesquels ils ont t autoriss? 7.4.2 - Authentification des utilisateurs pour les connexions externes Est-ce que l'accs par des utilisateurs loigns donne lieu une authentification? 7.4.3 - Identification des quipements dans les rseaux Est-ce que l'organisation a adopt une politique de bureaux et d'crans dgags afin de protger les informations contre des accs non autoriss, de perte d'information et de dommages? 7.4.4 - Diagnostic distance et configuration de la protection des ports Est-ce que l'accs aux ports de diagnostic est contrl de faon sre? 7.4.5 - Isolation au sein des rseaux Est-ce que des contrles au sein du rseau sont mis en place afin d'isoler des groupes de services d'information, d'utilisateurs et de systmes d'information? 7.4.6 - Contrle des connexions rseaux Est-ce que les capacits de connexion des utilisateurs sont limites et bases sur la politique de contrle d'accs? 7.5 - Contrle de laccs aux systmes dexploitation 7.5.1 - Procdures de scurisation de la connexion? Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Entirement mise en uvre Partielement mise en uvre Planifi Pas implment ni planifi

Niveau 0 Niveau 1 Est-ce que des procdures de scurisation de la connexion sont mis en place pour Niveau 2 protger laccs au systme oprationnel de ltablissement Niveau 3 Niveau 4 7.5.2 - Identification et authentification des utilisateurs Niveau 0 Est-ce que les utilisateurs ont un identificateur unique (code d'identification utilisateur) Niveau 1 pour leur utilisation personnelle exclusive, de sorte que les activits puissent tre Niveau 2 associes rtrospectivement l'individu responsable? Est-ce qu'une procdure Niveau 3 d'authentification a t choisie afin de corroborer l'identit revendique par un Niveau 4 7.5.3 - Systme de gestion des mots de passe Niveau 0 Niveau 1 Est-ce que les systmes de gestion des mots de passe fournissent une fonction interactive Niveau 2 efficace qui assure la qualit des mots de passe? Niveau 3 Niveau 4 7.5.4 Utilisation des programmes utilitaires Niveau 0 Niveau 1 Est-ce que l'utilisation des programmes utilitaires est restreinte et troitement Niveau 2 contrle? Niveau 3 Niveau 4 7.5.5 - Fonction darrt dlai dinactivit de la session Niveau 0 Niveau 1 Niveau 2 Les sessions inactives pendant un certain temps sont-elles fermes? Niveau 3 Niveau 4 7.5.6 - Limitation du temps de connexion Niveau 0 Niveau 1 Existe t-il des restrictions sur le temps de connexion qui fournissent un niveau de scurit Niveau 2 supplmentaire pour les applications hauts risques? Niveau 3 Niveau 4 7.6 Contrle de laccs aux applications 7.6.1 - Restriction des accs linformation Niveau 0 Niveau 1 Est-ce que l'accs l'information et aux fonctions des systmes d'applications est limit Niveau 2 conformment la politique de contrle des accs? Niveau 3 Niveau 4 7.6.2 - Isolation des systmes critiques Niveau 0 Niveau 1 Est-ce que les systmes critiques fonctionnent dans un environnement informatique Niveau 2 ddi (isol)? Niveau 3 Niveau 4 7.7 Informatique mobile et tltravail 7.7.1 - Informatique mobile et communication Niveau 0 Niveau 1 Est-ce qu'une politique formelle a t adopte pour tenir compte des risques impliqus Niveau 2 par le travail avec des units informatiques mobiles, et travers des infrastructures de Niveau 3 communications diffrentes ? Niveau 4 7.7.2 Tltravail Niveau 0 Niveau 1 Est-ce qu'une politique, des procdures et des normes sont en place pour contrler les Niveau 2 activits de tltravail? Niveau 3 Niveau 4

159

La scurit du systme dinformation : Les enjeux de lexpert comptable


8. Maintenance, Dveloppement et acquisition des systmes d'information 8.1 Exigences de scurit des systmes d'information 8.1.1 - Analyse et spcification des exigences de scurit Est-ce que les exigences d'affaires pour de nouveaux systmes ou pour des amliorations apportes des systmes existants spcifient les exigences relatives aux mesures de contrle? 8.2 - Correction des processus dans les applications 8.2.1 - Validation des donnes dentre Est-ce que les donnes d'entres des applications sont valides afin qu'elles soient correctes et appropries? 8.2.2 - Contrle du traitement interne Est-ce qu'une vrification de validation a t incorpore au systme afin de dtecter toute altration des donnes? 8.2.3 - Intgrit des messages Est-ce que les exigences en matire de dauthenticit et dintgrit des messages sont identifis et implments ? 8.2.4 - Validation des donnes de sortie Est-ce que la validation des donnes de sortie d'un systme d'application assure que le traitement des informations stockes soit correct et appropri aux circonstances? 8.3 - Mesures cryptographiques 8.3.1 - Politique sur lutilisation de mesures cryptographiques Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Entirement mise en uvre Partielement mise en uvre Planifi Pas implment ni planifi

