Plan :
Introduction
Chapitre
1 : Evolution des systèmes d’informations.
1. Définition et finalité de systèmes d’informations.
.
2. Les grandes
fonctions d’un système d’information.
Chapitre
2 : audit des systèmes d’informations
1. Différents
types d'audit d’informatique,
2. Les
référentiels de l’audit des SI,
3. La démarche d’audit des SI.
Conclusion
Introduction :
La
mondialisation des échanges, la globalisation des marchés, l'innovation technologique
constituent des facteurs de multiplication des risques qui rendent la position
des entreprises et des administrations
de plus en plus difficile à une échelle économique mondiale. Cette
problématique, dans un univers où la quantité d'information et son
accessibilité augmentent et se complexifient, nécessite d'adopter une attitude
"anticipatrice" par une exploitation permanente des informations
vitales pour l'entreprise ainsi que l’administration. Une organisation ne
pourra survivre que si elle dispose d’un ensemble d’informations suffisantes
(information disponible, pertinente, fiable, précise et récente) surtout
pour une entreprise ; pour pouvoir
agir avec efficacité, c’est à dire prendre les bonnes décisions au bon moment,
d’un ensemble de technologies pour suivre l’évolution des marchés, ainsi qu’un
personnel compétent, d’où la nécessité d’un système d’informations. Aujourd’hui
les choix en matière de système d'information sont au cœur de la recherche de
l'avantage concurrentiel, et non plus seulement au niveau de la simple
amélioration du fonctionnement de l'organisation
L'avantage
concurrentiel des organisations, grandes et petites, s'adossant à un système
d'information optimisé, à l'heure d'une compétition mondiale de plus en plus
exacerbée est plus que jamais à l'ordre du jour.
Les
coûts engendrés par la maintenance d’un système d’information sont très
importants. Ceux-ci dépendent de nombreuses dimensions telles que les
ressources humaines, informatiques ainsi que les aspects organisationnels.
L’audit du système d’information aura pour but de permettre à l’entreprise de
maîtriser ses coûts mais aussi de permettre une évolution vers de nouvelles
technologies.
aujourd’hui les
entreprises ont compris le rôle stratégique de l’ audit de l’information, qui
leur permet d’anticiper le futur, d’améliorer la pertinence de leurs choix et
de leur capacité d’action. un manager par exemple doit suivre, analyser,
conduire en permanence de multiples projets, intégrer toutes sortes de
contraintes, de sollicitations, d’imprévus, et prendre les bonnes décisions au
bon moment d'où
l'intérêt d'un système d'information auditée pour rester
sous contrôle. L’audit
d'un environnement informatique peut concerner l'évaluation des risques
informatiques de la sécurité physique, de la sécurité logique, de la gestion
des changements, du plan de secours, etc. ou bien un ensemble de processus
informatiques - ce qui est généralement le cas - pour répondre à une demande
précise du client. Un
audit des systèmes d'informations, permet d'intégrer la gestion de
l'information au travers d'un grand nombre de critères : Efficacité,
Efficience, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité.Donc dans quelle mesure l’audit des systèmes
d’informations contribuera-t-il à l’amélioration de la qualité des systèmes
d’informations et par conséquent à la compétitivité des entreprises ? Et quelle démarche d’audit des SI ?
Chapitre
1 : Evolution des systèmes d’informations
La
pérennité de l’entreprise dans les milieux concurrentiels nationaux et
internationaux exige de cette dernière d’être capable de disposer le plus vite
possible, au bon moment et avec un coût raisonnable d’une information de
qualité susceptible d’aider les membres de l’organisation dans l’exercice de
leurs activités. . En effet, les entreprises capables de prévoir l’évolution
des marchés, de tenir comptes de besoins potentiels, d’identifier toutes les
innovations technologiques, d’anticiper les modifications de comportement des
acteurs économique (interne et externe à l’entreprise), politiques et sociaux
maintiendront la faculté d’être compétitives.
1.
Définition et finalité de systèmes
d’informations
Définition
Le
terme système d’information possède plusieurs définitions on peut présenter
l’une d’elles.« Le système d'information (SI) est l'ensemble des
informations circulant dans l'entreprise et des moyens mis en œuvre
pour les gérer ».
Un
système d'Information (noté SI) représente l'ensemble des éléments participant
à la gestion, au traitement, au transport et à la diffusion de l'information au
sein de l'organisation. C’est Un ensemble organisé de ressources (personnel,
données, procédures, matériel, logiciel, …) permettant d'acquérir, de stocker,
de structurer et de communiquer des informations sous forme de textes, images,
sons, ou de données codées dans des organisations. Le SI est le centre nerveux
des entreprises. Tous les acteurs de l’entreprise véhiculent des informations.
L’objectif principal d’un système d’information (SI) consiste à restituer
l’information à la personne concernée sous une forme appropriée et au moment
opportun.
