Post on 28-Jun-2015
Théories et cas pratique
M1CCAAmaaouch RachidLarrondo ChristopherPeyras Jean-NöelFavereau Etienne
L’informatique est omniprésente et indispensable
Développement des SI = accroissement des risques
Le SI est le « système nerveux » de l’entreprise
L’audit est un moyen préventif bien qu’utilisé trop souvent à
titre curatif (58% des cas)
L’audit informatique s’impose, il y a une prise de conscience
A vu le jour dans les 60’s aux USA
I- Généralités
A- Objectifs
B- Démarche générale
C- Conduite de la mission
II- Les outils de l’auditeur
A- Normes
B- Méthodes
C- Critères de choix
III- Cas pratique
L’audit correspond au besoin de faire faire un diagnostic par un expert indépendant pour établir un état des lieux, définir des points à améliorer et obtenir des recommandations pour faire face aux faiblesses de l’entreprise.
L’auditeur intervient en tant que mesureur des risques, il identifie faiblesses, impacts, solutions et les risques si les mesures ne sont pas prises.
L’audit Informatique est un terme largement utilisé, il couvre donc des réalités souvent différentes, et certaines prestations réalisées sous le terme d’ « Audit Informatique » sont en fait des missions de Conseil.
Le champ d’action principal de l’Audit Informatique doit rester l’outil informatique au sens large, en y incluant la bureautique (application, matériels…) et de plus en plus les outils liés à l’usage des technologies de l’Internet…
En termes de fiabilité de l’environnement informatique
a) L’intérêt d’un contrôle interne
b) Les acteurs de l’audit informatique
c) Composantes d’un audit de l’activité informatique
d) Méthodes d’audit de l’activité informatique
a) L’intérêt d’un contrôle interneSelon l’OEC, le contrôle interne est: l’ensemble des sécurités contribuant à la maîtrise de
l’entreprise. Il a pour but:
- d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information
- l’application des instructions de la direction et favoriser l’amélioration des performances.
Il se manifeste par l’organisation, les méthodes et procédures de chacune des activités de l’entreprise pour maintenir sa pérennité
bonne organisation d’ensemble de l’activité « informatique »
existence de procédures existence de méthodes
Finalité
réduire les risques de malveillance des procédures formalisées bien comprises amélioration de l’efficacité de l’activité informatique.
b) Les acteurs de l’audit informatique
direction de l’entreprise
responsable informatique
contrôleurs externes (commissaires aux comptes, administration fiscale, banques…)
c) Composantes d’un audit de l’activité informatique
examen de l’organisation générale du service,
examen des procédures liées au développement
et la maintenance des applications,
examen des procédures liées à l’exploitation des
chaînes de traitement,
examen des fonctions techniques.
d) Méthodes d’audit de l’activité informatique
entretiens avec le personnel du service informatique et les utilisateurs du service
contrôles de documents ou d’états
outils commercialisés (progiciel)
méthodes (COBIT, MEHARI…)
En termes d’efficacité et de performances
mise en place d’un plan de secours étude approfondie de la performance et du
dimensionnement des machines adéquation aux besoins des logiciels système
« En d’autres termes l’audit d’efficacité, constitue une mission mandatée soit par la direction générale, afin de s’interroger sur le coût de son informatique, soit par le responsable du service, de manière à vérifier la pertinence de sa configuration ».
En termes de fiabilité d’une application informatique
Objectif premier:« Se prononcer sur la qualité d’une application donnée ».
Types de contrôle:
Contrôle de la fiabilité d’une application, ou son utilisation Contrôle de l’adéquation des logiciels développés aux
spécifications fonctionnelles Recherche de fraude ou erreurs Contrôle de la qualité des méthodes de développement des
logiciels ou contrôle de la qualité des procédures d’exploitation
« La compétence technique de l’auditeur est un point fondamental pour la réussite de la mission, il implique aussi de disposer de certaines qualités humaines, relationnelles, et des qualités de gestionnaire et d’organisateur. »
1) Intervenants
2) Plan pluriannuel d’audit
1) Intervenants
a) Auditeur externe contractuel
société spécialisée en ingénierie et services informatique(SSII)
free-lanceLeurs missions
examen de contrôle interne de la fonction informatique, audit de la sécurité physique du centre de traitement, audit de la confidentialité d’accès audit des performances
Domaine Pourcentage
Sécurité logique 80%
Conduite de projets 68%
Revue environnement informatique 66%
ERP / Revue d'application 58%
Production 54%
Maitrise d'ouvrage et Cahier des charges 54%
Analyse de données 50%
Développement et rôle des études 46%
Recettes 42%
Qualité du code et réalisation 30%
Autre 20%
Source: enquête AFAI 2003
b) Auditeur interne
Les missions susceptibles d’être confiées à l’auditeur informatique interne sont a priori les mêmes que celles susceptibles d’être confiées à l’auditeur externe.
Cependant, l’auditeur interne qui dépend soit de la direction informatique ou d’un service d’audit, se trouve confronté à un problème délicat : Comment couvrir dans un délai raisonnable l’ensemble des risques informatiques ?
c) Commissaire au comptes
o Rôle
Le commissaire au compte a pour rôle de vérifier que les comptes présentés sont réguliers et sincères, et qu’ils donnent une image fidèle de la situation de l’entreprise. Leur présence est obligatoire dans la plupart des sociétés commerciales.
o Approche en environnement informatique
Source: CRCC de Paris
2) Plan pluriannuel d’audit
Un plan annuel est définit sur une période de 3 à 4 ans, pour couvrir l’ensemble des composantes du risque informatique, par les auditeurs internes qui vont fixer des programmes annuels de travail détaillés.
