Laudit et le conseil en Systmes dInformation

SEMESTRE 9 AUDIT
Mustapha BELASSAOUI
Enseignant-chercheur
Universit Hassan 1er
Ecole Nationale de Commerce et de Gestion
Settat
mustapha.belaissaoui@uhp.ac.ma
1

Sommaire
Ides gnrales autour du mtier dauditeur et de consultant en
systme dinformation ;

Aperu des mthodes daudit ;

Notions de scurit des systmes dinformation.

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Exercice
Pour vous, quoi sert un auditeur en systmes dinformation ?
Faites vous une diffrence entre laudit et le conseil ?
Quels sont les outils dun auditeur en systmes dinformation ?

DEFINITION
Laudit est une activit indpendante et objective qui donne
une organisation une assurance sur le degr de matrise de
ses oprations , lui apporte ses conseils pour les amliorer, et
contribue de la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en
valuant, par une approche systmatique et mthodique,
ses processus de management des risques, de contrle, et
de gouvernement dentreprise, et en faisant des propositions
pour renforcer leur efficacit.

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Audit, conseil et expertise

EXPERTISE

AUDIT

CONSEIL

Proccupations des dirigeants

Les menaces
Biens immatriels :
logiciels
donnes
personnel

Erreurs
Pannes
Accidents
Biens matriels :
btiments
quipements
ordinateurs...

Malveillance
Risque Social

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Proccupations des dirigeants

La stratgie informatique est-elle en ligne avec celle de l'entreprise ?
Les ressources informatiques sont-elles utilises de faon optimale et au
moindre cot ?
Le systme d'information de l'entreprise contribue-t-il amliorer les
rsultats ?
Les applications fournissent-elles des informations exactes, exhaustives,
authentiques ?
Les donnes fournies par les applications informatiques permettent-elles
de prendre des dcisions efficaces ?
Le systme informatique est-il suffisamment protg contre les accidents,
les erreurs et la malveillance ?
7

Les diffrentes formes daudit des SI

Audit des SI dans le cadre de laudit comptable et financier
Les due diligence audit dans le cadre dacquisition
Laudit dorganisation informatique
Les expertises judiciaires
Laudit de projet
Laudit de scurit
Et les missions de conseil (Aide au choix de solutions SI /
Accompagnement de projet / Schmas Directeurs Informatique)

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Exemple des missions dun auditeur en

informatique
Cartographie des risques informatiques
valuation des processus informatiques
Audit de projet informatique
Analyse de donnes et recherche de fraude
Audit interne informatique
Audit dapplications
Audit de scurit
valuation de la conformit des exigences rglementaires (archivage fiscal,

rglementation comptable, etc.)

Dmatrialisation des achats publics
Conception darchitecture de scurit
Mise en uvre de solutions de scurit
Continuit et disponibilit de lactivit
9

Audit des systmes dinformation

La matrise de l'information s'inscrit plus que jamais dans un cadre
stratgique contribuant la russite de l'entreprise ;
Les SI deviennent de plus en plus complexes ; de nouvelles technologies
voient le jour et les changes d'information se multiplient. Ces mutations
profondes font apparatre de nouveaux risques ;
Il convient dvaluer ces risques lis aux SI en sattachant notamment :

l'organisation, les processus informatiques et les applications

l'infrastructure technique
la stratgie SI
10

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Audit des systmes dinformation

LAudit des SI devient un impratif pour toutes les organisations qui
dpensent souvent des sommes considrables dans l'Informatique, sans
toujours contrler et mesurer l'efficacit relle de leurs investissements ;
L'Auditeur des SI doit s'assurer que tout se passe conformment aux
rgles et aux usages professionnels ;
Il doit alors observer, analyser et juger des faits ;
Ceci l'amne :
valuer l'adquation et le fonctionnement des activits par

comparaison un rfrentiel,
Appliquer des procdures cohrentes,
Agir en toute indpendance
11

Audit des systmes dinformation

La dmarche d'audit des Systmes d'Information consistera :
Partir des proccupations du management (cas particulier du

commissariat aux comptes),

Rpondre des questions prcises pour lesquelles le demandeur

mandate l'Auditeur, (importance de la lettre de mission)

Relever des faits et mener des entretiens avec les intresss,
Se mfier des opinions et des prjugs,
Faire un constat objectif et recommander des solutions.