Il est
généralement spontané dans les entreprises de taille réduite, mais il fait
l'objet d'une attention toute particulière dans les grandes entreprises. En
effet, son rôle a grandi du fait d'un environnement changeant, de l'émergence
de très grandes entreprises internationales et du développement des
applications et de la capacité des traitements informatiques.Finalité du système d’information
Le SI a une double finalité :
- une
finalité fonctionnelle :
Le SI est un outil de communication et de coordination entre les
différents services et domaines de gestion de l'organisation. Il doit
produire et diffuser des informations nécessaires aux opérations d'une part et
aux choix stratégiques et tactiques d'autre part. Le SI a donc un rôle
opérationnel et stratégique.
Il est opérationnel quand il se concentre sur des tâches et des procédures de gestion courante et automatisables (comptabilité, gestion, paie, commerciale,…).
Par contre, il est stratégique quand il intervient pour les prises de décisions.
Il est opérationnel quand il se concentre sur des tâches et des procédures de gestion courante et automatisables (comptabilité, gestion, paie, commerciale,…).
Par contre, il est stratégique quand il intervient pour les prises de décisions.
·
Une finalité sociale :
Il faut noter que
le SI a une autre finalité qui concerne la vie dans l'entreprise, il doit
permettre l'intégration des salariés dans l'entreprise, ceci quelque soit leur niveau dans la hiérarchie.
Il doit favoriser la connaissance de l'entreprise et la compréhension des choix
stratégiques par l'ensemble du personnel. De plus, il permet de développer un
"esprit d'entreprise" chez les salariés en facilitant, par la
diffusion de l'information, une vie sociale et une culture d'entreprise
2. Fonctions du système d’information
·
La collecte
de l’information
Pour
fonctionner, le système doit être alimenté. Les informations proviennent de différentes
sources, internes ou externes.
Les
sources externes proviennent
de l’environnement du système. Il s’agit généralement de flux en provenance des
partenaires des systèmes (clients, fournisseurs, administrations…). De plus en
plus, l’entreprise doit être à l’écoute de son environnement pour anticiper les
changements et adapter son fonctionnement. Le développement des moyens de communication
(internet en particulier) permet de trouver plus facilement de l’information mais
son exploitation reste délicate (qualité et fiabilité des informations).
En
interne, le
système d’information doit être alimenté par les flux générés par les
différents acteurs du système. Ces flux résultent de l’activité du système :
approvisionnements, production, gestion des salariés, comptabilité, ventes…
Les
informations jugées pertinentes pour l’organisation doivent être saisies. Cette
opération est généralement onéreuse car elle nécessite souvent une intervention
humaine. Beaucoup d’efforts ont été déployés pour tenter d’automatiser le
recueil d’informations (système en temps réel, lecture optique, numérisation,
robots d’analyse de contenus…).
L’information
est précieuse, vitale même pour les entreprises mais elle a aussi un coût.
·
Mémorisation de l’information
Une
fois l’information saisie, il faut en assurer la pérennité, c’est à dire
garantir un stockage durable et fiable. Aujourd’hui, le support privilégié de
l’information est constitué par les moyens mis à disposition par les disques
des ordinateurs (magnétiques ou optiques : disques durs, Cédéroms, DVD, bandes
et cassettes…) ; cependant, le papier reste un support très utilisé en entreprise
(conservation des archives papiers).
Les
informations stockées dans les ordinateurs le sont sous forme de fichier organisés
afin d’être plus facilement exploitables sous la forme d’une base de données.
Le système de gestion de bases de données (SGBD) est donc une composante
fondamentale d’un système d’information. Pour être exploitées dans une base de
données, les informations doivent subir une transformation car l’ordinateur ne
sait stocker que des données. A l’inverse, on doit être capable de reconstituer
de l’information à partir des données stockées dans la base.
Le
stockage de l’information nécessite de mettre en œuvre des moyens importants et
coûteux : ordinateurs, logiciels spécialisés, supports numériques, personnels,
dispositifs de sécurité…
·
Traitement de l’information
Pour
être exploitable, l’information subit des traitements. Là encore, les
traitements peuvent être manuels (c’est de moins en moins souvent le cas) ou
automatiques (réalisés par des ordinateurs). Les principaux types de traitement
consistent à rechercher et à extraire de l’information, consolider, comparer
des informations entre elles, modifier, supprimer des informations ou en produire
de nouvelles par application de calculs.
·
Diffusion de l’information
Pour être exploitée, l’information doit
parvenir dans les meilleurs délais à son destinataire. Les moyens de diffusion
de l’information sont multiples : support papier, forme orale et de plus en
plus souvent, utilisation de supports numériques qui garantissent une vitesse
de transmission optimale et la possibilité de toucher un maximum
d’interlocuteurs. Ceci est d'autant plus vrai à l'heure d'Internet et de
l'interconnexion des systèmes d'information. Elle doit répondre à 4
critères :
- Quelle est son origine et sa destination ?
