Audit Informatique 1

AUDIT INFORMATIQUE

Amine ABIDI
 Audit Informatique 2

Présentation du cours
• Objectifs
• Comprendre l’activité de l’audit
• L’audit & l’informatique
• L’audit des systèmes d’information
• Sécurité
• Infrastructure réseau
• La mission d’audit
• Gestion IT
• Gestion des risques
• Volume horaire par semaine
• 1,5 heures de cours
• Evaluation
• DS + Examen
 Audit Informatique 3

Présentation du cours
• Plan
• Introduction à l’audit informatique
• Le processus d’audit
• Les normes et les standards d’audit SI
• Les différents types d’audit Informatique
• L’infrastructure matérielle
• Les systèmes et applications réseaux
• La mise en place, l’entretien et l’évolution
• Le service Informatique
• La gestion de Qualité
• La protection des données
• Plan d’urgence et continuité
• Gestion des catastrophes
• Continuité des services
 Audit Informatique 4

Chapitre 1

INTRODUCTION À L’AUDIT
INFORMATIQUE
 Audit Informatique 5

Contenu
• Présentation générale de l’audit
• C’est quoi l’audit
• Objectifs
• Rôles
• Les normes
• L’auditeur
• Qualités
• Missions

• Les cibles de l’audit

• Le système d’information
• C’est quoi
• Pourquoi l’audit
 Audit Informatique 6

L’audit
• Définition
• L’audit est l’examen d’une situation, d’un système d’informations,
d’une organisation pour porter un jugement.
• C’est la comparaison entre ce qui est observé et ce que cela
devrait être, selon un système de références.
• Officiellement
• l’audit est une activité indépendante et objective, qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui
apporte ses conseils pour les améliorer, et contribue à créer de la valeur
ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par
une approche systématique et méthodique, ses processus de management
des risques, de contrôle et de gouvernance, et en faisant des propositions pour
renforcer leur efficacité .
 Audit Informatique 7

L’audit informatique
• Définition
• Examen d’un environnement informatique afin de dégager les
problèmes et les dysfonctionnements d’un processus métier.
• L’audit informatique peut concerner
• Evaluation
• Des processus métiers
• Une application
• Evaluation des risques de sécurité
• Physique ou logique
• Accompagner l’évolution
• Gestion de changement
• Plan de continuité
• Gestion des risques
 Audit Informatique 8

L’audit informatique
• Le déroulement d’audit
• Une mission d’audit est demandée explicitement par un
responsable entreprise auprès d’un auditeur qualifié
• Contrat de mission
• Objectifs
• Durée
• L’auditeur
• Est un agent qualifié
• Techniquement
• Normes et règlementations
• Compétences de communication
• Peut être accompagné par des experts
• Sur certains points techniques
 Audit Informatique 9

L’audit informatique
• Livrable : un rapport d’audit
• Une mission d’audit doit aboutir à:
• Un ou plusieurs rapports relevant les faiblesses dégagées
• Mesures et solutions proposées pour améliorer la situation

• Outils d’audit
• Deux types d’outils
• Une démarche d’analyse
• Des logiciels spéciaux
 Audit Informatique 10

L’auditeur
• L’auditeur
• Personne, ou organisation, chargée de la mission d’audit
• Qualités exigées
• Techniques
• Profondes connaissances du processus évalué.
• Polyvalent
• déterminant
• Personnelles
• Ethique
• diplomate
• Avoir l’esprit ouvert
• Vigilant
• Autonome
• Communications
 Audit Informatique 11

L ’auditeur
• Autres qualités
• Etre exécutif
• Respecter la confidentialité
• Maitriser les lois et les règlementations
• Documentation organisée
• Préparation des Interviews
• Maitriser la gestion de projets
• Connaître l’organisation hiérarchique
• Responsabilités
• Réaliser des tests indépendants
• Maitriser les standards et les normes
• Identifier les 5 types d’audit
• Financier, opérationnel, de complémentarité, de conformité et de SI
 Audit Informatique 12

