Audit Des Systemes d Information

MASNAOUI 1

Journée de Réflexion sur l’Audit

��

ENCG Agadir, le 1 Mars 2003��

Démarche d ’audit des Systèmes d ’information

Nabil BAYAHYA, Directeur AssociéMasnaoui Mazars

MASNAOUI 2

Plan de la présentation

1. Notions de base des de l ’audit des SI

2. Présentation de 3 domaines d ’Audit des SI

2.1. Audit de la fonction informatique

2.2. Audit des projets

2.3. Audit de la Sécurité3. Conduite d ’une mission d ’audit

MASNAOUI 3

Contexte des SI dans l ’entreprise

Les systèmes d ’information ont évolué depuis les années 70

pour s ’octroyer une importance cruciale dans la vie des

entreprises en tant que :

� Support à l ’outil de production qui contribue à la réalisation

de l ’objet de l ’entreprise (système de facturation, encaissement,

trésorerie, comptabilité, GPAO, GMAO ….)

�Référentiel du patrimoine de l ’entreprise et de son savoir faire

(fichier clients, processus de gestion, KM ... )

� Moyen de renforcement du contrôle et de maîtrise desprocessus de gestion (contrôle informatique, workflow)

… . Ces constats génèrent un niveau de dépendance del ’entreprise vis à vis de son système d ’information

MASNAOUI 4

Risquesinformatiques

Contexte des SI dans l ’entreprise

Certes, le niveau d ’intégration du SI dans les processus de gestionde l ’entreprise présente un réel tremplin pour sa croissance et sondéveloppement ...…mais, une telle intégration présente d ’inhérents risques devulnérabilité de l ’entreprise

Inadéquationau processus

de gestion Non conformitéaux dispositions

légalesAbsence

d ’informationdécisionnel le

Inefficience duContrôle

Manqued ’évolutivité del ’architectureinformatique

Accès nonautorisésAugmentatio

n des coûtsinformatique

s

Manque deFiabilité des

traitements etdes données

Continuitéd ’exploitationde l ’entreprise

...

Inefficience dela politique de

sécurité

Absence decompétences

qualifiées

MASNAOUI 5

Préoccupations des directions générales

� Le système d ’information de l ’entreprise contribue-t-il àaméliorer sa profitabilité ?

� Comment mesurer les bénéfices liés aux investissementsinformatiques ?

� La stratégie informatique est-elle conforme à la stratégie del ’entreprise ?

� Peut-on diminuer les coûts des fonctions administrativesen dépensant plus en informatique ?

� Les données produites par les applications informatiquespermettent-elles de prendre des décisions efficaces ?

� Les applications fournissent des informations exactes,exhaustives, authentiques ?

� Le système informatique est-il suffisamment protégé contreles accidents, les malveillances et les erreurs ?

� ...

MASNAOUI 6

Problématiques du Système d ’information

Les problématiques du système d ’information se manifestent tout le long de son cyclede vie selon une approche itérative:

Choix et orientation dusystème d ’information

Mise en œuvre etdéveloppement du SI

Exploitation du SI

� Quelle adéquation avec les orientations stratégiques et leplan de développement du SI ?

� Comment faire évoluer le SI actuel vers le SI cible ?� Quels choix technologiques retenir ?� Quelle organisation pour le pilotage des projets

informatiques ?� ….

� Quelle adéquation avec les orientations stratégiques et leplan de développement du SI ?

� Comment faire évoluer le SI actuel vers le SI cible ?� Quels choix technologiques retenir ?� Quelle organisation pour le pilotage des projets

informatiques ?� ….

� Quelle adéquation entre les applications en exploitation etles besoins des utilisateurs

� Quelles sont les mesures de contrôles et de sécurité prisesen compte dans les applications informatiques

� Quelles sont les procédures d ’exploitation du SI� ...

� Quelle adéquation entre les applications en exploitation etles besoins des utilisateurs

� Quelles sont les mesures de contrôles et de sécurité prisesen compte dans les applications informatiques

� Quelles sont les procédures d ’exploitation du SI� ...

� Quelle choix pour la mise en œuvre du plan dedéveloppement du SI : Choix de progiciel,développement spécifique, solutions interfacées

� Quelle démarche de conduite de projet informatiques� Quelle organisation et compétences pour la conduite

des projets informatiques� ...

� Quelle choix pour la mise en œuvre du plan dedéveloppement du SI : Choix de progiciel,développement spécifique, solutions interfacées

� Quelle démarche de conduite de projet informatiques� Quelle organisation et compétences pour la conduite

des projets informatiques� ...

MASNAOUI 7

Périmètre des missions d ’audit des systèmes d’information

REVUE DES CONTRÖLES GENERAUX INFORMATIQUES

AUD

IT :

APP

LIC

ATIO

NS

INFO

RM

ATIQ

UE

S

URBANISATION DU SYSTEME D ’INFORMATION

AUD

IT:

ALIG

NE

ME

NT

STR

ATE

GIQ

UE

AUD

IT :

FO

NC

TIO

N

INFO

RM

ATIQ

UE

S


Mise en œuvre etdéveloppement

du SI

AUD

IT:

PRO

JET

S

INFO

RM

ATIQ

UE

S

AUD

IT :

Sécu

rité

et

Rés

eaux

Exploitationdu SI

MASNAOUI 8

Démarche d ’audit

• Objectif :� S ’assurer que tout se passe bien conformément aux règles et

aux usages professionnels

� Pour toutes les faiblesses importantes détectées, évaluer etjustifier les risques, et

� Proposer des actions correctives

• Moyens� Observer, analyser et juger des faits

� Evaluer l ’adéquation et le fonctionnement des activités parcomparaison avec un référentiel

� Appliquer des démarches cohérentes

• Domaines� Toutes les fonctions de l ’entreprise peuvent être auditées

MASNAOUI 9

Ne pas confondre audit, expertise et conseil

� Audit– Démarche de généraliste– Collecte de faits– Analyse de processus– Recommandations� Expertise– Spécialiste d ’un domaine– Approche technique– Mesures de performances– Recherche de solutions� Conseil– Connaissance d ’un domaine– Approche généraliste– Axes d ’amélioration– Pilotage du changement

