AUDIT D’UN SYSTEME DE MANAGEMENT DE SYSTEME DE LA

SECURITE INFORMATIQUE

INTRODUCTION
L’essentiel des travaux d’audit relatifs au système d’information ne nécessite pas de
connaissances très approfondies en informatique mais une bonne maîtrise des pratiques
d’audit.

L’apport de ce cours, met l’accent sur les concepts de l’évaluation des systèmes d’information
reposant sur une compréhension technique approfondie de la gestion des matériels
informatiques et leurs modes de communication modernes. Le cours d’Audit des systèmes
d’information se veut pour objectif primordial de donner aux étudiants ayant participés à ce
cours, d’acquérir les fondements de l’audit des systèmes d’information en les initiant aux
principaux concepts généraux liés à l’évaluation dans le domaine informatique en présentant
les différentes facettes des systèmes d’information.

L’évolution des systèmes d’information a été développée suite au processus de globalisation

et d’internationalisation des marchés, cette évolution ne pouvait qu’aider à la croissance des
entreprises. Le développement technologique a également marqué l’économie mondiale, et a
mis les systèmes d’information au centre des organisations, ceux-ci sont devenu des facteurs
stratégiques de la réalisation des performances et de la pérennité. On assistait alors, au
positionnement des systèmes d’information au sein d’une fonction réservée spécialement au
traitement et au développement des tâches automatisées comme par exemple, la fonction
informatique1 .

L’évolution exponentielle de l’environnement interne et externe de l’entreprise requiert de

celle-ci une réactivité rapide, en plus d’une claire visibilité sur les actions futures, leurs atouts
et leurs enjeux.

1
Il s’agit d’une fonction qui a été découverte avec l’invasion des ordinateurs, elle a passé vers une fonction de
contrôle, pour être ensuite une fonction de gestion des données. Arrivée à sa maturité, la fonction
informatique aujourd’hui utilise un système d’information qui représente une aide à la décision, un système
harmonisé avec l’organisation et adapté aux orientations de l’entreprise.

1
Les mesures de sécurité à mettre en place dépendent de l’activité, de l’organisation et de la
réglementation et des contraintes de son écosystème. • Afin d’évaluer le niveau de sécurité
attendue, les questions suivantes peuvent être posées :
• Qu’est ce que je veux protéger ? • De quoi je veux me protéger ? • A quel type de risques
mon organisation est exposée ? • Qu’est ce que je redoute ? • Quelles sont les normes qui
s’appliquent à mon organisation ?
Alors, le système d’information se trouve confronté à un certain nombre de difficultés de
correspondance aux besoins de l’entreprise d’une part, ainsi que d’autres difficultés de
certification du point de vue des référentiels et des normes en matière informatique d’autre
part. Cette certification de la correspondance, les processus informatiques et les normes
relèvent des missions de l’audit informatique. Il représente l’examen officiel de la fonction
informatique de l’entreprise en conformité avec les normes et les référentiels d’audit propres
au système informatique. À l’heure où la technologie fait plus que jamais partie des activités
et opérations d’une organisation, les auditeurs se heurtent à une difficulté de taille, celle de la
meilleure approche pour évaluer, à l’échelle de toute l’organisation, les risques liés aux
systèmes d’information et les contrôles y afférents dans le cadre de leurs missions générales
d’audit et de conseil. C’est pourquoi les auditeurs doivent prendre en compte l’environnement
des systèmes d’information (SI), les applications et productions qui font partie de
l’infrastructure, le mode de gestion des applications et opérations et la relation entre ces
applications / opérations ainsi que, l’organisation de ces derniers, en recensant les composants
de l’infrastructure des systèmes d’information, afin d’obtenir les informations concernant les
vulnérabilités et les menaces liés à l’infrastructure2.
2
L’évaluation des vulnérabilités au sein des infrastructures SI, qui sont susceptibles d’avoir une influence sur le
système de contrôle interne, commence par un inventaire complet du matériel, des logiciels, des réseaux et
des données. Ainsi, les systèmes et réseaux connectés à Internet sont exposés à des menaces supplémentaires

2
Dès lors que l’environnement des SI est bien pris en compte, le responsable de l’audit et
l’équipe d’audit peuvent procéder à l’évaluation des risques et établir un plan d’audit.