- Quelle est sa forme ? (orale, écrite,…)
- Dans quel délai l’information devra-t-elle parvenir à son destinataire ?
- La diffusion sera-t-elle large ou restreinte ?
- Quelle est son origine et sa destination ?
- Quelle est sa forme ? (orale, écrite,…)
- Dans quel délai l’information devra-t-elle parvenir à son destinataire ?
- La diffusion sera-t-elle large ou restreinte ?
Le système d’information a pour objectif de restituer au différent
membre de l’entreprise les informations sous une forme directement utilisable
afin de faciliter la prise de décision.
Chapitre 2 : audit des systèmes
d’informations
Depuis les années 70, l’intégration de
l’informatique dans les processus de l’entreprise est devenue un levier de
génération de croissance et un support pour la mise en œuvre de la stratégie.
Cette intégration a généré au sein de toute organisation, les risques
informatiques qui sont relatifs aux choix des structures d’organisation, aux
modes de fonctionnement et aux méthodes de surveillance des activités du
système d’information.
L’intégration de l’audit informatique
au sein de organisation permet d’initier un processus ponctuel visant à fournir
une assurance raisonnable que les objectifs de contrôle adéquats sont atteints,
identifier les faiblesses importantes des contrôles existants et en évaluer les
risques ainsi que de conseiller les responsables sur les actions correctives.
L’audit informatique est un jalon de l’amélioration de la maturité du système
d’information de toute organisation en vue d’établir un équilibre entre les
risques et les bénéfices de l’informatique et d’assurer une amélioration
quantifiable, efficace et efficiente des processus qui s’y rapporte.
Ainsi L'audit des systèmes d'information ou audit
informatique (en
anglais Information Technology Audit ou IT Audit) est une
activité essentielle dans la maîtrise des opérations de l'entreprise Il
s'agit là d'évaluer le niveau de contrôle des risques associés aux activités
informatiques.
L'objectif apparent : améliorer la maîtrise des systèmes d'information d'une entité.
L'objectif réel : assurer le niveau de service adéquat aux activités d'une organisation.
L'objectif apparent : améliorer la maîtrise des systèmes d'information d'une entité.
L'objectif réel : assurer le niveau de service adéquat aux activités d'une organisation.
À cette fin,
l’audit va se baser sur le cadre réglementaire du secteur d’activité du pays
concerné, sur les référentiels de bonnes pratiques existants (exemple le
référentiel CobiT), sur les benchmarks à disposition et sur l’expérience
professionnelle des auditeurs impliqués
1. Différents types d'audit informatique
La démarche d'audit informatique est générale
et s'applique à différents domaines comme la fonction informatique, les études
informatiques, les projets informatiques, l'exploitation, la planification de
l'informatique, les réseaux et les télécommunications, la sécurité
informatique, les achats informatiques, l'informatique locale ou l'informatique
décentralisée, la qualité de service, l'externalisation, les applications
opérationnelles…
Voila une présentation succincte des audits
informatiques les plus fréquents.
·
Audit de la fonction informatique
Le but de l'audit de la
fonction informatique est de répondre aux préoccupations de la direction
générale ou de la direction informatique concernant l'organisation de la
fonction informatique, son pilotage, son positionnement dans la structure, ses
relations avec les utilisateurs, ses méthodes de travail…
Pour effectuer un audit de la
fonction informatique on se base sur les bonnes pratiques connues en matière
d'organisation de la fonction informatique. Elles sont nombreuses et bien
connues, parmi celles-ci on peut citer :
·
la clarté des structures et des responsabilités de
l'équipe informatique,
·
la définition des relations entre la direction
générale, les directions fonctionnelles et opérationnelles et la fonction
informatique,
·
l'existence de dispositifs de mesures de l'activité et
notamment d'un tableau de bord de la fonction informatique,
·
le niveau des compétences et des qualifications du
personnel de la fonction.
Il existe de nombreuses
autres bonnes pratiques concernant la fonction informatique. L'audit de la
fonction se base sur ces pratiques dans le but d'identifier un certain nombre
d'objectifs de contrôle comme :
·
le rôle des directions fonctionnelles et
opérationnelles dans le pilotage informatique et notamment l'existence d'un
comité de pilotage de l'informatique,
·
la mise en œuvre de politiques, de normes et de
procédures spécifiques à la fonction,
·
la définition des responsabilités respectives de la
fonction informatique et des unités utilisatrices concernant les traitements,
la maintenance, la sécurité, les investissements, les développements,….