Niveau 0 Niveau 1 Est-ce qu'il existe une politique sur l'utilisation de mesures cryptographiques pour la Niveau 2 protection des informations? Niveau 3 Niveau 4 8.3.2 - Gestion des cls Niveau 0 Niveau 1 Est-ce qu'un systme de gestion des cls est utilis afin de soutenir l'utilisation de Niveau 2 techniques cryptographiques bases sur un ensemble convenu de normes, de procdures Niveau 3 et de mthodes sres? Niveau 4 8.4 - Scurit des fichiers 8.4.1 - Contrle des logiciels oprationnels Niveau 0 Niveau 1 Est-ce que des procdures ont t tablies afin de contrler l'implantation de logiciels sur Niveau 2 les systmes oprationnels? Niveau 3 Niveau 4 8.4.2 - Protection des donnes dessai des systmes Niveau 0 Niveau 1 Est-ce que les donnes dessai des systmes sont minutieusement slectionnes, Niveau 2 protges et contrles ? Niveau 3 Niveau 4 8.4.3 - Contrle de laccs aux codes de programmes sources Niveau 0 Niveau 1 Est-ce que l'accs aux codes des programmes sources est strictement contrl? Niveau 2 d'information et de dommages? Niveau 3 Niveau 4 8.5 Scurit des environnements de dveloppement et de soutien 8.5.1 - Procdures de contrle des modifications. Niveau 0 Niveau 1 Niveau 2 Est-ce que les implmentations des modifications sont examines et testes? Niveau 3 Niveau 4 8.5.2 - Examen technique des modifications apportes aux progiciels Niveau 0 Niveau 1 Les modifications apportes aux progiciels subissent-elles un examen Niveau 2 technique rgulirement? Niveau 3 Niveau 4 8.5.3 - Restrictions sur les modifications apportes aux progiciels Niveau 0 Niveau 1 Est-il dconseill d'apporter des modifications aux progiciels? Si des modifications Niveau 2 s'avrent indispensables, sont-elles strictement contrles? Niveau 3 Niveau 4 8.5.4 - Fuite d'information Niveau 0 Niveau 1 Niveau 2 Les possibilits des fuites dinformations sont-ils prvenus ? Niveau 3 Niveau 4 8.5.5 - Dveloppement sous-trait des logiciels Niveau 0 Niveau 1 Est-ce que des mesures sont appliques afin de protger le dveloppement de logiciels Niveau 2 sous-traits? Niveau 3 Niveau 4 8.6 - Gestion des vulnrabilits techniques 8.6.1 - Contrle des vulnrabilits techniques Niveau 0 Niveau 1 Est-ce que les vulnrabilits techniques sont contrles, values et prises en considration Niveau 2 par les mesures de rmdiation ncessaires ? et est-ce que lexposition de lentreprise ces Niveau 3 vulnrabilits est rgulirement value ? Niveau 4

160

La scurit du systme dinformation : Les enjeux de lexpert comptable


9. Management des incidents de la scurit de l'information 9.1 Signalisation des vnements de la scurit de l'information et ses faiblesses 9.1.1 - Signalisation des vnements de la scurit de l'information Est-ce que les signalisations des vnements de la scurit de linformation sont reportes et communiques le plus rapidement possible ? 9.1.2 - Signalisation des faiblesses de la scurit Est-ce que les employes, contractuels et les tiers signalent les faiblesses dans les systmes ou les services ? 9.2 - Gestion des incidents de la scurit de l'information et amliorations 9.2.1 - Responsabilit et procdures Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Entirement Partielement Planifi mise en uvre mise en uvre Pas implment ni planifi

Niveau 0 Niveau 1 Y a t-il des procdures tablies pour rpondre rapidement et efficacement aux incidents Niveau 2 de scurit Niveau 3 Niveau 4 9.2.2 Etude des incidents de scurit de linformation Niveau 0 Niveau 1 Existent-ils des mcanismes qui surveillent et quantifient les cots et les volumes des Niveau 2 incidents de scurit ? Niveau 3 Niveau 4 9.2.3 - Collecte dlments de preuve Niveau 0 Niveau 1 Niveau 2 Y a t-il une collecte des lments de preuve suite un incident de scurit ? Niveau 3 Niveau 4 10. Gestion de la continuit des activits de lentreprise Niveau Entirement Partielement Planifi mise en uvre mise en uvre Pas implment ni planifi

10.1 - Aspects de la scurit de l'information pour la gestion de la continuit des activits de lentreprise 10.1.1 - Introduction de la scurit de l'information dans le processus de gestion de la Niveau 0 continuit des activits de lentreprise Niveau 1 Est-ce qu'un processus gr a t tabli dans toute l'entreprise pour le dveloppement et Niveau 2 le maintien de la continuit des activits de l'entreprise? Niveau 3 Niveau 4 10.1.2 - Continuit des activits de lentreprise et recensement des risques Niveau 0 Niveau 1 Est-ce que les vnements qui causent les interruptions des activits de lentreprise sont Niveau 2 identifis avec leur impact et leur probabilit doccurrences ? Niveau 3 Niveau 4 10.1.3 - Dveloppement et mise en uvre des plans de continuit incluant la scurit Niveau 0 de l'information Niveau 1 Y a t-il un plan daction qui maintient et qui assure la disponibilit de linformation au Niveau 2 seuil exig et au temps voulu ? Niveau 3 Niveau 4 10.1.4 - Cadre de planification de la continuit des activits de lentreprise Niveau 0 Niveau 1 Est-ce qu'un seul cadre de planification de continuit des activits de l'entreprise est Niveau 2 maintenu afin d'obtenir une cohrence de tous les plans et d'identifier les priorits en Niveau 3 matire d'essais et de maintenance? Niveau 4 Niveau 0 10.1.5 - Essai, maintien et rvaluation des plans de continuit des activits de Niveau 1 lentreprise Niveau 2 Niveau 3 Niveau 4

161

La scurit du systme dinformation : Les enjeux de lexpert comptable


11. Conformit Niveau 0 Niveau 1 Est-ce que toutes les exigences lgales, rglementaires et contractuelles sont clairement Niveau 2 dfinies pour chaque systme d'information? Niveau 3 Niveau 4 11.1.2 - Droits de proprit intellectuelle (DPI) Niveau 0 Niveau 1 Est-ce que des procdures appropries ont t implantes afin d'assurer la conformit Niveau 2 aux exigences lgales de l'utilisation de matriel et logiciel faisant droit de proprit Niveau 3 intellectuelle? Niveau 4 11.1.3 - Protection de la prennit des informations de lorganisation Niveau 0 Niveau 1 Est-ce que les informations importantes de l'organisation sont protges contre toute Niveau 2 perte, destruction et falsification? Niveau 3 Niveau 4 11.1.4 - Protection des donnes et confidentialit des renseignements personnels Niveau 0 Est-ce que des mesures de contrles conformes avec la lgislation sur la protection des donnes ont t appliques afin de protger le traitement et la transmission de renseignements personnels? 11.1.5 - Prvention de toute utilisation abusive des infrastructures de traitement de linformation Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 11.1 Conformit aux exigences lgales 11.1.1 - Identification de la lgislation applicable Niveau Entirement Partielement Planifi mise en uvre mise en uvre Pas implment ni planifi