OBJECTIFS DU COURS
L’objectif du cours d’audit des systèmes d’information est de permettre aux participants
d’acquérir les fondements de l’audit des systèmes d’information en s’initiant aux principaux
concepts généraux liés à l’audit dans le domaine informatique. Et d’une manière spécifique,
ce cours vise à :

 Présenter les différentes facettes de l’audit des systèmes d’information en se basant sur la
démarche à suivre, le modèle à prendre en considération, ainsi que la catégorie de l’audit à
utiliser lors du processus de l’évaluation des systèmes d’information ;

 Appréhender les principaux généraux de l’audit des systèmes d’information, aux moyens
des règles, de l’éthique et déontologie et des erreurs à éviter ainsi qu’élucider les éléments de
la politique de la sécurité de l’audit informatique ;

 Faire maitriser les normes professionnelles et les référentiels nécessaires à la réalisation de

l’audit des systèmes d’information ;

 Fournir les concepts relatifs aux processus de planification et d’organisation de

l’élaboration du plan de l’audit des systèmes d’information.

Chapitre I . Droit et Ethique Informatiques

I. Introduction
I.1. Les droits fondamentaux de l'Homme et Internet
a) Le droit et l'Informatique
L'outil informatique est un outil puissant qui s'est vite infiltré dans la vie quotidienne et
professionnelle. Aujourd'hui, l'utilisation de l'outil informatique de manière générale et le
réseau Internet en particulier est très fréquente et entre dans le cadre de plusieurs activités de
nature professionnelle, économique, sociale et éducative. Ainsi, encadrer cette utilisation par
un cadre juridique et législatif devient une nécessité à accomplir par les différents états et
unions politiques à travers le monde. Néanmoins, cet encadrement s'est trouvé face à deux
problèmes majeurs :
par rapport à ceux qui ne le sont pas.

3
 • L'évolution des nouvelles technologies continue avec un rythme extraordinaire; les
processus législatifs se trouvent dépassés et incapables de suivre ce rythme.

• Même après leur élaboration, les lois liées à l'utilisation des nouvelles technologies restent
inconnues pour le grand public, et dans la majorité des cas, le simple utilisateur ne connait pas
est ce que l'action qu'il vient de commettre est légale ou pas. Malgré cela, les efforts législatifs
continuent pour pouvoir garantir un cadre légal sur Internet et pour dénier la fausse hypothèse
qui dit que "Internet est un espace de non droit". Cette hypothèse a été, pour longtemps,
supportée vu qu'Internet se présente comme un champ paradoxal, à titre d'exemple :

• D'un côté, ce moyen puissant de communication a permis de bouster les droits

d'information, de communication et de la liberté d'expression,

• De l'autre côté, ce moyen est utilisé pour organiser des attaques terroristes, pour envoyer des
messages de haine et de racisme et pour pratiquer la désinformation et la propagande.

b) Devoir de toute utilisateur de l'outil informatique et d'Internet

La complexité des lois liées à l'outil informatique et aux nouvelles technologies de

l'information et de la communication n'est pas une excuse pour ne pas les apprendre ou bien
pour ne pas les appliquer. Tout comme le code de la route que tout conducteur doit connaître,
les lois informatiques doivent être apprises par les utilisateurs de l'outil informatique et
d'Internet.

I.2. Les droits de l'Homme et l'informatique

L'encadrement juridique de l'utilisation de l'outil informatique ne veut pas dire "punir"

seulement; plusieurs efforts ont été proposés pour attribuer des droits à l'utilisateur en
s'inspirant de la nature de l'outil informatique et du réseau Internet et en se basant sur les
déclarations des droits de l'Homme. L'Union Européenne, à titre exemple, a pu construire un
fondement juridique puissant en ce qui concerne l'outil informatique. Nous citons ici une
directive et une recommandation.

a) La directive 95/46/CE : constitue le texte de référence, au niveau européen, en matière

de protection des données à caractère personnel. Publiée au Journal officiel de l'Union
européenne du 23 novembre 1995, elle est officiellement intitulée "directive 95/46/CE du
Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données". La directive vise à harmoniser les normes des différents
4
 États-membres en matière de protection des données personnelles, ceci afin de faciliter
leur libre-circulation à des fins, notamment, commerciales. Les données personnelles ne
doivent pas être soumises à un traitement automatisé, sauf si celui-ci remplit les exigences
posées par trois principes: proportionnalité, transparence, et finalité légitime. La directive
reprend les principes généraux et les droits édictés dans la loi Informatique et libertés de
1978 et qui forment le cadre juridique général de la protection des données personnelles
dans le domaine de l'informatique, parmi lesquels le droit d'accès et de rectification des
données, le principe du consentement, etc. Cette directive a pu garder les principes et les
droits suivant pour la protection des données personnelles des utilisateurs sur Internet :

Le principe de finalité : Les données à caractère personnel ne peuvent être recueillies et

traitées que pour un usage déterminé et légitime, correspondant aux missions de
l’établissement, responsable du traitement. Tout détournement de finalité est puni par des
sanctions pénales.

Le principe de proportionnalité : Seules doivent être enregistrées les informations pertinentes

et nécessaires pour leur finalité.