12

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Audit Informatique
L'audit informatique est un audit, il doit donc rpondre aux principes de
base :
Importance accorde aux faits ;
Attitude neutre de l'auditeur ;
Proposition de recommandations ;

l'Auditeur des Systmes d'Informations doit avoir une vision globale de

l'Entreprise, de son systme Informatique, des applications ou progiciels
utiliss, des contrles techniques effectus et l'adaptation des rfrentiels.

13

Les acteurs

ISACA (Information Systems Audit and Control Association)

Elle a vu le jour en 1967. En 1969, le groupe sest officialis en se

constituant sous la dnomination dEDP Auditors Association. Puis,
en 1976, lassociation a mis sur pied une fondation pour lducation
qui allait entreprendre de vastes efforts de recherche visant tendre
les connaissances en matire de matrise et de contrle de la TI, et
en augmenter la valeur ;

Aujourdhui, lISACA compte plus de 100 000 membres travers le

monde se caractrisant par leur diversit. Ceux-ci vivent et
travaillent en effet dans plus de 180 pays et occupent toute une
gamme de postes lis la TI, notamment auditeurs informatiques,
consultants, formateurs, professionnels de la scurit, chargs de
rglementation, chefs de linformation et vrificateurs internes ;
14

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Les acteurs

Au cours de ses 40 annes dexistence, lISACA est devenue une

organisation dirigeante pour les professionnels de la matrise, du
contrle, de la scurit et de laudit : ses normes en matire daudit et
de contrle des SI sont en effet suivies par les praticiens du monde
entier (CoBiT Control Objectives for Business Information& related
Technology). Ses recherches portent sur des questions
professionnelles qui posent des dfis particuliers ses membres ;

Sa certification CISA (Certified Information Systems Auditor, ou

auditeur informatique agr) est reconnue mondialement et a t
dcerne plus de 38 000 professionnels; sa toute nouvelle
certification CISM (Certified Information Security Manager, ou
directeur de scurit informatique agr) offre lavantage unique de
cibler les gestionnaires de la scurit
15

Audit des systmes dinformation

Les outils de lauditeur
Rfrentiels, bonnes pratiques,
Logiciels daide laudit : Analyse de donnes
Outils spcifiques : Contrle des profils sur les applications, tests dintrusion

(scurit),
Les qualits requises
Le sens de lcoute
La rapidit
La capacit danalyse
la diplomatie
lthique,
Et
16

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Dmarche
dAudit des Systmes dInformation

Revue
Gnrale

Analyse
des Risques

Revue
des Contrles

Tests
Rsiduels

17

Revue Gnrale

Revue
Gnrale

Analyse
des Risques

Revue
des Contrles

Tests
Rsiduels

18

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Revue gnrale de lenvironnement

La connaissance de lenvironnement SI est ncessaire pour permettre lauditeur
dapprhender les risques,
Les divers domaines doivent tre connus de lauditeur et documents :
lorganisation et la gestion du dpartement informatique
La stratgie SI et son schma directeur des systmes dinformations,
Lexploitation des systmes
Les logiciels systmes, le rseau et les applications
Les projets en cours
Les processus
les sauvegardes et le plan de secours
la politique de scurit
19

Le SI au service de lentreprise
DIRIGEANTS

STRATEGIE
DE
LENTREPRISE

LOGICIELS

STRATEGIE
INFORMATIQUE

MIDDLEWARE
MATERIEL
MATERIEL

INFORMATICIENS

UTILISATEURS
ORGANISATION
ET PROCEDURES

20

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

CARTOGRAPHIE APPLICATIVE

21

Prise de connaissance gnrale

Exemple de cartographie matrielle

22

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Dmarche
dAudit des Systmes dInformation

Revue
Gnrale

Analyse
des Risques

Revue
des Contrles

Tests
Rsiduels

23

Analyse des risques

la combinaison de la probabilit dun vnement et de ses consquences
et la combinaison de la probabilit dun dommage et de sa gravit .

Les objectifs consistent identifier les risques et valuer leur impact

Les principaux domaines abords
lorganisation et la gestion du SSI ;
lexploitation de lordinateur et les logiciels systmes ;
le dveloppement des applications ;
la gestion du rseau ;
la saisie des donnes et leur contrle ultrieur ;
ladministration des donnes, les sauvegardes et leur plan durgence
la politique de scurit
24

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

NOTIONS DE SCURIT

25

Scurit : La sinistralit travers

quelques chiffres
80% de la malveillance vient de l'intrieur de l'entreprise.
80% des PME subissant un sinistre informatique grave ferment
dans les deux annes qui suivent.
80% des informaticiens n'ont jamais reu de formation en scurit
informatique.
Combien d'entreprises n'ont pas d'informatique?
Combien d'entreprises informatises sont capables de s'en passer?
Combien d'entre vous ont dj eu des problmes de pertes de
donnes, de bogues dans des programmes?
Combien d'entre vous ont dj t confronts un virus?
26