Le programme de travail annuel reprend, en précisant les dates et modalités d’intervention, les missions prévues au plan pluriannuel.
Exemple de plan pluriannuel
Démarche
a) la lettre de mission
Objectifs de la mission Périmètre de la mission Période d’intervention Contraintes à prévoir pour les services audités Méthode Constitution de l’équipe Documents préparatoires
b) Le programme de travail
Structure de l’entreprise concernée
Domaines fonctionnels
Applications informatiques
Matériel et réseaux
c) Enquête préalable délimiter les besoins et analyser le système d’information de
l’audité interroger en collaboration avec l’audité, les utilisateurs et
les entreprises qui participent au fonctionnement actuel du SI
d) Réunion de synthèse s´assurer :
- que les questions de l´auditeur ont été bien comprises- que les réponses ont été bien interprétées
e) Rapport d’audit
Le rapport est ensuite rédigé. Il doit être clair et non porté
sur la technique
≠mission d´expertise: il proposera un plan d’action pour
améliorer la performance
Comment choisir un auditeur informatique ?
Trois critères majeurs sont donc à retenir :
- l´indépendance de l´auditeur
- professionnel du diagnostic
- sa capacité à remettre des recommandations.
Que représente un audit en termes de coût et d’économies pour l'entreprise ?
Coût:Avec un prix moyen de la journée à environ 1000 euros, le Groupement national des professionnels de l´informatique (GPNI) estime le coût global de la procédure entre 500 et 3000 euros.
Economies:- Economies immédiates lors du constat de dépenses inutiles- Réduction des risques entrainant réduction de coût
o ISO 27002
Généralités: Créée en 2000 (ISO 17799), Renommée en 2005
Objet: sécurisation de l’information
=> Confidentialité, intégrité, disponibilité
Caractère facultatif => guide de recommandations
4 étapes dans la démarche de sécurisation:
- Liste des biens sensibles à protéger - Nature des menaces- Impacts sur le SI- Mesures de protection
o ISO 27001 Généralités: Créée en 2005 Objet: Politique du Management de la Sécurité de l’Information
=> établir un Système de Management de la Sécurité de l’Information :
- Choix des mesures de sécurité- Protection des actifs
Utilisation du modèle PDCA
6 domaines de processus :
- Définir une politique de sécurité- Définir le périmètre du SMSI- Evaluation des risques- Gérer les risques identifiés- Choisir et mettre en œuvre les contrôles- Rédiger Statement Of Applicability (charte du SMSI)
Conditions remplies => certification ISO 27001
o COBIT
Généralités : Créée en 1996 par l’ISACA / AFAI Structure Contenu:
- Synthèse- Cadre de référence- Guide d’audit- Guide de management- Outils de mise en oeuvre
Intérêts:- Lien entre les objectifs de l’entreprise et ceux de technologies
d’information- Intégration des partenaires d’affaires- Uniformisation des méthodes de travail- Sécurité et contrôle des services informatiques- Système de gouvernance de l’entreprise
o MEHARI Généralités : Créée en 1995 par le CLUSIF, remplaçant MARION Structure:
Intérêts:- Appréciation des risques aux regards des objectifs de sécurité- Contrôle et gestion de la sécurité
o EBIOS Généralités : Créée en 1995 par la DCSSI Structure:
Intérêts:- Construction d’une politique de sécurité basée sur une analyse des risques- L’analyse des risques repose sur l’environnement et les vulnérabilités du SI
Origine géographique de la méthode
Langue
Existence de logiciels adaptés
Ancienneté = capacité de recul, témoignages
Qualité de la documentation
Facilité d’utilisation
Compatibilité avec les normes
Le coût (matériel et humain)
La popularité, la reconnaissance
Généralement, combinaison de méthodes lors d’un audit
Rappel: certaines associations ont l’obligation de nommer un CAC:
l’association exerce une activité économique et remplit deux des critères suivants :
50 salariés, 3,1 millions CA, 1,55 million de bilan
l’association perçoit des financements publics supérieurs à 153 000€.
les associations reconnues d’utilité publique
les associations émettant des obligations
les associations collectant la participation des employeurs à l’effort de construction
les organismes de formation remplissant deux des trois critères suivants: 3 salariés,
153 000€ de CA, 230 000€ de bilan
les associations sportives affiliées collectant des recettes d’un montant supérieur à
380 000€ et employant des sportifs dont la masse salariale excède 380 000€
les associations et les fondations bénéficiaires de plus de 153 000 euros de dons
Auditeur: Commissaire aux comptes
Audité:
Nature: Association Affres(association loi 1901)
Chiffre d’affaires: 30 millions €
Accessibilité des imprimantes
Accès aux applications
Topologie du réseau
Absence de véritable administrateur
Procédure de sauvegarde des données
Organisation de la comptabilité informatique
Base de données
Mieux répartir les imprimantes dans les locaux
Restreindre l’accès aux applications à la fonction de
l’utilisateur
Créer 2 sous-réseaux (DAF et E&R) indépendants
Nommer un administrateur qualifié
L’administrateur sera chargé des sauvegardes, en veillant à
les sécuriser
Valider l’intégration des écritures tous les jours
Modifier la structure de la BD informatisée
L’audit informatique s’est imposé et s’inscrit dans l’avenir
des entreprises
La normalisation est synonyme de développement et de
crédibilité
Le métier d’auditeur informatique recrute
www.afai.fr
www.journaldunet.com
www.indexel.net
www.aud-it.ch
www.guideinformatique.com
www.bpms.info
Les techniques de l’audit informatique, Yann Derrien