Le principe de pertinence des données : Les données personnelles doivent être adéquates,
pertinentes et non excessives au regard des objectifs poursuivis. Le principe de durée limitée
de conservation des données :C’est ce que l’on appelle le droit à l’oubli. Les informations ne
peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de
conservation doit être établie en fonction de la finalité de chaque fichier. Au-delà, les données
peuvent être archivées, sur un support distinct.

Le principe de sécurité et de confidentialité : Le responsable du traitement, est astreint à une

obligation de sécurité. Il doit faire prendre les mesures nécessaires pour garantir la
confidentialité des données et éviter leur divulgation.

Le principe de transparence : La loi garantit aux personnes l’information nécessaire relative

aux traitements auxquels sont soumises des données les concernant et les assure de la
possibilité d’un contrôle personnel. Le responsable du traitement de données personnelles
doit avertir ces personnes dès la collecte des données et en cas de transmission de ces
données à des tiers.

Le principe du respect du droit des personnes :

5
1. Informer les intéressés : toute personne a le droit de savoir si elle est fichée et, si oui, dans
quel(s) fichier(s), c'est le droit d'information, droit fondamental sur lequel se basent tous les
autres.

2. Le droit d’opposition : ce droit autorise toute personne à s’opposer, pour un motif légitime,
à ce qu'elle figure dans un fichier. De plus, elle peut s’opposer, sans justification, à ce que les
données la concernant soient utilisées à des fins de prospection, en particulier commerciale.

3. Les droits d’accès : il permet, en justifiant de son identité, à une personne de consulter ses
données personnelles. Celle-ci donne la possibilité de vérifier l'exactitude des données et d'en
obtenir une copie pour un coût n'excédant pas celui de la reproduction.

4. Le droit de rectification : il permet à toute personne de rectifier, compléter, actualiser,

verrouiller ou faire effacer des données erronées la concernant.

b) Recommandation CM/Rec(2014)6 du Comité des Ministres. Ces recommandations sont

présentées sous forme d'un guide qui est présenté par le document officiel comme étant :
"Le guide se fonde sur la Convention européenne des droits de l’homme et d’autres
conventions et instruments du Conseil de l’Europe qui concernent différents aspects de la
protection des droits de l’homme. Tous les Etats membres du Conseil de l’Europe ont
l’obligation de garantir le respect, la protection et la jouissance des droits et libertés
énoncés dans les instruments qu’ils ont ratifiés. Le guide s’inspire en outre de
l’interprétation continue de ces droits et libertés par la Cour européenne des droits de
l’homme et dans d’autres instruments juridiques pertinents du Conseil de l’Europe. Le
guide n’instaure pas de nouveaux droits de l’homme ni de nouvelles libertés
fondamentales. Il s’appuie sur les normes en vigueur et sur les mécanismes d’application
existants".
Ces recommandations définissent les chapitres suivants : • Accès et non-discrimination, •
Liberté d’expression et d’information, • Réunion, association et participation, • Protection
de la vie privée et des données personnelles, • Education et connaissances générales, •
Enfants et jeunes, • Voies de recours.

II. La maîtrise de son identité numérique

6
II.1 L'identité sur Internet

L'environnement numérique est doté d'un ensemble de caractéristiques particulières qui le

diffèrent du monde réel :

• Pendant sa navigation, l'utilisateur laisse, obligatoirement, des traces derrière lui. Au

minimum, le serveur distant peut garder l'adresse IP, le type du navigateur, le type du
système d'exploitation ainsi que l'historique des pages visitées sur le site.

• La navigation donne un faux sentiment d'anonymat qui peut pousser l'utilisateur à divulguer
des informations personnelles.

• Les fondements techniques de la navigation sur Internet (sur le web) facilitent la collecte
transparente des données des utilisateurs. Ces caractéristiques nous poussent à nous
intéresser à une notion particulière : l'identité numérique.

a) L'identité numérique : Par identité numérique, on entend tous les moyens (logiciels ou
matériels) qui permettent d'identifier de manière fiable et unique une personne.
L'ensemble des activités qu'un utilisateur réalise sur Internet contribue à définir son
identité numérique

b) Maîtriser son identité numérique

• Utiliser une adresse e-mail différente pour chaque activité (réseaux sociaux, demande
d'emploi, etc.),

• Utiliser les adresses gratuites lorsque vous espérez garder votre anonymat (un compte chez
google.com sera plus anonyme qu'un compte chez univ-gafsa.tn),

Illustration 1: L'identité numérique.

7
•Choisir les noms adéquats pour les différentes adresses e-mail (l'adresse utilisée dans un
contexte professionnel ne doit pas sembler aléatoire),

• Utiliser les navigateurs sécurisés et activer la navigation privée sur les postes publiques.