MASNAOUI 10

Trois grands types d ’audits

� L ’audit de conformité (audit de régularité)

– Vérification de l ’existence de normes

– La direction générale fixe des règles et des procédures

– S ’assurer qu ’elles sont effectivement appliquées

– Comparaison par rapport à un référentiel

� L ’audit d ’efficacité (audit de progrès)

– Appréciation de la qualité des règles et des procédures par rapportaux objectifs

– Vérification de l ’impact de ces règles

– Recommandation d ’améliorations

– Etablir un plan d ’action

MASNAOUI 11

Trois grands types d ’audits

� L ’audit d ’efficience (audit économique)

– Analyser les moyens affectés aux opérations

– Apprécier l ’utilisation des ressources

– Proposer des moyens d ’optimiser ces moyens

� Attitude réservée face aux audits sanctions

MASNAOUI 12

Quelques Référentiels de l ’audit desSystèmes d ’information

� COBIT (Contrôle Objectives for Information and related Technology)

– Etablis par l ’ISACA (Information Systems Audit and Control

Assiociation)

– Traduit et diffusé par l ’AFAI (Association française de l’audit et

du conseil informatique)

� SAC Report (Contrôle et audit du système d ’information)

– Etablis par IAA

– Traduit et diffusé par l ’IFACI, IAI

Le référentiel ne fait pas l ’auditeur...mais il peut l ’aider

MASNAOUI 13

1. Notions de base de l ’audit des SI




2.3. Audit de la Sécurité

3. Conduite d ’une mission d ’audit

MASNAOUI 14

Audit de la fonction informatique

• Plan

� Questions usuelles de la direction générale concernant lafonction informatique

� Positionnement et structure de la fonction informatique

� Les bonnes pratiques concernant la fonction informatique

� Les points de contrôles

� Exemples de mission d ’audit

MASNAOUI 15


• Questions usuelles de la direction générale� Est-ce que les utilisateurs sont satisfaits des prestations

informatiques ?� Est-ce que l ’informatique perturbe vraiment le fonctionnement

des services ?� Est-ce que l ’informatique est correctement pilotée ? Y-a-t il un

comité de direction chargé de l ’informatique ?� Quel doit être le positionnement du responsable informatique ?� Combien ça coûte réellement ? Et combien ça rapporte ?� Faut-il décentraliser l ’informatique dans les unités ? Que doit-

on garder en central ?� Comment piloter de manière efficace les projets informatiques ?� Est-ce que les personnes travaillant au sein du service

informatique sont compétences ?

MASNAOUI 16


• Positionnement et structure de la fonction informatique

� Le comité de planification ou de pilotage de l ’informatique

� Position des services informatiques dans l ’organisation &Séparation des tâches

� Intervention de l ’informatique dans l ’organisation et lesprocessus

� Responsabilité de l ’assurance qualité

� Responsable de la sécurité Propriété des données et desapplications

� Gestion du personnel informatique et des sous-traitants

MASNAOUI 17


• Les bonnes pratiques concernant la fonction informatique

� Les relations entre la direction générale et les utilisateurs

� La clarté des structures et des responsabilités

� L ’existence de dispositifs de mesures

� Compétence et qualification du personnel

MASNAOUI 18


• Les relations entre la direction générale et les utilisateurs

� La mission de la direction informatique doit être clairementdéfinie et un document écrit doit la décrire.

� Les objectifs et les règles de fonctionnement de l ’informatiquedoivent être connus des décideurs et des utilisateurs.

� Un comité de direction doit prendre des décisions concernantl ’informatique et des comptes-rendus doivent être publiés.

� La direction de la fonction informatique doit périodiquementfaire réviser les plans concernant l ’informatique

MASNAOUI 19


• La clarté des structures et des responsabilités

� Les responsables opérationnels doivent avoir une relation departenariat avec la fonction informatique

� La fonction informatique doit avoir la responsabilité del ’architecture du système informatique

� La fonction informatique doit avoir la responsabilité del ’assurance qualité du système informatique

� La fonction informatique doit avoir la responsabilité de lasécurité physique et logique des actifs informationnels

MASNAOUI 20


• L ’existence de dispositifs de mesures

� C ’est un vaste programme

� Un suivi économique est nécessaire mais n ’est pas suffisant.Généralement c ’est un suivi budgétaire mais cela peut être aussiun mécanisme de refacturation

� Il faut que l ’informatique rend des comptes aux différentspartenaires de l ’informatique.

� Mais la réalité montre que ce n ’est pas facile à faire et on parlesouvent du « manque de transparence de l ’informatique ».

MASNAOUI 21


• L ’existence de dispositifs de mesures

� Il est nécessaire de mieux communiquer sur les objectifs, lespolitiques mises en oeuvre, les ressources affectées et leurutilisation

� Et surtout il est nécessaire de contrôler l ’activité informatique :gestion de projet, CAE, gestion des investissements,...

MASNAOUI 22


• Compétences et qualification du personnel

� Les besoins en personnel informatiques doivent périodiquementêtre évalués (au moins une fois par an).

� Une supervision effective du personnel informatique doit êtrefaite notamment pour juger s ’il dispose des moyens pour faireson travail et s ’il est performant.

� Tous les postes doivent disposer d ’une description de postemettant en avant les compétences et l ’expérience nécessaire.

� Il doit exister une claire séparation des tâches notamment entrela maintenance des applications et l ’exploitation.

MASNAOUI 23


• Compétences et qualification du personnel

� Le personnel clé doit être identifié

� Le personnel sous contrat doit faire l ’objet d ’un contrôleparticulier notamment pour s ’assurer que les actifsinformationnels sont garantis.