Normes et les outils d’audit

• Une norme
• Une norme est un document qui définit des exigences, des
spécifications, des lignes directrices ou des caractéristiques à
utiliser systématiquement pour assurer l'aptitude à l'emploi des
matériaux, produits, processus et services.
• Organisme de normalisation d’audit
• International
• ISO: Organisation internationale de normalisation
• ISACA: Information Systems Audit and Control Association
• National
• ANSI : Agence Nationale de la Sécurité Informatique
 Audit Informatique 13

Normes et outils d’audit

• ISO
• 19011:2011
• Fournit des lignes directrices sur l'audit de systèmes de
management
• Les principes de l'audit, le management d'un programme d'audit et la
réalisation d'audits de systèmes de management.
• Elle donne également des lignes directrices
• L’auditeur
• Elle est applicable à tous les organismes qui doivent réaliser des
audits internes ou externes
 Audit Informatique 14

Normes et outils d’audit

• ISACA
• L'ISACA est une association professionnelle internationale dont
l'objectif est d'améliorer la gouvernance des systèmes
d’information, notamment par l'amélioration des méthodes d'audit
informatique.
• Elle produit aussi des référentiels de meilleures pratiques
concernant les volets audit et gouvernance.
• Normes
• COBIT :Control Objectives for Information and related Technology,
• Objectifs de contrôle de l’Information et des Technologies Associées
• C’est un outil fédérateur qui permet d'instaurer un langage commun
pour parler de la gouvernance des SI
 Audit Informatique 15

Normes et outils d’audit

• ISACA
• Les normes sont devisées en trois catégories
• Normes générales : la série 1000
• Ce sont les principes directeurs selon lesquels fonctionne la profession de
l’audit et de l’assurance des SI.
• Elles s’appliquent à la conduite de toutes les missions et traite de l'éthique, de
l'indépendance, de l'objectivité et de l'obligation de diligence des
professionnels de l’audit et de l’assurance des SI, ainsi que de leurs
connaissances, compétences et expertises. Les déclarations de normes sont
obligatoires.
• Normes de performances: la série 1200
• Elles traitent de la conduite de la mission, notamment de la planification et de
la supervision, de la définition du périmètre, du risque et de la matérialité, de
la mobilisation des ressources, de la gestion de la supervision et de la
mission, des preuves en matière d’audit et d’assurance et de l’exercice du
jugement professionnel et de la diligence nécessaire,
 Audit Informatique 16

Normes et outils d’audit

• ISACA
• Les normes sont devisées en trois catégories
• Normes de reporting: la série 1400
• Elles traitent des types de rapports, des moyens de communication et des
informations communiquées
• Les directives:
• C’est un ensemble de conseils et règles qui appuient les normes
• Divisées en 3 catégories:
• Directives générales (série 2000)
• Directives relatives à l’exécution (série 2200)
• Directives relatives au reporting (série 2400)
 Audit Informatique 17

Normes et outils d’audit

• Les outils d’audit
• Fournissent des informations supplémentaires à l’intention des
professionnels de l’audit et de l’assurance des SI
• livres blancs, programmes d’audit et d’assurance des SI
• COBIT
• Livre blanc
• Un livre blanc est un recueil d'informations objectives et factuelles
destiné à un public déterminé pour l'amener à prendre une décision sur
un sujet particulier.
• Il peut servir à établir une mise au point de portée générale ou à
rechercher un consensus dans un cadre spécifique.
• Il permet aussi à des institutions privées ou publiques à but non lucratif
comme les ONG de publier un message officiel
 Audit Informatique 18

Normes et outils d’audit

• Les outils d’audit
• Logiciels
• Plusieurs types
• Générateurs de données
• Utilitaires standards
• Gestion de changement
• Inventaire
• sécurité
 Audit Informatique 19