·
l'existence de mécanismes permettant de connaître et
de suivre les coûts informatiques, soit à l'aide d'une comptabilité analytique,
soit, à défaut, grâce à un mécanisme de refacturation,
·
le respect des dispositifs de contrôle interne comme
une évaluation périodique des risques, la mesure de l'impact de l'informatique
sur les performances de l'entreprise…
·
L'audit des études informatiques
L'audit des études
informatiques est un sous-ensemble de l'audit de la fonction informatique. Le
but de cet audit est de s'assurer que son organisation et sa structure sont efficaces,
que son pilotage est adapté, que ses différentes activités sont maîtrisées, que
ses relations avec les utilisateurs se déroulent normalement,…
Pour effectuer un audit des
études informatiques on se base sur la connaissance des bonnes pratiques recensées
dans ce domaine. Elles sont nombreuses et connues par tous les professionnels.
Parmi celles-ci on peut citer :
·
l'organisation de la fonction études en équipes, le
choix des personnes et leur formation, leurs responsabilités … ;
·
la mise en place d'outils et de méthodes adaptés
notamment une claire identification des tâches, des plannings, des budgets, des
dispositifs de suivi des études, un tableau de bord… ;
·
le contrôle des différentes activités qui ne peuvent
pas être planifiées comme les petits projets, les projets urgents… ;
·
la mise sous contrôle de la maintenance des
applications opérationnelles ;
·
le suivi des activités d'études à partir de feuilles
de temps.
Il existe de nombreuses
autres bonnes pratiques concernant les études informatiques. Pour l'auditer on
va se baser sur ces bonnes pratiques afin de dégager un certain nombre
d'objectifs de contrôle comme :
·
l'évaluation de l'organisation de la fonction d'études
informatiques et notamment la manière dont sont planifiées les différentes
activités d'études ;
·
le respect de normes en matière de documentation des
applications et notamment la définition des documents à fournir avec les
différents livrables prévues ;
·
le contrôle de la sous-traitance notamment la qualité
des contrats, le respect des coûts et des délais, la qualité des
livrables… ;
·
l'évaluation de la qualité des livrables fournis par
les différentes activités d'études qui doivent être testables et
vérifiables ;
Il existe de nombreux autres
objectifs de contrôle concernant les études
informatiques et ils sont
choisis en fonctions des préoccupations du demandeur d’audit
·
Audit de l'exploitation
L'audit de l'exploitation a
pour but de s'assurer que le ou les différents centres de production
informatiques fonctionnent de manière efficace et qu'ils sont correctement
gérés. Il est pour cela nécessaire de mettre en œuvre des outils de suivi de la
production .
Pour effectuer un audit de
l'exploitation on se base sur la connaissance des bonnes pratiques concernant
ce domaine comme :
·
la clarté de l'organisation de la fonction notamment
le découpage en équipes, la définition des responsabilités,…
·
l'existence d'un système d'information dédié à
l'exploitation notamment pour suivre la gestion des incidents, la gestion des
ressources, la planification des travaux, les procédures d'exploitation,…
·
la mesure de l'efficacité et de la qualité des
services fournies par l'exploitation informatique.
Il existe de nombreuses
autres bonnes pratiques concernant l'exploitation informatique. Pour effectuer
cet audit on va se baser sur ces bonnes pratiques afin de dégager un certain
nombre d'objectifs de contrôle comme :
·
la qualité de la planification de la production,
·
la gestion des ressources grâce à des outils de mesure
de la charge, des simulations, le suivi des performances,…
·
l'existence de procédures permettant de faire
fonctionner l'exploitation en mode dégradé de façon à faire face à une
indisponibilité totale ou partielle du site central ou du réseau,
·
la gestion des incidents de façon à les repérer et le
cas échéant d'empêcher qu'ils se renouvellent,
·
les procédures de sécurité et de continuité de service
qui doivent se traduire par un plan de secours,
·
la maîtrise des coûts de production grâce à une
comptabilité analytique permettant de calculer les coûts complets des produits
ou des services fournis.
·
L'audit des projets informatiques
L'audit des projets informatiques
est un audit dont le but est de s'assurer qu'il se déroule normalement et que
l'enchaînement des opérations se fait de manière logique et efficace de façon
qu'on ait de fortes chances d'arriver à la fin de la phase de développement à
une application qui sera performante et opérationnelle. Comme on le voit un
audit d'un projet informatique ne se confond pas avec un audit des études
informatiques.
Pour effectuer un audit d'un
projet informatique on se base sur la connaissance des bonnes pratiques connues
en ce domaine. Elles sont nombreuses et connues par tous les chefs de projets
et de manière plus générale par tous professionnels concernés. Parmi celles-ci
on peut citer :
·
l'existence d'une méthodologie de conduite des
projets,
·
la conduite des projets par étapes quel que soit le
modèle de gestion de projets : cascade, V, W ou en spirale (processus
itératif),
·
le respect des étapes et des phases du projet,
·
le pilotage du développement et notamment les rôles
respectifs du chef de projet et du comité de pilotage,
·
la conformité du projet aux objectifs généraux de
l'entreprise,
·
la mise en place d'une note de cadrage, d'un plan de
management de projet ou d'un plan de management de la qualité,
·
la qualité et la complétude des études amont :
étude de faisabilité et analyse fonctionnelle,
·
l'importance accordée aux tests, notamment aux tests
faits par les utilisateurs.