Niveau 1 Est-ce que la direction doit autoriser l'utilisation des infrastructures de traitement de Niveau 2 l'information et est-ce que des mesures de contrles ont t appliques afin de prvenir Niveau 3 toute utilisation abusive de ces infrastructures? Niveau 4 11.1.6 - Rglementation des mesures cryptographiques Niveau 0 Niveau 1 Est-ce que des mesures de contrle sont en place pour assurer le respect des conventions Niveau 2 nationales, des lois, des rglements ou d'autres instruments afin de contrler l'accs aux Niveau 3 mesures cryptographiques ou leur utilisation? Niveau 4 11.2 - Conformit avec la politique de scurit et les standards et la conformit technique 11.2.1 Conformit la politique de scurit et les standards Niveau 0 Niveau 1 Est-ce que les gestionnaires veillent ce que toutes les procdures de scurit dans leur Niveau 2 secteur de responsabilit soient suivies correctement conformment la politique de Niveau 3 scurit et aux standards ? Niveau 4 11.2.2 - Contrle de conformit technique Niveau 0 Niveau 1 Est-ce que les systmes d'information sont contrls intervalles rguliers quant leur Niveau 2 conformit aux normes de mise en oeuvre de la scurit? Niveau 3 Niveau 4 11.3 - Considrations sur les audits des systmes d'informations 11.3.1 Mesures de contrle daudit des systmes d'informations Niveau 0 Niveau 1 Est-ce que les activits d'audit impliquant la vrification des systmes oprationnels sont Niveau 2 soigneusement planifies et approuves afin de minimiser les risques de perturbations Niveau 3 des processus de l'entreprise? Niveau 4 11.3.2 Protection des outils daudit des systmes d'informations Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4

Niveau 1 : ni planifi ni implment Niveau 2 : planifi mais non implment Niveau 3 : planifi mais partiellement implment Niveau 4 : planifi et implment totalement

162

La scurit du systme dinformation : Les enjeux de lexpert comptable

Annexe 2 : Modle Lettre destine dclencher lintrt du client pour une mission daudit du systme dinformation

Cher (e) Client (e) Loptimisation de la gestion du systme dinformation de lentreprise est un impratif pour tout dirigeant. Les virus informatiques, les actes de malveillances internes ou externes, les failles de scurit, lespionnage industriel,, constituant donc la majeure partie de vos proccupations. Avec louverture des systmes dinformation vers lextrieur qui reprsente une vritable ressource vitale et stratgique pour votre entreprise ; force est de constater que la scurit de linformatique devient donc aujourdhui une composante incontournable et essentielle la protection de cet actif, potentiellement vulnrable. Malheureusement les obligations quotidiennes du chef dentreprise ne lui permettent pas toujours de suivre les volutions technologiques qui donnent lieu une abondance dinformations et de nouveauts. Or, la mauvaise application de ces volutions ou leur simple mconnaissance peut entraner des consquences prjudiciables pour lentreprise : risque dengagement de la responsabilit de lemployeur, risque de dclenchement de contrles, manque gagner caus par la perte dinformations ou la mauvaise utilisation de logiciels, Il nous a sembl que votre entreprise tait particulirement sensible ces risques et que nous pourrions avec vous, essayer de les limiter au mieux de vos intrts : Cest pourquoi, le Cabinet sest donn 4 grandes missions pour rpondre aux exigences vitales et stratgiques quimpose la Scurit Informatique : Vrifier et contrler le niveau de scurit existant, Aider au renforcement de la scurit des systmes dinformations, Maintenir un niveau de scurit optimal, Sensibiliser, informer et former, Ses objectifs : Assister et accompagner les socits dans la dfinition, limplmentation et la validation de leur politique de scurit, Renforcer la scurit de leur systme dinformations en mettant leur disposition lexpertise de ses collaborateurs.

163

La scurit du systme dinformation : Les enjeux de lexpert comptable

Si ce type daudit na pas t fait depuis longtemps dans votre entreprise, il serait peut tre prudent denvisager de le faire. Parlons en prochainement, nous pourrons ainsi valider ensemble lutilit de cet audit pour vous et votre propre scurit. Dans cette attente, Nous vous prions de croire, Cher(e) Client(e) lexpression de nos sentiments dvous Le Cabinet

164

La scurit du systme dinformation : Les enjeux de lexpert comptable

Annexe 3 : Modle Lettre de mission

Cher(e) Client(e), Vous avez manifest le dsir de faire appel aux services de notre Cabinet en vue de raliser un diagnostic du systme dinformation de votre entreprise. Nous vous remercions de la confiance que vous tmoignez et souhaitions rsumer ci-aprs, les diffrentes conversations que nous avons eues afin de prciser, dun accord commun, le contexte, les objectifs, lapproche, les limites et enfin les modalits de notre collaboration. 1- Le contexte: Vous nous avez fait remarquer lors de notre entretien du les lments suivants concernant la situation de votre systme dinformation de votre entreprise : Cest dans ce contexte que vous nous avez demand de vous soumettre des propositions dinvention. 2- Les objectifs: Les objectifs de nos interventions sont : Procder un diagnostic de la situation de votre entreprise sur le plan Emettre des recommandations concrtes dans un plan daction. Toutes modifications qui pourraient tre apportes la mission dfinie ci-aprs seront pralablement arrtes dun commun accord. 3- Les phrases de la mission: Notre mission comportera les phrases suivantes : Etude de cohrence de lorganisation en place, Corrlation au modle dorganisation type correspondant au niveau des menaces prises en compte, Proposition de solutions. Cette mission pourrait se traduire : Au niveau de la politique globale : 1. Aide lanalyse de la menace, 2. Aide lvaluation des biens protger, 3. Aide la spcification et la formulation des besoins et exigences de la Scurit, 4. Aide la formulation de la finalisation de la politique.