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Scurit : les accidents

Accroissement des sinistres sur micro-ordinateurs
Phnomnes naturels (inondations notamment)
Flottement des rgles en scurit incendie
Plus de sinistres mais moins coteux
Et pourtant : baisse des budgets
Par exemple, la mise en place de 2 salles serveurs
redondantes, avec reprise chaud, permet en thorie de
rcuprer des situations de catastrophe. Dans lidal, un
sinistre dans la salle principale sera couvert par un second
lieu de risque.

27

Scurit : les accidents

Exemple
De nombreux cartons sont entreposs dans la salle serveur (dchets
demballage). Suite au rachat dune socit, mon entreprise dcide
dhberger temporairement danciens serveurs dans la salle, dj
limite en capacits de refroidissement. Malheureusement, dans la
nuit de dimanche lundi, lancienne alimentation de lun des
serveurs sest enflamme cause de la poussire de cellulose souleve
pendant le dmnagement. Le feu, dorigine lectrique, a entran la
combustion des matires plastiques et a fortement lev la
temprature. Les fumes toxiques ont souill et mis hors service les
diffrents quipements. Le sinistre a t limit la salle serveur, mais
lactivit de lentreprise a t paralyse ds le lundi matin. Le systme
de dtection incendie, sans report dalarme, na pas permis dalerter
28
les responsables temps.
Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Scurit : les erreurs

Amlioration de la qualit de l'exploitation
Par exemple, ne laissez jamais, mme quelques secondes, votre

ordinateur portable sans surveillance en dehors des locaux de

lentreprise.
Ncrivez pas vos mots de passe. Il est essentiel de choisir des mots de

passe compliqus et de les changer frquemment.

Quelques grands sinistres dus la conception, au

dveloppement et la mise en uvre de grands systmes
applicatifs complexes
Lgre baisse globale
29

Scurit : la malveillance
Forte augmentation du vol de petits matriels
Forte augmentation de dtournement de biens
Lgre augmentation des dtournements de fonds
Les quelques sinistres lourds sont remplacs par une
multitude de sinistres dit courants
Influence grandissante de l'informatique rpartie

30

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Les principes gnraux de la scurit

Les axes de la scurit du SI

La scurit physique
La scurit logique
La scurit de l'organisation informatique

31

La scurit de l'exploitation
L'archivage / dsarchivage ;
La saisie et le transfert des donnes ;
La sauvegarde ;
Le suivi de l'exploitation ;
La maintenance.

32

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Scurit Logique
Une tude rcente, mene sur un chantillon de socit ayant mis en place
un ERP, a permis d'identifier quatre natures distinctes de risques en
matire de scurit applicative
Un paramtrage des droits d'accs perfectible (100% des cas

observs) ;
Une gestion incorrecte des profils et licences (83%) ;
Un accs trop largement ouvert aux fonctionnalits et transactions

sensibles (95%) ;
Une sparation des tches trs mal matrise (plus de 90% des cas).

33

Scurit Logique
D'une faon gnrale, ces observations reposent essentiellement sur les
dysfonctionnements suivants :
l'existence de nombreux profils non utiliss ou obsoltes ;
des droits trop importants accords aux informaticiens et consultants sur le

systme de production ;
l'absence ou l'obsolescence de la documentation relative la scurit, aux

profils et aux habilitations,

la dfinition succincte, voire parfois inexistante, de principes de sparation

des tches ;
une gestion des habilitations mal matrise faute de procdures correctement

dfinies.

34

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

La scurit des tlcommunications

La protection physique des matriels de tlcommunications ;

La surveillance des lignes ;
La scurit des stations EDI et des transmissions stratgiques ;
La scurit des rseaux locaux ;
Chiffrement.

35

La protection des donnes

Administration des donnes ;
Administration de bases de donnes ;
Journalisation et scurit des mises jour ;
Accounting et suivi des accs ;
Existence d'un administrateur des bases de donnes ;
Limiter la visibilit des fichiers et bases de donnes.