MASNAOUI 24


• Les points de contrôles

� Rôle des directions dans le système d ’information

� Existence de politique, de normes et de procédures

� Responsabilité du service informatique : relations maîtrised ’oeuvre-maîtrise d ’ouvrage

� Existence de dispositifs de contrôle interne

MASNAOUI 25


• Rôle des directions dans le système d ’information

� Il doit exister un comité informatique

� Il peut avoir différents noms : commission informatique, comitéde pilotage,...

� Il est rattaché au directeur général

� Les principaux décideurs de l ’entreprise doivent y participer

� Il doit se réunir régulièrement

� L ’essentiel des orientations informatiques doit être débattu ausein de ce comité

MASNAOUI 26


• Rôle des directions dans le système d ’information

� Un suivi régulier du schéma directeur doit être fait

� Etudier le positionnement de ce comité dans la structure del ’entreprise

� Examiner les comptes-rendus de ce comité sur un an.

� Rencontrer quelques membres du comité.

MASNAOUI 27


• Responsabilité du service informatique (relations maîtrised ’oeuvre-maîtrise d ’ouvrage)

� Les responsabilités du service informatique doivent êtreclairement définies

� La position du service informatique dans l ’organigramme del ’entreprise doit être claire.

� Le service informatique doit avoir une autorité suffisante pourfaire appliquer les mesures nécessaires pour atteindre lesobjectifs qui lui ont été fixés.

MASNAOUI 28


• Responsabilité du service informatique (relations maîtrised ’oeuvre-maîtrise d ’ouvrage)

� Examiner les différents documents pour apprécier la clarté desdéfinitions des responsabilités

� Interroger différents responsables pour apprécier leur degré deconnaissance des responsabilités respectives

� Vérifier le respect de la séparation des tâches

MASNAOUI 29


• Existence de dispositifs de contrôle interne

� On doit disposer d ’une stratégie formalisée du développementdu système d ’information

� Les facteurs de risques doivent être repérés

� Des priorités doivent être fixées de manière claire

� Les choix doivent être faits en tenant compte des enjeuxéconomiques

� Mesurer leur impact sur les performances de l ’entreprise

� Examiner les principales procédures de l ’entreprise et apprécierl ’impact de l ’informatique

MASNAOUI 30


• Existence de dispositifs de contrôle interne

� Analyser les missions des auditeurs internes et externes et leursimpacts

� Evaluer l ’impact des procédures de l ’assurance qualité

• Exemples de mission d ’audit

� Evaluation de l ’efficacité d ’un service informatique

� Audit de la procédure de suivi des coûts informatiques

MASNAOUI 31


• Evaluation de l ’efficacité d ’un service informatique

� La direction générale a des doutes sur l ’efficacité de son serviceinformatique

� En fait elle a des doutes sur les compétences du responsableinformatique

� Effectivement le responsable a du mal à faire son travail dans debonnes conditions

� Peu de contact avec la direction générale

� Mauvaises relations avec les utilisateurs

MASNAOUI 32


• Evaluation de l ’efficacité d ’un service informatique

� Mise en place d ’un comité de direction trimestriel consacré àl ’informatique

� Redéfinition du rattachement hiérarchique

� Rédaction des principales politiques, procédures et normes àappliquer.

MASNAOUI 33


• Audit de la procédure de suivi des coûts informatiques

� Il existe une comptabilité analytique permettant de suivre lescoûts informatiques

� Les résultats de cette comptabilité sont contestés par lesprincipaux décideurs

� L ’analyse de la méthode montre qu’elle est globalement bonne

� Ses résultats montre bien les problèmes qui se posent etnotamment les erreurs qui sont commises

� Par contre cette CAE peut être simplifiée et améliorée

MASNAOUI 34


• Audit de la procédure de suivi des coûts informatiques

� Rédiger chaque mois une note d ’analyse des coûtsinformatiques

� Simplifier les traitements les plus délicats

� Réduire le coût des opérations anormalement coûteuses

MASNAOUI 35


• Exemple de mission d ’audit : Evaluation de l ’efficacité d ’unservice informatique� La DG a des doutes sur l ’efficacité de son service informatique

� En fait elle a des doutes sur les compétences du DSI

� Effectivement le responsable a du mal à faire son travail dans debonnes conditions

� Peu de contact avec la DG

� Mauvaises relations avec les utilisateurs

� Mise en place d ’un comité de direction trimestriel consacré au SI

� Redéfinition du rattachement hiérarchique

� Rédaction des principales politiques, procédures et normes àappliquer.

MASNAOUI 36







MASNAOUI 37

Audit des projets

• Plan

� La notion de projet

� Particularités des projets informatiques

� Tenir les délais et les budgets

� Evaluation des risques liés aux projets

� Les bonnes pratiques concernant les projets informatiques

� Les points de contrôles

� Exemples de mission d ’audit

MASNAOUI 38

Audit des projets

• La notion de projet

� Un projet c ’est d ’abord une équipe

� C ’est ensuite un délai– Une date de début– Une date de fin

� C ’est aussi une organisation spécifique

� Et, bien entendu, un budget particulier

� Rôle clé du chef de projet dans la réussite du projet

� C ’est une activité voisine de celle du :– Bâtiment– Ingénierie

MASNAOUI 39

Audit des projets

• Particularités des projets informatiques

� Le pilotage des projets informatiques est une opérationdélicate

– Dérapage sur les délais– Dérive fréquente des coûts– Nécessité de mettre en place un pilotage rigoureux

� La qualité des applications informatiques– Difficulté de valider la qualité d ’une application– Aspect subjectif de la qualité– Nécessité de mettre en place des procédures de certification de

la qualité

MASNAOUI 40

Audit des projets

• Tenir les délais et les budgets

� Gestion de projet :– Découper– Evaluer– Planifier– Animer– Suivre– Ajuster

� Découpage du projet en étape :– Conception générale– Conception détaillée– Développement– Test– Installation et déploiement– Bilan

MASNAOUI 41

Audit des projets

• Mettre en place un système de pilotage efficace

� Un découpage en phase

� Un livrable à la fin de chaque phase

� Pilotage des phases :– Valider les résultats en fin de phase– Valider les objectifs de la phase suivante– Informer le comité de pilotage