165

La scurit du systme dinformation : Les enjeux de lexpert comptable

Au niveau des procdures 1. Aide la formulation des procdures relatives au traitement des besoins et des exigences de scurit de la politique, 2. Aide lacquisition de lexistant. Au niveau des rgles catgorielles : aide la dfinition et la formalisation des rgles utilisateurs, des rgles oprateurs informatiques, des rgles prestataires, des rgles personnelles itinrantes. 4- Les limites: Les avis qui seront exprims sur la situation de votre entreprise ne doivent pas tre considrs comme une certification au sens comptable du terme. Les procdures qui seront mises en uvre nont pas pour objet de dceler les fraudes ventuelles mais sassurer que le dispositif de contrle interne prsente les qualits suffisantes et de prvention et de dtection rduisant au minimum les risques de survenance de tels vnements ou derreurs. 5- Notre participation /Votre collaboration: La mission sera effectue par M supervis par

Mqui en assurera la responsabilit finale. La mission qui nous est confie comporte donc de notre part une obligation de moyens et suppose de votre part une troite collaboration, notamment, de M

.au cours de phrases. 6- Dlais et cots: Notre mission pourra dbuter le aprs votre acceptation, et stendra sur environ .., selon les modalits fixes au calendrier prvisionnel labor dun commun accord et susceptibles de modifications dans les mmes conditions. Nos honoraires, exclusifs de toute autre rmunration, seront dtermins de la manire suivante : .. Si cette proposition vous convient, nous vous serions reconnaissants de bien vouloir nous retourner un exemplaire de la prsente lettre et de ses annexes, revtues de votre signature. Nous vous remercions par avance et vous prions de croire, Cher(e) Client(e) lassurance de nos sentiments distingus et dvous. Le Cabinet Le Client

166

La scurit du systme dinformation : Les enjeux de lexpert comptable

Annexe 3 : Modle Type de Rapport


Cher(e) Client(e), Dans le cadre de la mission daudit de votre systme dinformation de votre entreprise que vous nous avez confie, et conformment notre lettre de mission du // vous voudrez bien trouver ci-joint, le compta rendu de notre tude. Lvaluation de la fiabilit et de la scurit du systme dinformation de votre entreprise amne les observations suivantes :

Nous avons toutefois pu mettre en vidence un certain nombre de faiblesse dont voici la liste :

Nos principales recommandations sont les suivantes :

Pour vous permettre dapprcier prcisment ces diffrentes informations, nous vous incitons prendre connaissance de la suite du rapport qui reprend lanalyse dtaille de lensemble de faiblesses releves ainsi que lensemble de nos recommandations. Nous tenons vous remercier de lexcellent accueil et de la parfaite coopration qui nous ont t rservs par lensemble du personnel que nous avons t amens rencontrer. Nous restons votre entire disposition pour vous fournir tous les complments dinformation que vous pourriez souhaiter et pour vous apporter notre appui pour la mise en uvre des recommandations suggres par le prsent rapport. Le Cabinet

167

La scurit du systme dinformation : Les enjeux de lexpert comptable

1- Prsentation de lentreprise : Forme juridique : Activit principale : Capital social : RC : 2- Prsentation de lentreprise : Votre systme dinformation prsente les caractristiques suivantes : Lentreprise propose des prestations dans le domaine de. Dans le cadre des projets, linformation et la coordination sont assures essentiellement par courrier lectronique. Voici comment se prsente linfrastructure informatique centrale : 1 serveur abritant les donnes du personnel et les donnes administratives. 1 serveur de fichiers abritant des donnes gnrales (rpertoires personnels Home , documents publics,) 1 serveur de courrier 1 serveur abritant les donnes des clients et les donnes des projets. Voici comment se prsente linfrastructure des tltravailleurs : Accs Internet : les tltravailleurs disposent dune liaison ADSL qui leur permet daccder Internet et, de l, aux systmes centraux. Ils ne travaillent que sur des portables. Les tltravailleurs bnficient dun accs intgral tous les serveurs. Ils rdigent des offres, quils stockent dans les rpertoires contenant les donnes administratives. Ils stockent les documents et les donnes de projet sur le serveur abritant les donnes projets. Ils ont entendu accs leur courrier lectronique sur le serveur de courrier. En principe, limpression de tous les documents est centralise. Le rseau de votre entreprise peut tre reprsent suivant le schma suivant :

168

BIBLIOGRAPHIE

La scurit du systme dinformation : Les enjeux de lexpert comptable

Bibliographie Ouvrage :
Alexandre Fernandez-Toro _ Mmento audit ISO 27001 : auditer la scurit du systme d'information _ Edition DUNOD _ 2009 Alexandre Fernandez-Toro, et Herv Schauer _ Management de la scurit de l'information : Implmentation ISO 27001 - Mise en place d'un SMSI et audit de certification _ Edition DUNOD _ 2009 Annelise Couleau-Dupont _ Systmes d'Information de gestion Epreuve 8 - DCG Manuel et applications _ Edition NATHAN _ 2007 Arnaud Deslandes, J-C Grosjean, Mdric Morel, et Guillaume Plouin _ Le poste de travail Web : Portail d'entreprise et accs au systme d'information _ Edition DUNOD _ 2010 Arturo Hernandez _ Scurit des systmes d'information des PME/PMI - Guide de ralisation d'un diagnostic stratgique _ Edition Arttesia _ 2009 Association Franaise de lAudit et du Conseil Informatique _ COBIT : gouvernance, contrle et audit de linformation et des technologies associes _ Edition DUNOD _ 2000 Bauknecht. K _ Information Security Mnangement _ Solms & Eloff _ 2000 Bauknecht. K _ Information Security Mnangement _ Solms & Eloff _ 2000 BLOCH Laurent, WOLFHUGEL Christophe _ Scurit informatique, principe et mthode _ Edition EYROLLES. _ 2007 Buffart P, Amilhat. B, _ Scurit des systmes dinformation : Quelle politique globale de gestion des risques ? _ Edition CIGREF _ 2002 Camille Rosenthal-Sabroux, Americo Carvalho, et Collectif _ Management et gouvernance des SI _ Edition Lavoisier _ 2009 Chantal Morley _ Management d'un Projet Systeme d'Information - Principes, techniques, mise en oeuvre et outils _ Edition DUNOD _ 2008 Claudine CHASSAGNE _ Manager un systeme d'information - guide pratique du dsi _ Edition Territorial _ 2009 CLUSIF _ Menaces informatiques et pratiques de scurit en France _ Edition CLUSIF _ 2010 CNCC _ Prise en compte de lenvironnement informatique et incidence sur la dmarche daudit _ Edition CNCC _ 2003 Daniel Marc _ Scurit du systme dinformation _ Ecole Suprieur dingnieurs de Luminy _ 2004 Daniel Marc _ Scurit du systme dinformation _ Ecole Suprieur dingnieurs de Luminy _ 2004 David Autissier, et Valrie Delaye _ Mesurer la performance du systme d'information _ Edition EYROLLES. _ 2008 David Burgermeister, Jonathan Krier _ Les systmes de dtection d'intrusions _ Edition Developpez.com _ 2006 Dominique George _ Etude mondiale Ernest&Young sur la scurit des systmes dinformation en 2004 _ Ernest&Young _ 2004 DOMINIQUE MOISAND FABRICE GARNIERDEL ABAREYRE Prface de Didier Lambert Avec la collaboration de J.-M. Chabbal, T. Gasiorowski, F. Legger et L. Vakil _ Cobit, Pour une meilleure gouvernance des systmes dinformation _ Edition DUNOD _ 2009