Il existe de nombreuses
autres bonnes pratiques concernant la gestion de projet. Pour effectuer un
audit d'un projet informatique on va se baser sur un certain nombre d'objectifs
de contrôle comme :
·
la clarté et l'efficacité du processus de
développement,
·
l'existence de procédures, de méthodes et de standards
donnant des instructions claires aux développeurs et aux utilisateurs,
·
la vérification de l'application effective de la
méthodologie,
·
la validation du périmètre fonctionnel doit être faite
suffisamment tôt dans le processus de développement,
·
la gestion des risques du projet. Une évaluation des
risques doit être faite aux étapes clés du projet.
Il existe de nombreux autres
objectifs de contrôle possibles concernant l'audit de projet informatique qui
sont choisis en fonction des préoccupations et des attentes du demandeur
d'audit.
·
Audit des applications opérationnelles
Les audits précédents sont
des audits informatiques, alors que l'audit d'applications opérationnelles
couvre un domaine plus large et s'intéresse au système d'information de
l'entreprise. Ce sont des audits du système d'information. Ce peut être l'audit
de l'application comptable, de la paie, de la facturation,…. Mais, de plus en
plus souvent, on s'intéresse à l'audit d'un processus global de l'entreprise
comme les ventes, la production, les achats, la logistique,…
Il est conseillé d'auditer
une application de gestion tous les deux ou trois ans de façon à s'assurer
qu'elle fonctionne correctement et, le cas échéant pouvoir apporter les
améliorations souhaitables à cette application ou à ce processus. L'auditeur va
notamment s'assurer du respect et de l'application des règles de contrôle
interne. Il va en particulier vérifier que :
·
les contrôles en place sont opérationnels et sont
suffisants,
·
les données saisies, stockées ou produites par les
traitements sont de bonnes qualités,
·
les traitements sont efficaces et donnent les résultats
attendus,
·
l'application est correctement documentée,
·
les procédures mises en œuvre dans le cadre de
l'application sont à jour et adaptées,
·
l'exploitation informatique de l'application se fait
dans de bonnes conditions,
·
la fonction ou le processus couvert par l'application
est efficace et productif,
Le but de l'audit d'une
application opérationnelle est de donner au management une assurance
raisonnable sur son fonctionnement. Ces contrôles sont, par exemple, réalisés
par le Commissaire aux Comptes dans le cadre de sa mission légale d'évaluation
des comptes d'une entreprise : est-ce que le logiciel utilisé est sûr,
efficace et adapté ?
Pour effectuer l'audit d'une
application opérationnelle on va recourir aux objectifs de contrôle les plus
courants :
·
le contrôle de la conformité de l'application opérationnelle
par rapport à la documentation utilisateur, par rapport au cahier des charges
d'origine, par rapport aux besoins actuels des utilisateurs,
·
la vérification des dispositifs de contrôle en place.
Il doit exister des contrôles suffisants sur les données entrées, les données
stockées, les sorties, les traitements,… L'auditeur doit s'assurer qu'ils sont
en place et donnent les résultats attendus,
·
l'évaluation de la fiabilité des traitements se fait
grâce à l'analyse des erreurs ou des anomalies qui surviennent dans le cadre
des opérations courantes. Pour aller plus loin l'auditeur peut aussi être amené
à constituer des jeux d'essais pour s'assurer de la qualité des traitements. Il
est aussi possible d'effectuer des analyses sur le contenu des principales
bases de données afin de détecter d'éventuelles anomalies,
·
la mesure des performances de l'application pour
s'assurer que les temps de réponse sont satisfaisants même en période de forte
charge. L'auditeur va aussi s'intéresser au nombre d'opérations effectuées par
le personnel dans des conditions normales d'utilisation.
Très souvent on demande à
l'auditeur d'évaluer la régularité, la conformité, la productivité, la
pérennité de l'application opérationnelle. Ce sont des questions délicates
posées par le management à l'auditeur.
·
Audit de la sécurité informatique
L'audit de la sécurité
informatique a pour but de donner au management une assurance raisonnable du
niveau de risque de l'entreprise lié à des défauts de sécurité informatique. En
effet, l'observation montre que l'informatique représente souvent un niveau
élevé pour risque élevé de l'entreprise. On constate actuellement une
augmentation de ces risques liée au développement d'Internet. Ils sont liés à
la conjonction de quatre notions fondamentales :
1. en permanence il existe des
menaces significative concernant la sécurité informatique de l'entreprise et
notamment ses biens immatériels,
2. le facteur de risque est une
cause de vulnérabilité due à une faiblesse de l'organisation, des méthodes, des
techniques ou du système de contrôle,
3. la manifestation du risque.