� Procédure d ’assurance qualité :– Normes et standards– Contrôles– Conseils

MASNAOUI 42

Audit des projets

• Evaluation des risques liés aux projets

� Efficacité de l ’organisation de la fonction d ’études :– Système de management– Gestion des ressources– Productivité des études– Formation

� Sur un ensemble de projets rechercher les causes de dérapages :– Les fonctions livrées– Les coûts– Les délais

� Efficacité de la méthode de conduite des projets :– La gestion de projet– Le processus de développement– L ’assurance qualité– Le système de pilotage

MASNAOUI 43

Audit des projets

• Les bonnes pratiques concernant les projets informatiques

� Le respect des phases du projet

� Existence d ’une méthodologie de conduite de projets

� Conformité des projets aux objectifs généraux de l ’informatiqueet à ceux de l ’entreprise

� Qualité des études amonts : expression des besoins, cahier descharges

� Importance des tests, notamment des tests utilisateurs

MASNAOUI 44

Audit des projets

• Les points de contrôles

� Audit du processus de développement

� Existence de processus, de méthodes et de standards

� Vérification de l ’application de la méthodologie

� Analyse des causes d’échecs de projet

� Adéquation des fonctions aux besoins des utilisateurs

MASNAOUI 45

Audit des projets

• Exemple de mission d ’audit : Audit d ’un grand projet à la fin ducahier des charges� Les équipes de MOE et MOA ont fini de rédiger le cahier de

charges� La direction s ’interroge sur le document ainsi produit� L ’analyse du document montre qu’il est très complet� Par contre, le projet sera très lourd et très complexe à

développer� Et l ’application risque de poser des problèmes de performances

(accès aux bases de données)� Réaliser un benchmark du système d ’interrogation d ’une

transaction simple� Limiter l ’intégration des fonctions� Planifier la mise en place de versions successives

MASNAOUI 46

Audit des projets

• Audit d ’un projet en RAD� On a développé un projet vital pour l ’entreprise à l ’aide d ’une

approche RAD, Rapid Application Developpement

� Après la mise en place réussite d ’une partie du système, leprojet s ’enlise

� La méthode RAD permet de mettre en place rapidement uneapplication (3mois)

� Par contre il faut que les utilisateurs et les informaticiens soientréellement disponibles

� L ’équipe mixte sature

� Segmenter le projet en plusieurs sous-projets

� Confier chaque sous-projet à une équipe différente

� Réaliser la partie centrale du projet de manière classique

MASNAOUI 47







MASNAOUI 48

Audit de la sécurité

• Plan

� Existence de risques importants liés aux systèmes d ’information

� Quatre notions fondamentales

� Les facteurs de limitation des risques

� Les bonnes pratiques concernant la sécurité

� Les points de contrôle

� Exemples de missions d ’audit

MASNAOUI 49


• Existence de risques importants liés aux systèmes d ’information� Il existe en informatique des risques importants liés à la nature

même de cette activité� Existence d ’un patrimoine important en matériel informatique

(vol, dégradation,..) et logiciel (piratage)� Importance de la valeur des données stockées et des traitements

effectuées� Niveau de risques importants pour l ’entreprise� Il est nécessaire de mettre en place une organisation adaptée

avec des outils, des hommes et des méthodes� Il doit exister une politique au niveau de l ’entreprise (sécurité

physique et sécurité logique)� Il est nécessaire qu’il existe un responsable de la sécurité

informatique

MASNAOUI 50


• Quatre notions fondamentales

� La menace

� Le facteur de risque

� La manifestation du risque

� La maîtrise du risque

MASNAOUI 51


• La menace� Il existe de nombreuses menaces dans le domaine de

l ’informatique :– Les erreurs– Les malveillances– Les accidents– ....

� Elles concernent :– Les biens matériels

” Les bâtiments” Le réseau” Les équipements informatiques

MASNAOUI 52


• La menace– Les biens immatériels

” des logiciels (de base, applications,...)” des données de gestion” des ressources humaines

MASNAOUI 53


• Le facteur de risque� Un facteur de risque est une cause de vulnérabilité due à une

faiblesse de l ’organisation, des méthodes, des techniques desoutils ou du système de contrôle

� Les risques informatiques peuvent être accrus de différentesmanière :

– Absence de politique informatique– Faible participation des utilisateurs– Méthodes inadaptées aux objectifs– Obsolescence des techniques utilisées– Compétences insuffisantes– Faiblesse des processus de gestion– ...

� La médiocrité du management informatique est un facteuraccroissant le niveau de risque

MASNAOUI 54


• La manifestation du risque� La destruction physique du centre de calcul (incendie,

inondation,...) est spectaculaire mais en fait peu fréquente� Le vrai risque est invisible� Il se manifeste de différentes manières :

– Pénétration du réseau par des intrus– Vols d ’informations– Concurrence faussée– Falsification des données– ...

� L ’entreprise victime d ’un concurrent risque de ne s ’enapercevoir que lorsqu’elle va perdre des marchés et des clientssans savoir pourquoi

MASNAOUI 55


• La maîtrise du risque� Méthodes pour identifier les risques en terme de menace ou de

facteurs de risques (Marion)� Identification des parades� La sécurité physique

– Contrôle d ’accès aux locaux– Protection incendie– ...

� La sécurité logique– Contrôle d ’accès aux systèmes, aux programmes, aux données– ....