170

La scurit du systme dinformation : Les enjeux de lexpert comptable

Dominique Moisand, Fabrice Garnier de Labareyre, et Bruno Mnard Broch _ CobiT : Pour une meilleure gouvernance des systmes d'information _ Edition EYROLLES. _ 2010 Eloff, Frangopoulos _ A Comparative Study of Standards and Practices Related to Information Security Management _ Department of computer science and Information Systems UNISA _ 2003 Eric Deschaintre, Christian Draux, et Jacqueline Thdi _ Gestion du systme d'information BTS Premire anne : Assistant de gestion de PME-PMI _ Edition hachette _ 2009 FILIOL Eric, RICHARD Phillipe _ Cybercriminalit _ Edition DUNOD _ 2007 Franois Rivard, Georges Abou Harb, et Philippe Meret _ Le systme d'information transverse : Nouvelles solutions du SI et performance mtier _ Edition Lavoisier _ 2008 Franois-Xavier de Vaujany _ Les grandes approches thoriques du systme d'information de Franois-Xavier _ Edition Lavoisier _ 2009 Frantz Rowe, et Rolande Marciniak _ Systmes d'information, dynamique et organisation _ Edition Economica _ 2008 Frdric Georgel, et Thierry Chamfrault _ IT gouvernance : Management stratgique d'un systme d'information _ Edition DUNOD _ 2009 GDI Jeans-Louis Desvignes _ GDI Jeans-Louis Desvignes les enjeux de la scurit des systmes dinformation _ SSTIC _ 2003 GDI Jeans-Louis Desvignes _ Les enjeux de la scurit des systmes dinformation _ Edition SSTIC _ 2003 Grard Balantzian _ Le plan de gouvernance du SI : Etat de l'art, mthode et cas concrets _ Edition DUNOD _ 2006 Geyres Stphane _ La scurit des systmes dinformation dans les entreprises Franaise en 2003 : un zoom _ Ernest&Young _ 2003 Hugues Poissonnier, Renaud Cornu-Emieux, Jean-Pierre Verjus, et Collectif _ Stratgie et pilotage des systmes d'information _ Edition DUNOD _ 2009 Jean-Damien RUBAL _ Mise en uvre dun SMSI et dploiement de politique de scurit BS 7799/ ISO 27002 _ Callio Technologies Europe _ 2004 Jean-Franois Carpentier _ La gouvernance du Systme d'Information dans les PME - Pratiques et volutions _ Edition ENI _ 2010 Jean-Franois Pillou _ Tout sur les Systmes d'information _ Edition DUNOD _ 2006 Jean-Louis Lequeux, et Jean-Franois Challande _ Le grand livre du DSI : Mettre en oeuvre la direction des systmes d'information 2.0 _ Edition EYROLLES. _ 2009 Jean-Marc Tourreilles _ Le systme d'information hospitalier : 1, 2, 3... partez ! _ Edition ENSP _ 2004 Jean-Philipe Jouas et Albert Harari _ Le Risque Informatique 2SI-scurit des systmes dinformation _ Edition Arttesia _ 1999 Kamoun, M _ Audit de la scurit du systme dinformation et de communication : scurit informatique, un nouvel avantage concurrentiel _ Economiste Magrbin _ 2003 Longean R, et Archimbaud J _ Guide de la scurit des systmes dinformation lusage des directeurs _ CNRS _ 1999 Longeon Robert _ Scurit des systmes dinformation, Sret de fonctionnement : Convergence et Divergence _ Atelier ssi _ 2004
171

La scurit du systme dinformation : Les enjeux de lexpert comptable

Ludovic M _ Scurit des systmes d'information. : 2 _ Edition Lavoisier _ 2006 Matthieu Bennasar, Alain Champenois, Patrick Arnould, et Thierry Rivat _ Manager la scurit du SI : Planifier, dployer, contrler, amliorer _ Edition DUNOD _ 2007 Matthieu Bennasar, et Paul Thron _ Plan de continuit d'activit et systme d'information : Vers l'entreprise rsiliente _ Edition DUNOD _ 2010 Michelle Gillet, et Patrick Gillet _ SIRH : Systme d'information des ressources humaines _ Edition DUNOD _ 2010 Nicolas Dube _ Analyse des risques scurit SI _ Edition Economica _ 2001 Pascal Vidal _ Systmes d'information organisationnels de Pascal Vidal _ Edition Pearson Education _ 2009 Patrick Boulet _ Plan de continuit d'activit : Secours du systme d'information _ Edition Lavoisier _ 2008 PLANS J _ La pratique daudit informatique _ Edition Eyrolles _ 2000 Robert Reix _ Systmes d'information et management des organisations _ Edition Vuibert _ 2004 Servin Claud _ Rseaux et tlcoms _ Edition DUNOD _ 2003 Solange Ghernaouti-Hlie Claud scurit Internet ; Stratgies et technologies, Dunod, octobre 2000 _ Scurit Internet ; Stratgies et technologies _ Edition DUNOD _ 2000 Sylvie Gerbaix, et Marc Pasquet _ Management des systmes d'information UE 5 du DSCG : Enonc _ Edition CORROY _ 2009 Thierry RAMARAD _ Quelle mthode danalyse des risques ? Panorama des solutions et mthodes _ Edition DUNOD _ 2005 Thierry RAMARAD _ Quelle mthode danalyse des risques ? Panorama des solutions et mthodes _ Edition Economica _ 2005 Yosecure _ Norme de scurit internationale ISO/IEC 17799 : V 2000. Code de bonne pratiques pour la scurit de linformation _ Yosecure _ 2003 Yves Chevalier _ Systme d'information et gouvernance _ Edition DUNOD _ 2008 Ziadi jameledine _ SI, TIC, ERP, vers une approche de e-management _ Centre de Publication Universitaire _ 2004