Tôt ou tard le risque se manifeste. Il peut être physique (incendie,
inondation) mais la plupart du temps il est invisible et se traduit notamment
par la destruction des données, détournement de trafic,..
4. la maîtrise du risque. Il
s'agit de mettre en place des mesures permettant de diminuer le niveau des
risques notamment en renforçant les contrôle d'accès, l'authentification des
utilisateurs,…
Pour effectuer un audit de
sécurité informatique il est nécessaire de se baser sur quelques objectifs de
contrôle. Les plus courants sont :
·
repérer les actifs informationnels de l'entreprise. Ce
sont des matériels informatiques, des logiciels et des bases de données. Il est
pour cela nécessaire d'avoir des procédures de gestion efficaces et adaptées,
·
identifier les risques. Il doit exister des
dispositifs de gestion adaptés permettant de surveiller les domaines à risque.
Cette surveillance doit être assurée par un responsable de la sécurité
informatique,
·
évaluer les menaces. Le responsable de la sécurité
informatique, le responsable de la sécurité informatique a la responsabilité de
repérer les principaux risques liés aux différents domaines du système
d'information. Un document doit recenser les principales menaces,
·
mesurer les impacts. Le responsable de la sécurité
informatique, doit établir une cartographie des risques associés au système
d'information. Il est alors envisageable de construire des scénarios
d'agression et d'évaluer les points de vulnérabilité,
·
définir les parades. Pour diminuer le niveau des
risques il est nécessaire de prévoir les dispositifs comme des contrôles
d'accès, le cryptage des données, le plan de secours,…
Il existe de nombreux autres
objectifs de contrôle concernant l'audit de la sécurité informatique qui sont
choisis en fonction des préoccupations et des attentes du demandeur d'audit.
2. Les référentiels de l’audit
des SI
Le succès d’une
mission d’audite dépend du respect d’un certain nombre de points. Parmi ces
points, il en existe un en particulier qui me semble essentiel, à savoir le
référentiel d’audit.
En effet, dans le cadre d’une mission d’audite il est notamment
nécessaire d’examiner et de contrôler la mise en œuvre de procédures qu’elles
soient internes ou externes, ou le respect de normes.
Dans la pratique,
l’expérience montre que les procédures sont souvent incomplètes et parfois
mêmes inexistantes.
L’auditeur est aussi parfois
amené à détecter l’origine d’un problème connu et à fournir des
recommandations.
Dans tous les cas, l’auditeur
doit être en mesure d’indiquer les procédures qui devraient exister et être
appliquées afin de permettre d’améliorer la situation existante. Le premier
réflexe naturel de l’auditeur est de se baser sur son expérience et le bon sens
afin de déterminer ce qui devrait exister.
Bien entendu, le réflexe de
l’audité sera de démontrer qu’il travaille bien et que les propositions
avancées par l’auditeur ne sont pas fondées et sont donc inutiles ou ne sont
pas les bonnes.
L’informatique est un monde
d’ingénierie dont les différents aspects sont régis par des règles bien
spécifiques. Il est toujours possible de ne pas respecter certain des règles.
Par exemple : il est possible de mener a bien un projet informatique sans
tenir de planning. Il est aussi possible de développer une application
informatique qui fonctionne sans respecter aucune norme de codage. Avec un peu
de chance, il se peut que les travaux se déroulent correctement.
Moins on se repose sur des
règles et procédures plus les risques de problèmes et d’échecs sont importants.
Evidemment, plus on souhaite
que les travaux se déroulent correctement, plus il est nécessaire de se
conformer aux règles de l’art.
Si l’expérience et le bon
sens sont bien évidemment des éléments importants dans les missions d’audit,
ils sont loin d’être suffisants et c’est ici qu’intervient la notion de référentiel
d’audit.
Un référentiel d’audit
correspond à un recueil de règles, procédures et/ou bonnes pratiques reconnues
au plan international et sur lequel l’auditeur pourra s’appuyer pour formuler
ses recommandations. Dans le domaine de l’informatique, il en existe notamment
deux qui sont particulièrement répandus, à savoir COBIT et ITIL.
Concernant les normes et
standards en matière de systèmes d'information, plusieurs référentiels
existent. Ils s'appliquent à des domaines distincts et sur des périmètres
divers : développement logiciel, services de production informatique, gestion
globale du système d'information, sécurité...
Pour certains domaines
informatiques bien spécifiques, il est également possible de s’appuyer sur des
référentiels plus ciblés tels que par exemple l’ISO 17799 pour la sécurité de
l’information.