36

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

La scurit physique
Les facteurs extrieurs d'inscurit des locaux informatiques sont:
Nuisances lies l'eau (inondation, alimentation, etc.)
Nuisances lies l'air
Protection contre la foudre
Phnomnes lectriques et lectromagntiques,

Les facteurs internes d'inscurit des locaux informatiques sont:

Nuisances lies l'eau (pluviale, gout, extinction, etc.)
Nuisances lies l'air
Fumes (prvoir des exutoires)
Perturbation magntiques et lectromagntiques
Bruits et vibrations
37

La scurit physique
La scurit de l'installation lectrique est constitue des points suivants :
Alimentation indpendante
Rgime du neutre (conducteurs neutres et de protection spars)
Circuit de terre des masses logiques isol et spar depuis la prise

de terre commune
Disjoncteurs, coupure gnrale "coup de poing"
Sparation cbles tlcom/lectriques
Vrification priodique.

38

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

La scurit physique
Le contrle d'accs physique
La protection mcanique
L'emplacement et la nature des issues
Les chemins de pntration d'un intrus
La localisation et la valeur des biens protger
L'analyse des flux (personnel, supports, documents)
Les lments perturbateurs
La localisation du site et le mode d'occupation des locaux

39

La scurit physique
La scurit spcifique incendie
tude spcifique et compartimentage ;
Dtection automatique ;
Extinction automatique ;
Extincteurs mobiles ;
Robinets d'incendie arms ;
Prvention complmentaire de l'environnement ;
Scurit des biens et des personnes.

40

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

La scurit de l'organisation
informatique
Le personnel Informatique
Confidentialit, thique,
Continuit du service,
Sparation des fonctions

Le plan de secours, plan de continuit

41

Le plan de secours
les entreprises sont seulement 20% estimer tre suffisamment prpares en cas de sinistre
majeur

Un plan de continuit sert poursuivre, dans un environnement

dgrad, le traitement des activits critiques de l'entreprise suite une
panne prolonge ;
Il est trop cher raliser et grer. Pour ces raisons, il ne concerne
que les activits critiques ;
L'ampleur des dommages que peut subir une entreprise dpend de la
dure de la panne et du niveau de criticit des activits ;
Dans une situation de crise, il est peu probable - dj a coterait trop
cher - que les activits critiques fonctionneront aussi rapidement et
aussi aisment qu'en situation normale. Elles fonctionneront, mais de
manire dgrade.
42

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Le plan de secours
Il faut apprcier les risques importants qu'une entreprise peut
subir suite une panne prolonge. En particulier, les risques
financiers, oprationnels, de rputation et de non respect
d'exigences lgales ou contractuelles ;
Un plan de secours doit considrer toutes les ressources
ncessaires au fonctionnement des activits critiques. En tout
premier lieu les personnes, puis les applications, la
technologie, les quipements et les donnes ;
Il y a au minimum le plan de secours technique et le plan de
secours des utilisateurs. Pour ces raisons, on ne devrait pas
parler du plan de secours, mais des plans de secours.

43

Le plan de secours
Chaque entreprise doit choisir les scnarios qu'elle veut
dvelopper. Par exemple, les dommages causs par une
panne
de
l'alimentation
lectrique
ou
des
tlcommunications, par le feu, etc. Suite au dsastre du 11
septembre 2001, des entreprises doivent galement
apprcier les risques de terrorisme ;
Un plan de secours efficace propose des mesures de
secours des activits critiques, considre les exigences
lgales et contractuelles, est test rgulirement et est mis
jour suite des changements.
44

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Le rle du Responsable de la Scurit de

Systmes d Information (RSSI)
Une fonction transversale ;
Un rattachement direct la Direction Gnrale ;
Une accessibilit tous les acteurs de l'entreprise ;
Une vue indispensable sur le moyen et le long terme,
anticiper cote toujours moins cher ;
Le RSSI n'est ni un gendarme, ni un dpanneur ;
Le bon sens comme ligne de conduite, pas d'inconscience
ni de catastrophisme !

45

Scurit informatique
Les normes

La norme ISO/IEC 17799 sintresse la gestion de la politique de scurit des

informations, scurit informatique ;

Elle identifie des objectifs visant organiser la scurit de l'information selon les
trois critres fondamentaux, confidentialit, intgrit et disponibilit.

Ces objectifs sont dclins autour de dix thmatiques :

1. la politique de scurit,
2. l'organisation de la scurit,
3. la classification et le contrle du patrimoine informationnel,
4. la scurit et les ressources humaines,
5. la scurit physique,
6. la gestion des oprations et des communications,
7. les contrles d'accs,
8. le dveloppement et la maintenance des systmes,
9. la gestion de la continuit d'activit,
10. la conformit la rglementation interne et externe.
46

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Scurit
La responsabilisation

Une parfaite coopration et

responsabilisation des acteurs de
l'entreprise est le meilleur garant d'une
scurit satisfaisante.