Normes, recommandations et rfrentiels


La norme ISA 315 connaissances de lentit et de son environnement et valuation du risque danomalies significatives ; La norme ISA 330 Audit ralis dans un environnement informatique ; La norme ISA 500 lments probants ; La norme 2-300 du la CNCC apprciation du contrle interne ; La norme 2-301 du la CNCC valuation du risque et contrle interne ; La norme 2-302 du la CNCC audit ralis dans un environnement informatique ; daudit assistes par ordinateurs . IS0 27002 Technologies de linformation, code pratique pour la gestion de scurit de linformation
172

La scurit du systme dinformation : Les enjeux de lexpert comptable

Articles de base
EGILIA Introduction la scurit informatique du 20 avril 2009 BARDY Christophe, ne pas semptrer dans le sans-fil , le monde informatique n1086, octobre 2005 ; BOUCHET Xavier, Transformer le-mail en systme critique , le monde informatique n1071, mai 2005 ; CLEUET Fabien (CISA), Scuriser la production et lexploitation informatique revue AFAI n62/2000 ; DESCAMPS Olivier et ROGNON jean luc scurit : matriser les risques internes , le monde informatique n1068, avril 2005 ;

Lois et rglements
Loi n2004-5 du 3 fvrier 2004, relative la scurit informatique ; Loi n96-112 du 30 dcembre 1996, portant promulgation du systme comptable des entreprises; Loi n94-36 du 24 fvrier 1994, relative la proprit littraire et artistique ; Loi n2001-1 du 15 juin 2000, relative au code des tlcommunications ; Loi n2000-83 du 9 aot 200, relative aux changes et au commerce lectronique ; Dcret n 2004-1248 du 25 mai 2004, fixant lorganisation administrative et financire et les modalits de fonctionnement de lagence nationale de la scurit informatique ; Dcret n 2004-1249 du 25 mai 2004, fixant les conditions et les procdures de certification des experts dans le domaine de la scurit informatique ; Dcret n 2004-1250 du 25 mai 2004, fixant les systmes informatiques et les rseaux des organismes soumis laudit obligatoire priodique de la scurit informatique et les critres relatifs la nature de laudit et sa priodicit et aux procdures de suivi de lapplication des recommandations contenues dans le rapport daudit ; Loi organique n 2004-63 du 27 juillet 2004, portant sur la protection des donnes caractre personnel ; Code de limpt sur le revenu des personnes physiques et de limpt sur les socits ; Code des droits et procdures fiscaux.

173

La scurit du systme dinformation : Les enjeux de lexpert comptable

Mmoires
ANGELONI Pascal, scurit informatique en milieu TPE-PME : rle du professionnel du chiffre , mmoire dexpertise comptable, France, novembre 2004 ; BEN SALAH Atef, la scurit de linformation face au risque informatique : approche mthodologique de diagnostic , mmoire dexpertise comptable, ISCAE, novembre 1995 ; BORGI Mohamed lassaad, lvolution des technologies de linformation et de la communication : impact sur laudit financier , mmoire dexpertise comptable, ISCAE, juin 2002 ; DJEMEL Abdelhdi, linformatique au service de lexpert comptable , mmoire dexpertise comptable, ISCAE, dcembre 1997 ; GOBBI Laurent, La valeur ajoute de laudit informatique dans le cadre de commissariat aux comptes , mmoire dexpertise comptable, France, mai 2000 ; GUYARD Alain, Scurit de la micro informatique dans les PME, les techniques adaptes et leur audit par lexpert comptable , France, novembre 1998. MARAKCHI Iskander, laudit des comptes au vu de lvolution des technologies de linformatique , mmoire dexpertise comptable, ISCAE, juin 1999 ; ZANOTTI William, Audit, plaidoyer pour linnovation technologique ou comment se prparer laudit du XXIme sicle , mmoire dexpertise comptable, France, novembre 1999. mmoire dexpertise comptable,

Sites Internet
www.ansi.tn; www.certification.tn; www.infocom.tn; www.juristetunisie.com; www.isaca.org; www.afai.asso.fr; www.secuser.com ; www.hsc.fr;
174

La scurit du systme dinformation : Les enjeux de lexpert comptable

www.ifaci.org; www.ifac.org; www.referencielcoso.yahoo www.clusif.asso.fr. www.urec.fr/ http://www.cnrs.fr/Infosecu/accueil.html www.sg.cnrs.fr/internet/legislation.htm http://www.cru.fr/Securite/index.html http://www.cru.fr/Securite/index.html http://www.cnil.fr ftp://ftp.win.tue.nl/pub/security/ http://ciac.llnl.gov:80/ciac/ ftp://info.cert.org/pubWindows NT.
http://www.ssi.gouv.fr/