� Importance du plan de secours permettant de faire face à ladisparition totale ou partielle du système d ’information

MASNAOUI 56


• Les facteurs de limitation des risques

les bonnes pratiques concernant la sécurité sont :

� Existence d ’une politique du système d ’information

� Implication des utilisateurs

� Méthodes de travail et outils adaptés aux objectifs

� La compétence du personnel

� Outil de gestion efficace

MASNAOUI 57


• Existence d ’une politique du système d ’information� Une des meilleures protection contre les risques liés à la faiblesse

de la sécurité repose sur la politique du système d ’information� Les services informatiques ayant une vision globale de leur

démarche sont les mieux protégés que les autres� Cette politique doit notamment préciser les responsabilités des

différents intervenants sur les systèmes informatiques� Il est en particulier très important de savoir ce qui est sous la

responsabilité des informaticiens et ce qui relève des utilisateurs

MASNAOUI 58


• Implication des utilisateurs� La meilleure protection du système d ’information est celle

exercée par les utilisateurs� Ils doivent surveiller leur matériel et la sécurité des locaux� Ils contrôlent leurs données et leurs bases de données� Ils veillent à ce que leurs données soient régulièrement

sauvegardées� Un système ainsi surveillé par ses utilisateurs est protégé contre

tout la plupart des risques habituellement supportés

MASNAOUI 59


• Méthodes de travail et outil adaptés aux objectifs� Le meilleur moyen de limiter les risques liés à l ’insuffisance de

sécurité et de dôter les services informatiques de méthodes detravail et des outils adaptés

� Ces méthodes de travail consistent à définir les tâches à effectueret de définir de manière rationnelle l ’organisation du travail

� De même il est nécessaire de se doter d ’outils performantsconformes aux objectifs recherchés

� Ainsi les personnes chargés de l ’exploitation doivent pouvoirsurveiller facilement les utilisateurs présents sur le système

� Il est, en particulier, nécessaire de surveiller et d ’administrer leréseau

MASNAOUI 60


• La compétence du personnel� La sécurité du système d ’information dépend surtout de la

compétence du personnel� Plus il est compétent, plus il est à même d ’intervenir rapidement

et efficacement pour limiter les risques� Ceci concerne l ’exploitation mais aussi les études� Il est en particulier nécessaire d ’intervenir rapidement en cas

d ’incident sans prendre de risques excessifs� La maintenance à la suite d ’un incident peut être l ’occasion

d ’une succession de problèmes notamment si on supprimecertains contrôles ou si on ne teste pas complètement lesprogrammes modifiés

MASNAOUI 61


• Outil de gestion efficace� De même il est nécessaire que des dispositifs de gestion efficaces

soient mises en place� Ils ont pour but de repérer plus facilement les failles de la

sécurité du système d ’information (postes de travail, réseaux,serveurs)

� Il est en effet important de s ’assurer que les risques potentielssont rapidement repérés de façon qu ’ils soient corrigés le plusrapidement possible

� C ’est un aspect délicat car on manque d ’outil de gestion de cetype . L ’offre est en train d ’évoluer mais on ne dispose pasencore en standard, sur tous les systèmes d ’exploitation desoutils de ce type.

MASNAOUI 62


• Les points de contrôle

� Repérage des actifs de l ’entreprise

� Evaluation des menaces

� Mesurer les impacts

� Définition des parades

MASNAOUI 63


• Repérage des actifs informationnels de l ’entreprise� La base des contrôles est constituée par les inventaires physiques

– Des matériels (postes de travail, serveurs,...)– Des logiciels– Des bases de données

� Dans la mesure du possible il faut chercher à avoir des contrôlesfréquents de ces inventaires

� Il existe des logiciels permettant de repérer les postes de travail,les serveurs,....

� Apprécier les procédures de mise à jour des inventaires� Vérifier sur quelques unités la pertinence des inventaires

MASNAOUI 64


• Evaluation des menaces� Il ne sert à rien de se protéger contre des menaces qui n ’existent

pas� On cherche à repérer les parties du système d ’information qui

sont les plus menacées� Il est pour cela nécessaire de repérer :

– Les disparitions ou les destructions de matériels– Les altérations de données ou de programmes– La divulgation d ’informations confidentielles

� S ’assurer qu’il existe un document permettant de repérer lesmenaces

� Analyser la pertinence des menaces repérer� S ’assurer qu’on a bien repérer les menaces les plus sérieuses

MASNAOUI 65


• Mesurer les impacts� Identifier les types de menaces et les conséquences de ces

incidents� A partir des incidents recensés évaluer leur impact� Etablir une cartographie du système d ’information et des

risques associés� Il est alors possible de construire un ou plusieurs scénarios

d ’agression et d ’évaluer les points de vulnérabilité� Apprécier l ’efficacité des dispositifs de sécurité en place� Evaluer les impacts d ’incidents graves sur le fonctionnement de

l ’entreprise et les conséquences patrimoniales

MASNAOUI 66


• Définition des parades� Face à chaque risque important il est nécessaire d ’identifier les

parades possibles� C ’est un moyen très efficace de diminuer le niveau des risques

de l ’entreprise� Type de parades possibles :

– Prévention : identification à l ’accès– Dissuasion : piste d ’audit– Détection : contrôle d ’accès– Protection : plan de secours

� Mais la meilleure parade reste l ’audit� Apprécier les différentes parades mises en oeuvre et leur impact

sur le niveau de sécurité� Evaluer les risques qui ne sont pas ou qui sont mal couverts

MASNAOUI 67


• Exemples de missions d ’audit

� Audit de la sécurité d ’une application client-serveur

� Evaluation de la sécurité d ’un centre d ’exploitation

MASNAOUI 68


• Audit de la sécurité d ’une application client-serveur� La mise en place d ’une nouvelle application du type client-

serveur fait apparaître différents incidents d ’exploitation� L ’analyse montre qu’ils ne sont pas dus à des fragilités du

logiciel de base mais au faible respect des consignes de sécurité� L ’organisation de la sécurité laisse à désirer et notamment la

politique des mots de passe n ’est pas respectée� Définir une politique de gestion des mots de passe et la faire

appliquer� Mettre en place un logiciel de surveillance du réseau permettant

de suivre les incidents� Former le personnel à l ’application des consignes de sécurité

MASNAOUI 69


• Evaluation de la sécurité d ’un centre d ’exploitation� La direction générale demande d ’évaluer la politique de sécurité

du service d ’exploitation� Le service est doté d ’une politique de sécurité et elle est

appliquée� Les procédures en place sont efficaces� Par contre les responsabilités ne sont pas clairement définies

notamment en ce qui concerne la gestion des bases de données� Définir de manière précise les responsabilités des utilisateurs� Elargir le domaine d ’action du responsable de la sécurité� Nommer un administrateur de bases de données

MASNAOUI 70







MASNAOUI 71

Plan

• Les 6 phases de la mission d’audit informatique� Définition de la mission : Etablissement de la lettre de mission

� La planification de la mission

� La collecte des faits, la réalisation de tests,...