Les cibles de l’audit

• Les systèmes d’information
• C’est l’ensemble des moyens matériels, logiciels, organisationnels
et humains visant à acquérir, stocker, traiter, diffuser ou détruire de
l’information,
Le système d’information
 Mais aussi …

5
 Audit Informatique 21

Le système d’information
• Approches fonctionnelles
Marketing Relation client (CRM)

R&D, bureau d’étude Conception (CAO)

Production Pilotage des fabrications

Finance & contrôle ERP, comptabilité, paie…

Logistique Supply Chain Management

 Audit Informatique 22

SI: facteur de performance

• Un SI doit être
• En alignement avec la stratégie de l’entreprise
• Conforme
• Sécurisé
• Facile à utiliser
• Fiable
• Adaptatif
• Pérenne
• Disponible
• Efficient
 Audit Informatique 23

Les risques informatiques

• Un risque informatique
• Est toute éventualité qui peut conduire à une perturbation,
dysfonctionnement ou arrêt d’un processus ou service,
• Les catégories
• Les risques opérationnels
• Les plus nombreux pour un SI
• Les risques financiers
• Les risques légaux de non-conformité
 Audit Informatique 24

Les risques informatiques

• SI inadapté à la stratégie et les besoins
• Lorsque la société utilise un SI qui n’est pas adapté à
ses besoins
• Facteurs de risque
• Manque d’implication de la direction dans la gestion
informatique
• Absence de schéma directeur
• Absence de gouvernance informatique
• Manque d’implication des utilisateurs dans les projets
• Absence d’analyse de la valeur ajoutée du SI
 Audit Informatique 25

Les risques informatiques

• SI inadapté à la stratégie et les besoins
• Lorsque la société utilise un SI qui n’est pas adapté à
ses besoins
• Procédures de contrôle
• Supervision de l’informatique par la direction
• Adapter le schéma directeur à la stratégie de la société
• Mettre en lace une stratégie de gouvernance
• Analyse de la valeur ajoutée
• Impliquer les users dans les nouveaux projets Info
 Audit Informatique 26

Les risques informatiques

• Problème de redémarrage de SI
• Lorsque la société est incapable de redémarrer son SI
• En cas de panne ou arrêt de certains composants.
• Facteurs de risque
• Absence de sauvegarde régulière
• Surtout en externe
• Absence de plan de secours
• Absence de site de secours
 Audit Informatique 27

Les risques informatiques

• Problème de redémarrage de SI
• Lorsque la société est incapable de redémarrer son SI
• En cas de panne ou arrêt de certains composants.
• Procédures de contrôle
• Mettre en place un plan de secours
• Validé, documenté, mis à jour après les modifs
• Testé une fois par an
• Procédures de Sauvegarde quotidienne
• Données et programmes critiques
• Sauvegardes testées régulièrement
• Mettre en place un site de secours
• Si l’activité est très dépendante de l’informatique
 Audit Informatique 28

Les risques informatiques

• Sécurité inadaptée
• Lorsque la politique de sécurité est insuffisante
• Facteurs de risque
• Sécurité physique
• Sécurité logique
• Sécurité du réseau
• Sécurité de l’exploitation
• Sécurité des PCs
• Sécurité des données
• Etc ,,,,
 Audit Informatique 29

Les risques informatiques

• Sécurité inadaptée
• Lorsque la politique de sécurité est insuffisante
• Procédures de contrôle
• Mettre en place une politique de sécurité
• Validée & supportée par la direction
• Utiliser des outils de surveillance pour le SI
• Employer une équipe de sécurité
• Dédiée
• Capable de détecter les incidents
• Capable d’intervenir en cas de problèmes,
 Audit Informatique 30

Les risques informatiques

• Accès aux données
• Le contrôle d’accès aux données et programmes
critiques de la société
• Facteurs de risque
• Absence de politique de sécurité
• Absence de gestion de droits d’accès
• Absence de gestion des points d’accès
• SI incapable de gérer les droits d’accès
• Gestion des mots de passe insuffisante
 Audit Informatique 31