175

La scurit du systme dinformation : Les enjeux de lexpert comptable

Table des matires


Introduction Gnrale ......................................................................................................................11 PREMIERE PARTIE : SECURITE DU SYSTEME DINFORMATION ; CONCEPTS ET ENJEUX ....................17 Introduction la Premire Partie .....................................................................................................18 Chapitre 1: Les risques du systme dinformation............................................................................20 Introduction: ................................................................................................................................. 20 Section 1 : Dfinition, rle, objectif, fonctions et organisation dun systme dinformation : ......... 20 Sous section 1: Dfinition: .........................................................................................................20 Sous section 2: Rle stratgique des systmes dinformation: ................................................... 21 Sous section 3: Objectif du systme dinformation: ...................................................................22 Sous section 4: Les fonctions du systme dinformation: ........................................................... 22 Sous section 5: Lorganisation du systme dinformation:.......................................................... 23 Section 2: Les menaces et les vulnrabilits des systmes dinformation : ..................................... 24 Sous section 1: Les menaces: ..................................................................................................... 24 Sous section 2: Les vulnrabilits: ............................................................................................. 27 Sous section 3: Les consquences en rsultant: ......................................................................... 29 Section 3 : Les types des attaques et des agressions : ....................................................................30 Sous section 1: Les familles des attaques:.................................................................................. 30 Sous section 2: Attaques sur les mots de passe: ........................................................................31 Sous section 3: Programmes malveillants: ................................................................................. 32 Sous section 4 : Attaques par messagerie: ................................................................................. 32 Sous section 5: Les attaques sur le rseau: ................................................................................ 33 Section 4 : Les systmes de dtection des intrusions .....................................................................33 Sous section 1: Les diffrents types d'IDS: ................................................................................. 33 Sous section 2: Les mthodes de dtection: ..............................................................................36 Conclusion: ...................................................................................................................................37 Chapitre 2 : Les mthodes dvaluation du risque............................................................................38

La scurit du systme dinformation : Les enjeux de lexpert comptable

Introduction: ................................................................................................................................. 38 Section 1: Le management du risque:............................................................................................ 38 Sous section 1: Dfinition du Risque: .........................................................................................38 Sous section 2: Identification, valuation et Management de risque :........................................ 39 Sous section 3: Les mthodes de management de risque : ........................................................ 39 Section 2: Control Objectives for Information and Technology: COBIT .......................................... 41 Section 3: La mthode danalyse des risques informatiques oriente par niveau MARION : .... 43 Sous section 1: Thmatiques des indicateurs de la mthode Marion: ........................................ 43 Sous section 2: Phases de la mthode Marion: ..........................................................................43 Sous section 3: Types de menaces Marion: ................................................................................ 45 Section 4: La Mthode Harmonise d'Analyse de Risques : MEHARI .............................................. 46 Section 5: Expression des Besoins et Identification des Objectifs de Scurit : EBIOS ..................... 47 Section 6: Critres de choix entre les diffrentes mthodes .......................................................... 49 Conclusion: ...................................................................................................................................49 Chapitre 3 : La scurit du systme dinformation ...........................................................................50 Introduction: ................................................................................................................................. 50 Section 1: Dfinition, concepts et objectifs de la scurit du systme dinformation : ................... 50 Sous section 1 : Dfinition de la scurit :.................................................................................. 50 Sous section 2 : La scurit du systme dinformation (SSI) : ..................................................... 51 Section 2 : Les caractristiques de la scurit : Confidentialit, Intgrit et disponibilit. .............. 51 Sous section 1: La disponibilit: .................................................................................................51 Sous section 2: La confidentialit: ............................................................................................. 52 Sous section 3: Lintgrit: ........................................................................................................52 Section 3: Les besoins en scurit : ...............................................................................................53 Sous section 1: Importance stratgique de linformation: ..........................................................53 Sous section 2: Dpendance de la prise de dcision par rapport aux informations:.................... 54 Sous section 3: Exigences formules par des tiers:.....................................................................54 Sous section 4: Les enjeux juridiques: ........................................................................................ 54 Section 4: la normalisation internationale en matire de scurit. ................................................ 54

La scurit du systme dinformation : Les enjeux de lexpert comptable

Sous section 1: Direction centrale de la scurit des systmes dinformation (DCCI): ................ 55 Sous section 2: Les normes de scurit du systme dinformation : ........................................... 56 Sous section 3 : Prsentation de la BS 7799 et ISO 27002 : ........................................................57 Section 5: La scurit de linformation : une responsabilit du management................................. 59 Sous section 1: Implication de la direction : ............................................................................... 61 Sous section 2: Management des ressources : ........................................................................... 61 Conclusion: ...................................................................................................................................62 Chapitre 4 : Le management de la scurit du systme dinformation (SMSI) .................................63 Introduction: ................................................................................................................................. 63 Section 1 : Dfinition dun SMSI : ..................................................................................................63 Section 2 : La mise en place dun SMSI : ........................................................................................64 Section 3 : Le SMSI et Le PDCA dEdward Deming: .........................................................................65 Section 4 : La norme ISO 27001 et le SMSI : ................................................................................... 67 Sous section 1: La premire partie : ........................................................................................... 68 Sous section 2: La seconde partie comporte les annexes (ABCD): .............................................. 68 Conclusion: ...................................................................................................................................68 Conclusion de la Premire Partie .....................................................................................................69 DEUXIEME PARTIE : AUDIT DE LA SECURITE DU SYSTEME DINFORMATION ....................................71 Introduction la Deuxime Partie ...................................................................................................72 Chapitre 1 : Lexpert comptable et les missions daudit de la scurit du systme dinformation ...74 Introduction : ................................................................................................................................74 Section 1 : La scurit du systme dinformation dans le cadre dune mission daudit lgal: .......... 74 Sous section 1: Phase 1 Orientation et planification de la mission : ........................................... 75 Sous section 2: Phase 2 : Evaluation des risques : ...................................................................... 76 Sous section 3: Phase 3 : Obtention dlments probants : ........................................................ 76 Section 2 : La scurit du systme dinformation dans le cadre des autres missions de lexpert comptable : ...................................................................................................................................77 Sous section 1: De la mission de tenue des comptes la mission de conseil : ............................ 77 Sous section 2: Les stratgies de spcialisation : ........................................................................77 Sous section 3: Les nouvelles missions technologiques : ............................................................ 77