� Entretiens avec les audités

� Rédaction du rapport final,

� Présentation et discussion de ce rapport

• Faut-il un rapport ?

• Le rapport d’audit : la conception, la rédaction, la présentation

• L’établissement des recommandations opérationnelles

• Le suivi des recommandations

• Comment améliorer la qualité de la démarche

MASNAOUI 72

Les six phases de la mission

• L’audit informatique comme tout audit se fait en six phases :

� Définition de la mission :– Périmètre de la mission

– Etablissement de la lettre de mission

� La planification de la mission

� La collecte des faits, la réalisation de tests,...

� Entretiens avec les audités

� Rédaction du rapport final,

� Présentation et discussion de ce rapport

• La durée de chaque phase est variable selon la nature desquestions et leur complexité

MASNAOUI 73

1 - Définition de la mission : Périmètre de la mission


AUD

IT :

APP

LIC

ATIO

NS

INFO

RM

ATIQ

UE

S


AUD

IT:

ALIG

NE

ME

NT

STR

ATE

GIQ

UE

AUD

IT :

FO

NC

TIO

N

INFO

RM

ATIQ

UE

S


Mise en œuvre etdéveloppement

du SI

AUD

IT:

PRO

JET

S

INFO

RM

ATIQ

UE

S

AUD

IT :

Sécu

rité

et

Rés

eaux

Exploitationdu SI

MASNAOUI 74

� Objectif:

� S ’assurer que l ’informatique est sous contrôle

� Principaux objectifs de contrôle:

� Stratégie informatique : pilotage des SI, schéma directeur,orientationstratégiques, plan à court

� Fonction informatique: positionnement, rôle, organisation et règles decontrôle (séparation des tâches)

� Projets informatiques: démarche de mise en œuvre, délai, planification,pilotage des projets, relation Maîtrise d’ouvrage / maîtrise d’œuvre

� Performance du système d ’information: disponibilité, portefeuille desbug, versioning, help desk, assistance utilisateurs

� Sécurité du système d ’information: sauvegarde, plan de continuité� Relation avec les fournisseurs: contrats de maintenance,

� Livrable:

� Une appréciation globale du système d ’information et évaluation desrisques génériques liés à l ’environnement informatique de l ’entreprise.

� Plan de recommandation et audit des risques spécifiques accrus

REVUE DES CONTRÖLES GENERAUXINFORMATIQUES


AUD

IT :

AP

PLIC

ATIO

NS

IN

FORM

ATIQ

UE

S


AUD

IT :

AL

IGN

EM

EN

T ST

RAT

EG

IQU

E

AUD

IT :

FO

NCT

ION

IN

FORM

ATIQ

UE

S

Choix et orientationdu système

d ’information

Mise en œuvreet

développement du SI

Exploitation du SI

AUD

IT:P

ROJE

TS

INFO

RMAT

IQU

ES

MASNAOUI 75

� Objectif:� Auditer la coincidance de la stratégie système d ’information avec la ou les

stratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage duSI.


� Processus de planification stratégique a moyen et long terme: stratégiemétiers, schéma directeur informatique (projets et budget investissements)

� Évaluation du schéma directeur: suivi des réalisations, planification,surveillance des budgets et des délais

� Pilotage et décision: organe de suivi et de contrôle, organes de décision etd’arbitrage, système de reporting sur l ’avancement des projetsinformatiques

� Orientations technologiques et architecture fonctionnelle: adéquation,évolutivité, opportunité, niveaux de sécurité

� Choix de la solution informatique: démarché de choix (cahier des chargeset consultations), adéquation avec les besoins del ’entreprise,contractualisation

� Livrable:� Identification du niveau d ’alignement du SI à la stratégie de l ’entreprise� Mesure Plan de recommandation et audit spécifique des risques accrus

AUDIT : ALIGNEMENT STRATEGIQUE


AUD

IT :

AP

PLIC

ATIO

NS

IN

FORM

ATIQ

UE

S


AUD

IT :

AL

IGN

EM

EN

T ST

RAT

EG

IQU

E

AUD

IT :

FO

NCT

ION

IN

FORM

ATIQ

UE

S


d ’information

Mise en œuvreet


Exploitation du SI

AUD

IT:P

ROJE

TS

INFO

RMAT

IQU

ES

MASNAOUI 76

� Objectif:

� Auditer la coincidance la stratégie système d ’information sur la ou lesstratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage duSI.


� Rôle et positionnement de l ’informatique dans l ’entreprise : rattachementà la DG,, relation avec la maîtrise d ’ouvrage, comités informatiques

� Mesure et suivi de la performance: existence d ’objectif et d ’indicateurspertinents de mesure de la performance, existence des contrats de serviceinformatique (SLA), baromètre de satisfaction, tableaux de bordinformatiques

� Organisation et structure de la fonction informatique: séparation destâches, rôle et missions de chaque entités, adéquation des effectifs et descompétences avec les besoins de l ’entreprise

� Procédures et méthodes: règles de gestion, niveau de contrôle internes,méthodes de gestion des projets, gestion de la documentation

� Outsourcing: relation avec les prestataires de service, contrats, risquejuridique et informatiques

� Livrable:

� Une évaluation des risques potentiels liées à la fonction informatique.� Plan de recommandation de maîtrise de la fonction informatique

AUDIT : FONCTION INFORMATIQUE


AUD

IT :

AP

PLIC

ATIO

NS

IN

FORM

ATIQ

UE

S


AUD

IT :