Ces éléments permettent ainsi
à l’auditeur de renforcer considérablement la pertinence de ses
recommandations.
Par exemple :
·
iso 9001 (créée en 1987). Norme
de type système (structurée selon le cycle Plan-Do-Check-Act). Définit des
règles standards à respecter pour tout organisme souhaitant fournir ses
produits et ses services de qualité.
·
iso 20000-1. Norme de type système.
Définit des règles standards à respecter pour tout organisme fournissant des
services et souhaitant atteindre un excellent niveau de maîtrise de ses
activités en vue de satisfaire ses clients.
·
iso 27001. Norme de type système.
Définit des règles standards en matière de sécurité (confidentialité,
intégrité, disponibilité) des systèmes d'information à respecter pour tout
organisme souhaitant en garantir la maîtrise dans la réalisation de ses
activités en réponse à ses propres exigences internes ou à celles de ses
clients.
·
ISO,
27002 .ISO / IEC 27002 est plus un code de pratique, qu’une
véritable norme ou qu’une spécification formelle telle que l’ISO/IEC 27001.
Elle présente une série de contrôles (39objectifs de contrôle) qui suggèrent de
tenir compte des risques de sécurité des informations relatives à la
confidentialité, l'intégrité et les aspects de disponibilité. Les entreprises
qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres risques de sécurité
de l'information et appliquer les contrôles appropriés, en utilisant la norme
pour orienter l’entreprise.
·
Cobit, Control Objectives for
information and Related technologies (développé en 1996) fournit
aux gestionnaires, auditeurs et utilisateurs de TI (Technologies
del’Information), des indicateurs, des processus et des meilleures pratiques
pour les aider à maximiser les avantages issus du recours à des technologies de
l'information et à l'élaboration de la gouvernance et du contrôle d'une
entreprise. Le
modèle CobiT se focalise sur ce que l’entreprise a besoin de faire et non sur la
façon dont elle doit le faire.
·
CMMi, Capability Maturity Model
Integrated,
le référentiel de conduite de projet. est un référentiel d’évaluation pour le développement
de systèmes, de produits matériels et/ ou logiciels. Ce référentiel a été
développé en 1987 C’est un référentiel de bonnes pratiques orienté vers le
développement logiciel et la gestion de projet afférente.
·
ITIL, IT Infrastructure Library le
référentiel de gestion des services informatiques (inventé
en 1989 en Grande Bretagne par le Central Computer & Telecom Agency (CCTA).
20 ans
d'existence et d'expérience), référentiel de bonnes pratiques de la Gestion des
Services Informatiques, L'adoption des bonnes pratiques de l'ITIL par une
entreprise lui permet d'assurer à ses clients (internes comme externes) un
service répondant à des normes de qualité préétablies au niveau international.
C'est donc un label de qualité proche des normes de l'ISO par exemple.
2.
Démarche
d’audit d’informatique
Une mission d'audit informatique se prépare. Il
convient de déterminer un domaine d'études pour délimiter le champ
d'investigation. En ce sens il est conseillé d'effectuer un pré-diagnostic afin
de préciser les questions dont l'audit va traiter. Cela se traduit par
l'établissement d'une lettre de mission détaillant les principaux points à
auditer.
Pour mener à bien l'audit informatique il est
recommandé de suivre six étapes suivantes :
·
Définition
de la mission : Établissement de la lettre de mission
·
La
planification de la mission
·
La
collecte des faits, la réalisation de tests,...
·
Entretiens
avec les audités
·
Rédaction
du rapport final,
·
Présentation
et discussion de ce rapport.
·
Définition
de la mission : Établissement de la lettre de mission,
L’établissement de la lettre de mission (C’est un mandat au sens du Code Civil). Ce document est rédigé et signé par le demandeur d'audit et permet de
mandater l'auditeur. Il sert à identifier la liste des questions que se pose le
demandeur d'audit. Très souvent l'auditeur participe à sa rédaction
·
Planification
de la mission : le choix de la démarche,
La
planification de la mission permet de définir la démarche détaillée qui sera
suivie. Elle va se traduire par un plan d'audit ou une proposition commerciale
Ø
Il
faut détailler le programme de travail
Ø Prévoir suffisamment à l’avance la
collecte des faits et les tests à organiser (délais souvent longs)
Ø
Savoir
limiter le nombre des entretiens (c’est un très gros consommateur de temps et
de délais).