Les risques informatiques

• Accès aux données
• Le contrôle d’accès aux données et programmes critiques de la
société
• Procédures de contrôle
• Politique de sécurité validée
• Politique de gestion de mots de passe
• Gestion rigoureuse des droits d’accès
• Revue régulière des listes d’habilitation
• Application par application
• Revue régulière des points d’accès
• Séparation effective entre
• Les fonctions
• Exploitation
• Développement
• Supervision des profils sensibles attribués aux employés
• Une traçabilité des accès et actions sensibles
 Audit Informatique 32

Les risques informatiques

• Applications non fiables
• Lorsque certaines applications affectent mal la
production
• Facteurs de risque
• Erreurs par rapport à la spécification
• Application insuffisamment testées
• Utilisateurs insuffisamment impliqués dans le
développement
 Audit Informatique 33

Les risques informatiques

• Applications non fiables
• Lorsque certaines applications affectent mal la
production
• Procédures de contrôle
• Forte implication dans le développement
• Bonne gestion de projet
• Veille environnementale
• Procédures de recensement des anomalies
• Procédures de maintenance
• Corrective
• Adaptative
• Evolutive
 Audit Informatique 34

Les risques informatiques

• SI indisponible
• Lorsque le SI fonctionne mais un ou plusieurs services
sont indisponibles.
• Facteurs de risque
• Mauvaise gestion de l’environnement matériel
• Energie, climatisation
• Protection physique
• Absence de contrat de service
• Absence d’outil de surveillance de la disponibilité
• Absence de cellule réactive à la disponibilité
• Absence de contrat de maintenance
 Audit Informatique 35

Les risques informatiques

• SI indisponible
• Lorsque le SI fonctionne mais un ou plusieurs services sont
indisponibles.
• Procédures de contrôle
• Convention de service décrivant les objectifs de performance
• Niveau de disponibilité
• Un support utilisateur performant
• Procédure de gestion des anomalies
• Procédure de maintenance corrective
• Contrat de maintenance de matériel
• Environnement adapté
• Des plan de continuité et reprise
 Audit Informatique 36

Les risques informatiques

• Mauvaise utilisation du SI
• Lorsque le SI n’est pas utilisé convenablement
• Facteurs de risque
• Application non conviviale
• Utilisateurs insuffisamment formés
• Documentation insuffisante
• Manque de contrôles bloquants dans les applications
 Audit Informatique 37

Les risques informatiques

• Mauvaise utilisation du SI
• Lorsque le SI n’est pas utilisé convenablement
• Procédures de contrôle
• Applications faciles à utiliser
• Formation des utilisateurs
• Une formation initiale
• Compléter par d’autres formations
• Quotidiennes
• Selon les modifications
• Documentation complète et mise à jour périodiquement
• Insérer des contrôles bloquants
• Procédures de maintenance
• Évolutive
• Adaptative
• Corrective
 Audit Informatique 38

Les risques informatiques

• SI non conforme
• C’est dans le cas de non-conformité d’une procédure à
• Une loi
• Un décret
• Une réglementation
• Concernant
• La sécurité
• Documentation
• Non présente
• Non mise à jour
• Sécurité du développement
• Droits d’accès
 Audit Informatique 39

Les risques informatiques

• SI non pérenne
• C’est dans le cas ou la société n’a pas un plan de
continuité de service
• Facteurs de risques
• Sous-traitance sans passage de compétence
• Documentation absente ou non mise à jour
• En cas évolution
• Obsolescence des applications ou technologies
• Forte dépendance vis-à-vis de personnes
 Audit Informatique 40

Les risques informatiques

• SI non pérenne
• C’est dans le cas ou la société n’a pas un plan de
continuité de service
• Procédures de contrôle
• SI est l’objet d’un schéma directeur
• Soigner la documentation
• Mise à jour
• Surtout: sous-traitance, application ancienne
• Procédures de transfert de compétence
• Entre les sous-traitants et l’équipe informatique
Audit Informatique 41