AL

IGN

EM

EN

T ST

RAT

EG

IQU

E

AUD

IT :

FO

NCT

ION

IN

FORM

ATIQ

UE

S


d ’information

Mise en œuvreet


Exploitation du SI

AUD

IT:P

ROJE

TS

INFO

RMAT

IQU

ES

MASNAOUI 77

� Objectif:

� Auditer l ’organisation et le pilotage de la fonction informatique� Principaux objectifs de contrôle:

� Définition des projets: objectifs du projets, le périmètre, les interactionsavec d ’autres projets, moyens humains et techniques, les délais, le budget,

� Structure de gestion des projets: maîtrise d ’ouvrage, maîtrise d ’œuvre,organe de suivi et de pilotage du projet, efficience des organes de décision,

� Planification du projet: planning directeur du projet, tableau de bord duprojet,plan de charge, identification des dépassements et anticipation desblocages et des dérapages de délais

� Démarche de gestion de projet et plan d ’assurance qualité : livrables duprojets, validation des livrables, documentation

� Processus d ’homologation et de tests: plan de test, PV de validation detests

� Conduite de changement: évaluation des changements, plan decommunication, plan de formation,reprise des données

� Livrable:

� Identification des risques projets des causes de dysfonctionnements� Mesures clés pour la réussite et l ’aboutissement des projets informatiques

AUDIT : PROJETS INFORMATIQUES


AUD

IT :

AP

PLIC

ATIO

NS

IN

FORM

ATIQ

UE

S


AUD

IT :

AL

IGN

EM

EN

T ST

RAT

EG

IQU

E

AUD

IT :

FO

NCT

ION

IN

FORM

ATIQ

UE

S


d ’information

Mise en œuvreet


Exploitation du SI

AUD

IT:P

ROJE

TS

INFO

RMAT

IQU

ES

MASNAOUI 78

� Objectif:

� Auditer l ’adéquation des applications informatiques aux exigences desutilisateurs et au standards d ’exploitation


� Performance des applications informatiques: existence de contrats deservice avec les utilisateurs, disponibilité du système, continuité de service

� Conformité aux normes de sécurité et aux règles de contrôle interne:gestion des accès: identification et authentification,

� Help desk et assistance utilisateurs: intervention de maintenance,indicateurs de performance ( portefeuille de bug, délai de réponse et délaide prise en charge)

� Gestion des incidents et des demandes d’évolution: versioning, évolutivitépar rapport aux besoins des utilisateurs,

� Livrable:

� Une identification de l ’adéquation des applications aux besoins et auxexigences d ’exploitations des utilisateurs

� Plan de recommandation et audit spécifique des risques accrus

AUDIT : APPLICATIONS INFORMATIQUES


AUD

IT :

AP

PLIC

ATIO

NS

IN

FORM

ATIQ

UE

S


AUD

IT :

AL

IGN

EM

EN

T ST

RAT

EG

IQU

E

AUD

IT :

FO

NCT

ION

IN

FORM

ATIQ

UE

S


d ’information

Mise en œuvreet


Exploitation du SI

AUD

IT:P

ROJE

TS

INFO

RMAT

IQU

ES

MASNAOUI 79

� Objectifs:

� Faire converger le système d ’information avec les objectifs stratégiques del ’entreprise

� Assurer la gestion intégrée et cohérente du SI,� Préparer le SI à intégrer et à maîtriser les changements progressifs qui se

feront dans l ’entreprise� Points clés de la démarche:

� Formaliser les axes stratégiques de l ’entreprises: orientations métiers et SI,alignement SI, opportunités technologique

� Établir les cartographies existantes: métiers, fonctionnelles, applicatives ettechniques du système d ’information selon un découpage Zone, quartier, ilot

� Établissement du plan de convergence: concevoir les cartographies cibles:métiers, fonctionnelles, applicatives et techniques

� Livrable:

� Alignement stratégique métier/ SI� cartographie existantes et cibles: Métiers, fonctionnelles, applicatives,

techniques� Plan de convergence à mettre en œuvre



AUD

IT :

AP

PLIC

ATIO

NS

IN

FORM

ATIQ

UE

S


AUD

IT :

AL

IGN

EM

EN

T ST

RAT

EG

IQU

E

AUD

IT :

FO

NCT

ION

IN

FORM

ATIQ

UE

S


d ’information

Mise en œuvreet


Exploitation du SI

AUD

IT:P

ROJE

TS

INFO

RMAT

IQU

ES

MASNAOUI 80

1 - Définition de la mission : Etablissement de la lettre demission

• Partir des attentes du demandeur d’audit

• Ne pas hésiter à passer du temps à bien les comprendre

• C’est pas toujours claire dans leur tête, c’est d’ailleurs pourcela qu’ils demandent un audit

• Si c’est nécessaire faire un pré-diagonstic

• Etablir une liste des questions

• Faire une lettre de mission (C’est un mandat au sens du CodeCivil)

• Souvent il faut rédiger la lettre de mission

MASNAOUI 81

2 - Planification de la mission :le choix de la démarche

• Il faut dès le départ annoncer la démarche suivie

• Pour l’auditeur externe rôle de la proposition

• Pour l’auditeur interne rôle du plan d’audit

• Il faut détailler le programme de travail

• Prévoir suffisamment à l’avance la collecte des faits et les tests àorganiser (délais souvent longs)

• Savoir limité le nombre des entretiens (c’est un très grosconsommateur de temps et de délais)

• Une mission d’audit insuffisamment préparée est une mission àrisque

MASNAOUI 82

3 - La collecte des faits, la réalisation des tests,...

• L’auditeur ne doit prendre en compte que les faits et il doit seméfier des opinions

• On ne peut pas se contenter des «dires» des audités, il faut sebaser sur des faits

• On s’organise pour trouver les faits dont on a besoin :� Les tests, les jeux d’essais,…� Les mesures de performances (temps de réponses...)� Les incidents d’exploitation, les anomalies, les erreurs, les

bugs,…� ….