La scurit du systme dinformation : Les enjeux de lexpert comptable

Section 3 : Cadre comptable, fiscal, juridique et rglementaire : ................................................... 78 Sous section 1: la rglementation comptable: ........................................................................... 78 Sous section 2: La rglementation fiscale: ................................................................................. 82 Sous section 2 : La rglementation juridique: ............................................................................84 Sous section 3: Les principales ractions des organismes professionnels: .................................. 87 Section 4 : Les comptences requises par lexpert comptable: ......................................................91 Sous section 1: Limites la ralisation dune mission daudit de la scurit du systme dinformation: ...........................................................................................................................91 Sous section 2: Intgrer les TIC pour faire face aux mutations du secteur .................................. 93 Sous section 3: Les comptences dvelopper ......................................................................... 95 Conclusion: ...................................................................................................................................99 Chapitre 2 : Les tapes daudit de la scurit du systme dinformation .......................................100 Introduction: ............................................................................................................................... 100 Section 1: Dfinitions et objectifs de laudit de la scurit du systme dinformation: ................. 100 Sous section 1 : Dfinition de la scurit du systme dinformation:........................................ 100 Sous section 2 : Objectifs de la scurit du systme dinformation : ........................................101 Section 2 : Prise de connaissance gnrale : ................................................................................102 Sous section 1: Description du systme dinformation de lentreprise: .................................... 103 Sous section 2: Cartographie gnrale des applications: ..........................................................103 Sous section 3: Apprciation de la complexit du systme dinformation: ............................... 106 Sous section 4: Identification des processus analyser : .......................................................... 108 Section 3: Planification de la mission: ..........................................................................................109 Sous section 1: Travaux prliminaires la planification de la mission: .....................................109 Sous section 2: Le plan de mission : .........................................................................................110 Sous section 3: Le programme de travail : ...............................................................................110 Sous section 4: Modifications au cours du droulement de l'audit des dcisions prises lors de sa planification : .......................................................................................................................... 111 Sous section 5: Direction, supervision et revue : ...................................................................... 111 Sous section 6: Documentation : ............................................................................................. 111

La scurit du systme dinformation : Les enjeux de lexpert comptable

Sous section 7: Communications aux personnes constituant le gouvernement d'entreprise et la direction: ................................................................................................................................111 Section 4 : Mise en plan du plan de mission : .............................................................................. 112 Sous section 1 : Phase 0 Planification et mise de place du plan de mission : ............................ 112 Sous section 2 : Phase 1 Audit organisationnel et physique : ...................................................115 Sous section 3 : Phase 2 Analyse des risques : ......................................................................... 116 Sous section 4 : Phase 3 Audit technique : ...............................................................................117 Section 5 : Elaboration du rapport et des recommandations : ..................................................... 117 Sous section 1: Elaboration des constats daudit: .................................................................... 117 Sous section 2: Prparation des conclusions daudit: ............................................................... 117 Sous section 3: Exigences de lISACA sur les rapports:.............................................................. 119 Conclusion: .................................................................................................................................120 Chapitre 3 : Dmarche daudit de la scurit du systme dinformation base sur ISO 27002 ....... 121 Introduction: ............................................................................................................................... 121 Section 1: Prsentation de la norme les bonnes pratiques de scurit ISO 27002 : .................. 121 Sous section 1: Bref Historique: ............................................................................................... 122 Sous section 2: Schma darchitecture: ................................................................................... 122 Section 2: Audit organisationnel et physique:.............................................................................. 123 Sous section 1: Politique de scurit: ...................................................................................... 124 Sous section 2: Organisation de la scurit de linformation: ...................................................124 Sous section 3: Gestion des actifs: ...........................................................................................125 Sous section 4: Scurit des ressources humaines: .................................................................. 125 Sous section 5: Scurit physique ou environnementale: ........................................................ 126 Sous section 6: Gestion de la communication et de lexploitation: ........................................... 126 Sous section 7: Contrles daccs: ........................................................................................... 127 Sous section 8: Acquisition, dveloppement et maintenance des systmes dinformation: ...... 128 Sous section 9: Gestion des incidents de scurit de linformation: ......................................... 129 Sous section 10: Gestion de la continuit daffaires: ................................................................ 129 Sous section 11: Conformit:................................................................................................... 129 Section 3 : Audit technique .........................................................................................................130

La scurit du systme dinformation : Les enjeux de lexpert comptable

Sous section 1: Phase d'approche : ..........................................................................................130 Sous section 2: Phase d'analyse des vulnrabilits : ................................................................. 131 Sous section 3: Phase de tests intrusifs : .................................................................................. 131 Conclusion : ................................................................................................................................132 Chapitre 4 : Laudit de la scurit du systme dinformation et les normes daudit financier ........133 Introduction : ..............................................................................................................................133 Section 1 : La relation entre les risques de la scurit de linformation et le risque daudit: ......... 133 Sous section 1: Le risque daudit: ............................................................................................133 Sous section 2: Les composants du risque daudit :.................................................................. 133 Section 2: La scurit du systme dinformation et lvaluation du systme de contrle interne : ...................................................................................................................................................137 Sous section 1: Les composantes du contrle interne: ............................................................. 137 Sous section 2: Le systme dinformation: ...............................................................................138 Section 3 : La scurit de linformation et lhypothse sous jacente de la continuit dexploitation : ...................................................................................................................................................142 Sous section 1: Cadre conceptuel, Hypothses sous-jacentes et conventions comptables relatives la continuit de l'exploitation : ..................................................................................142 Sous section 2: Responsabilit de lexpert comptable selon lISA 570 Continuit dexploitation: ...............................................................................................................................................142 Section 4: Laudit externe et le respect de la rglementation en matire de scurit: ................. 143 Sous section 1: Conformit avec les exigences lgales : ........................................................... 143 Sous section 2: Identification de la lgislation en vigueur : ...................................................... 144 Sous section 3: Protection des enregistrements de lorganisme : ............................................. 144 Sous section 4: Protection des donnes et confidentialit des informations relatives la vie prive:..................................................................................................................................... 144 Sous section 5: Mesure prventive lgard du mauvais usage des moyens de traitement de linformation : ......................................................................................................................... 145 Sous section 6: Rglementation relative aux mesures cryptographique : ................................. 145 Sous section 7: Conformit avec les politiques et normes de scurit:..................................... 145 Sous section 8: Vrification de la conformit technique :......................................................... 146 Sous section 9: Contrles de laudit du systme dinformation : .............................................. 146 Conclusion: .................................................................................................................................146

La scurit du systme dinformation : Les enjeux de lexpert comptable

Conclusion de la deuxime partie ..................................................................................................147 Conclusion Gnrale ......................................................................................................................148 ANNEXES ........................................................................................................................................149 BIBLIOGRAPHIE ..............................................................................................................................149

You might also like