47

DEMARCHE
DAUDIT INFORMATIQUE

Revue
Gnrale

Analyse
des Risques

Revue
des Contrles

Tests
Rsiduels

48

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Revue des Contrles

La revue des contrles doit sapprcier au sens large
Cela peut concerner directement les systmes (vrification des

droits daccs une application, des profils utilisateurs, de

lexhaustivit des traitements, de lexactitude des traitements,
etc.)
Cela peut concerner aussi lorganisation (sparation des tches,

continuit)
La revue des contrles se situe larticulation de lAudit externe
(ponctuelle) et de laudit interne (normalement en continu)

49

Revue des contrles

Exemples
Autorisation ;
Intgralit (ou exhaustivit) : toutes les donnes devant entrer dans le
systme le sont effectivement. Il n'y a pas de pertes de donnes
pendant les traitements ;
Exactitude : toutes les donnes entres ou traites par l'application
sont exactes ;
Sparation des fonctions :
L'ensemble des fonctions lies l'application doivent tre

logiquement et physiquement spares, afin d'viter tout conflit

d'intrt ;
Sparation entre celui qui fait et celui qui contrle .
50

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Les contrles
La sparation des tches est en effet l'un des piliers d'un contrle interne
efficace, destin prvenir ou rduire les risques d'erreurs intentionnelles
ou non intentionnelles en s'assurant qu'un mme individu ne peut
contrler toutes les phases d'un processus. Ce principe, raffirm par les
lois Sarbanes Oxley aux tats Unis et LSF en France, repose sur les
objectifs de contrle interne.
il est interdit de combiner des transactions appartenant deux domaines
diffrents de la gestion des actifs (encaissements, dcaissements, gestion
des stocks), de la finance (comptabilit gnrale, fournisseurs et clients) et
des processus mtiers (achats, ventes, production, etc.).
il est galement interdit de cumuler les deux niveaux de responsabilit
oprationnel (celui qui fait) et de supervision (celui qui contrle).

51

DEMARCHE
DAUDIT INFORMATIQUE

Revue
Gnrale

Analyse
des Risques

Revue
des Contrles

Tests
Rsiduels

52

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

Les tests rsiduels

Aprs la comprhension de lenvironnement, lanalyse des risques et
lvaluation des contrles mis en place pour limiter les risques, il
convient de procder des tests rsiduels.
Par exemple :
Revue de programmes
Analyse de donnes
Autres tests spcifiques

53

ANNEXES

54

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

CoBiT (Control Objectives for Business &

Related Technology)
CobiT (ISACA)
dcompose tout
systme
informatique en
34 processus
regroups en 4
domaines.

55

CoBiT: Planification et Organisation

PO1 : Dfinir un plan informatique stratgique

PO2 : Dfinir l'architecture des informations
PO3 : Dterminer l'orientation technologique
PO4 : Dfinir l'organisation et les relations de travail de la fonction
informatique
PO5 : Grer l'investissement en informatique
PO6 : Communiquer les objectifs et les orientations du management
PO7 : Grer les ressources humaines
PO8 : S'assurer de la conformit aux exigences externes
PO9 : valuer les risques
PO10 : Grer les projets
PO11 : Grer la qualit

56

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

CoBiT: Acquisition et mise en place

AMP1 : Identifier les solutions
AMP2 : Acqurir et maintenir le logiciel d'application
AMP3 : Acqurir et maintenir l'architecture technique
AMP4 : Dvelopper et maintenir les procdures informatiques
AMP5 : Installer et valider les systmes
AMP6 : Grer les modifications

57

CoBiT : Distribution et Support

DS1 : Dfinir les niveaux de service

DS2 : Grer les services assurs par les tiers
DS3 : Grer la performance et la capacit
DS4 : Assurer un service continu
DS5 : Assurer la scurit des systmes
DS6 : Identifier et imputer les cots
DS7 : Sensibiliser et former les utilisateurs
DS8 : Assister et conseiller les clients des services informatiques
DS9 : Grer la configuration
DS10 : Grer les problmes et les incidents
DS11 : Grer les donnes
DS12 : Grer les installations
DS13 : Grer l'exploitation
58

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT

CoBiT : Surveillance

S1 : Surveiller les processus

S2 : valuer l'adquation du contrle interne
S3 : Acqurir une assurance indpendante
S4 : Disposer d'un audit indpendant

59

Audit des Systmes d'information

Mustapha BELAISSAOUI

ENCG SETTAT