• Les faits, rien que les faits, tous les faits• La mission, toute la mission, rien que la mission• Importance de la collecte de faits significatifs et si on a du mal à

les obtenir nécessité d’effectuer des tests

MASNAOUI 83

4 - Entretiens avec les audités

• Au contraire, spontanément les auditeurs se méfient des faits et ilsont tendance à préférer les opinions

• Au cours des entretiens, ne pas se disperser. Cibler les questions

• Se méfier des check-lists. Avoir une liste de thèmes

• Ne pas prendre parti dans les déclarations des audités

• Evaluer avec prudence les « dires »

• On n’instruit pas « à charge et à décharge »

• La lettre de mission vous donne un mandat. Vous représentez ledemandeur d’audit

• Eviter les validations d’entretiens (temps, qualité,…)

• Le nombre d’entretiens est une variable importante expliquant ladurée de l’opération et la charge de travail

MASNAOUI 84

5 - Faut-il un rapport ?

• Il existe une curieuse mode consistant à ne pas remettre derapport d’audit

• De nombreux arguments :

� C’est long à faire

� Les décideurs n’ont pas le temps de le lire

� Il ne sert à rien

� …

• Il serait préférable de faire une présentation PowerPoint

• C’est une grave erreur

• Il faut les deux : le rapport et la présentation

MASNAOUI 85

5 - Le rapport d’audit : la conception, la rédaction, laprésentation

• Le rapport d’audit est un document de référence

• Importance de définir à qui il est destiné et comment il seradiffusé

• Commencer à le rédiger à partir de la moitié de la mission. Surune mission de deux mois dès la fin du 1er mois

• Le corps du rapport doit, dans la mesure du possible, être traitédans l’ordre des questions d’audit se trouvant dans la lettre demission

• Les recommandations doivent être classées en mesures à courtterme, à moyen terme et à long terme

• Faire une synthèse en 2 pages (plus souvent 4)

MASNAOUI 86

Quelques conseils de rédaction du rapport d’audit

• Etre pédagogique, expliquer les termes et les concepts utilisés

• Eviter les accumulations de faits ou de remarques sansqu’apparaisse la structure d’ensemble

• Faire des synthèses et des récapitulations

• Ne pas porter de jugement de valeur

• L’auditeur base ses appréciations sur des référentiels largementreconnus

• S’il n’y a pas de référence ou si la doctrine est incertaine, il faut lesignaler et dans ce cas jouer un rôle de conseil

• Si on demande à l’auditeur des jugements de personne, on doits'interdire de le faire par écrit

• Faite attention à la forme et au style

MASNAOUI 87

L’établissement des recommandations opérationnelles

• Il faut des mesures concrètes et faciles à mettre en oeuvre

• Il faut distinguer les recommandations :� A court terme, c’est-à-dire qui peuvent être mise en place sans

délai et sans investissement� A moyen terme, c’est-à-dire demandant des études

complémentaires� A long terme, qui demandent des investissements lourds ou la

remise en cause des politiques antérieures• On attend de ces recommandations des progrès significatifs et

substantiels

MASNAOUI 88

6 - Présentation et discussion du rapport

• Il faut organiser des présentations du rapport d’audit pour

� Le (ou les demandeurs) d’audit

� Le management de l’informatique

� Le service informatique (encadrement ou toute l’équipe)

• Dix à quinze de slides pas plus (20 à 30 minutes)

• Communiquez sur l’essentiel

• Vendre les recommandations en mettant en avant 4 à 6mesures « emblématiques »

• Ne pas « négocier» le contenu de la présentation (ni durapport, ni des recommandations)

MASNAOUI 89

Bâtir un plan d’action

• La liste des recommandations ne fait pas un plan d’action

• Un certain nombre d’opérations complémentaires sontnécessaires :

� Sélectionner les mesures et les hiérarchiser

� Approfondir et compléter les actions

� Effectuer des analyses complémentaires

� Fixer les responsabilités

� ….

• Le plan d’action doit être validé par le management (Comitéde Direction, Comité de Pilotage, Commissioninformatique,…)

• Souvent des spécifiques moyens doivent lui être affectés

MASNAOUI 90

Le suivi des recommandations et du plan d’action

• Il est nécessaire de mettre en place un dispositif de suivi desrecommandations et du plan d’action

• L’expérience montre que si on ne met pas en place un suivi desrecommandations, elles ne sont pas appliquées, ou du moins onapplique que celles qui ne posent pas de problèmes et les autressont laissées à leur triste sort

• Il est donc nécessaire de mettre en place un suivi des mesureschoisies

• Faire un point périodique sur le degré de mise en place desrecommandations (tous les 3 ou tous les 6 mois)

• L’efficacité des audits informatiques se joue en partie sur lamise en place d’un suivi

MASNAOUI 91

Comment améliorer la qualité de la démarche ?

• Un ordre de mission claire identifiant le demandeur d’audit

• Des points d’échange réguliers avec le demandeur d’audit

• Annoncer au départ la démarche qui sera suivie

• Manifester son indépendance notamment lors des entretiens

• Refuser les tentatives d’élargissement de la mission

• Bétonner par des faits, des analyses…

• Se méfier des ragots, des bruits, des on-dits,…

• Ne pas tirer sur tout ce qui bouge

• Etre positif : dire ce qui marche,…

• Faire des recommandations professionnelles

MASNAOUI 92

Bibliographie

• www.afai.asso.fr

• www.isaca.org et surtout knet

• CobiT

• La Revue Audit et Conseil en Technologies de l’Information(Revue de l’AFAI)

• The Information Systems Control Journal(Revue de l’ISACA)

ISACA - Bookstore

• CISA Review Technical Information Manuel ISACA

• Information Technology Control and Audit

(Gallegos, Manson, Allen-Senft - ISACA)

http://www.isaca.org/

http://www.afai.asso.fr/

MASNAOUI 93

MERCI POUR VOTREATTENTION

Audit Des Systemes d Information

Documents

Transcript of Audit Des Systemes d Information