Ce document est rédigé par l'auditeur et il
est soumis à la validation du demandeur d'audit. Une fois le consensus obtenu
il est possible de passer à la troisième étape,
·
La
collecte des faits, la réalisation des tests,
Il faut se baser sur des faits, On s’organise
pour trouver les faits dont on a besoin : Les tests, les jeux d’essais,…Les
mesures de performances (temps de réponses...) Les incidents d’exploitation,
les anomalies, les erreurs, les bugs.
la collecte des faits, la réalisation de
tests, … Dans la plupart des audits c'est une partie importante du travail
effectué par les auditeurs. Il est important d'arriver à dégager un certain
nombre de faits indiscutables,
·
Entretiens
avec les audités les
auditeurs se méfient des faits et ils ont tendance à préférer les opinions .les entretiens avec les audités permettent de compléter les faits collectés
grâce à la prise en compte des informations détenues par les opérationnels.
Cette étape peut être délicate et compliqué. Souvent, les informations
collectés auprès des opérationnels ressemblent plus à des opinions qu'à un
apport sur les faits recherchés,
·
Le
rapport d’audit : la conception, la rédaction, la présentation
Le rapport d’audit est un
document de référence. la rédaction du rapport d'audit est un
long travail qui permet de mettre en avant des constatations faites par
l'auditeur et les recommandations qu'il propose,
Cette rédaction doit Commencer à partir de la
moitié de la mission. Sur une mission de deux mois dès la fin du 1er
mois ; Le corps du rapport doit, dans la mesure du possible, être traité
dans l’ordre des questions d’audit se trouvant dans la lettre de mission. Les
recommandations doivent être classées en mesures à court terme, à moyen terme
et à long terme ?
·
Présentation
et discussion de ce rapport
La présentation et la discussion du
rapport d'audit au demandeur d'audit, au management de l'entreprise ou au
management de la fonction informatique
Il peut arriver qu'à la suite de la
mission d'audit il soit demandé à l'auditeur d'établir le plan d'action et
éventuellement de mettre en place un suivi des recommandations.
Bâtir un plan d’action
La liste des
recommandations ne fait pas un plan d’action
• Un certain nombre
d’opérations complémentaires sont nécessaires :
Sélectionner les mesures
et les hiérarchiser. Approfondir et compléter les actions. Effectuer des
analyses complémentaires. Fixer les responsabilités
• Le plan d’action doit
être validé par le management (Comité de direction ; comité de pilotage ;
commission informatique …)
Souvent des moyens
spécifiques doivent lui être affectés
Le suivi des recommandations et du plan d’action
Il est nécessaire de
mettre en place un dispositif de suivi des recommandations et du plan d’action
L’expérience montre que si on ne met pas en place un suivi des recommandations,
elles ne sont pas appliquées, ou du moins on applique que celles qui ne posent
pas de problèmes et les autres sont laissées à leur triste sort. Il est donc
nécessaire de mettre en place un suivi des mesures choisies.et faire un point
périodique sur le degré de mise en place des recommandations (tous les 3 ou
tous les 6 mois)
L’efficacité des audits informatiques se joue
en partie sur la mise en place d’un suivi .Le
non-respect de cette démarche peut entrainer une mauvaise réalisation et mise
en place d'outils qui ne sont pas conformes aux réels besoins de l'entreprise.
Cette démarche est essentielle pour l'auditeur car il
lui apporte des éléments fondamentaux pour le déroulement de sa mission mais
celle-ci est encore plus bénéfique pour l'organisation. En effet, les acteurs
audités ne sont pas passifs. Ils sont amenés à porter une réflexion sur leurs
méthodes de travail et à s'intéresser au travail des autres acteurs de
l'entité. Cela conduit à une cohésion d'équipe et à un apprentissage organisationnel. Il s'agit d'un
facteur positif car en cas de changement les acteurs seront moins réticents.
Conclusion
:
Durant ces dernières
années, l'informatique s'est imposée d'une manière très impressionnante dans
les entreprises, cela est du à son apport extraordinaire dans le domaine de
gestion des bases de données .
Généralement, les risques
liés au fonctionnement courant du système d’information sont cernés par le
commissaire aux comptes et intégrés dans son approche de la mission. Mais tout
système comprend des exceptions qui dérogent aux règles de contrôle interne. Le
système d’information n’échappe pas à cet état de fait. Ces exceptions sont
nécessaires au bon fonctionnement de l’entreprise, elle lui confère une
meilleure réactivité. Il est crucial pour le commissaire aux comptes de déceler
ces exceptions et d’évaluer leur nuisance
potentielle, car mal maîtrisées en interne, elles
peuvent s’avérer très préjudiciables à la pérennité de l’entreprise.
Bibliographie
- Yann Derrien ; DUNOD Les techniques de l’audit informatique.
- Franck
Franchin ; Sécurité des systèmes d'information.
-
M.Thorin L’audit informatique : Méthodes, règles,
normes.,
Edition
Masson, Paris 1991
-
Mohamed Jaouad El Qasmi; Ounsa ROUDIES :Une
démarche d’audit informatique.
-
www.octo.com/Audit-de-SI.28
Aucun commentaire:
Enregistrer un commentaire