AUDIT INFORMATIQUE

45
Théories et cas pratique M1CCA Amaaouch Rachid Larrondo Christopher Peyras Jean- Nöel Favereau Etienne

Transcript of AUDIT INFORMATIQUE

Page 1: AUDIT INFORMATIQUE

Théories et cas pratique

M1CCAAmaaouch RachidLarrondo ChristopherPeyras Jean-NöelFavereau Etienne

Page 2: AUDIT INFORMATIQUE

L’informatique est omniprésente et indispensable

Développement des SI = accroissement des risques

Le SI est le « système nerveux » de l’entreprise

L’audit est un moyen préventif bien qu’utilisé trop souvent à

titre curatif (58% des cas)

L’audit informatique s’impose, il y a une prise de conscience

A vu le jour dans les 60’s aux USA

Page 3: AUDIT INFORMATIQUE

I- Généralités

A- Objectifs

B- Démarche générale

C- Conduite de la mission

II- Les outils de l’auditeur

A- Normes

B- Méthodes

C- Critères de choix

III- Cas pratique

Page 4: AUDIT INFORMATIQUE
Page 5: AUDIT INFORMATIQUE

L’audit correspond au besoin de faire faire un diagnostic par un expert indépendant pour établir un état des lieux, définir des points à améliorer et obtenir des recommandations pour faire face aux faiblesses de l’entreprise.

L’auditeur intervient en tant que mesureur des risques, il identifie faiblesses, impacts, solutions et les risques si les mesures ne sont pas prises.

Page 6: AUDIT INFORMATIQUE

L’audit Informatique est un terme largement utilisé, il couvre donc des réalités souvent différentes, et certaines prestations réalisées sous le terme d’ « Audit Informatique » sont en fait des missions de Conseil.

Le champ d’action principal de l’Audit Informatique doit rester l’outil informatique au sens large, en y incluant la bureautique (application, matériels…) et de plus en plus les outils liés à l’usage des technologies de l’Internet…

Page 7: AUDIT INFORMATIQUE

En termes de fiabilité de l’environnement informatique

a) L’intérêt d’un contrôle interne

b) Les acteurs de l’audit informatique

c) Composantes d’un audit de l’activité informatique

d) Méthodes d’audit de l’activité informatique

Page 8: AUDIT INFORMATIQUE

a) L’intérêt d’un contrôle interneSelon l’OEC, le contrôle interne est: l’ensemble des sécurités contribuant à la maîtrise de

l’entreprise. Il a pour but:

- d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information

- l’application des instructions de la direction et favoriser l’amélioration des performances.

Il se manifeste par l’organisation, les méthodes et procédures de chacune des activités de l’entreprise pour maintenir sa pérennité

Page 9: AUDIT INFORMATIQUE

bonne organisation d’ensemble de l’activité « informatique »

existence de procédures existence de méthodes

Finalité

réduire les risques de malveillance des procédures formalisées bien comprises amélioration de l’efficacité de l’activité informatique.

Page 10: AUDIT INFORMATIQUE

b) Les acteurs de l’audit informatique

direction de l’entreprise

responsable informatique

contrôleurs externes (commissaires aux comptes, administration fiscale, banques…)

Page 11: AUDIT INFORMATIQUE

c) Composantes d’un audit de l’activité informatique

examen de l’organisation générale du service,

examen des procédures liées au développement

et la maintenance des applications,

examen des procédures liées à l’exploitation des

chaînes de traitement,

examen des fonctions techniques.

Page 12: AUDIT INFORMATIQUE

d) Méthodes d’audit de l’activité informatique

entretiens avec le personnel du service informatique et les utilisateurs du service

contrôles de documents ou d’états

outils commercialisés (progiciel)

méthodes (COBIT, MEHARI…)

Page 13: AUDIT INFORMATIQUE

En termes d’efficacité et de performances

mise en place d’un plan de secours étude approfondie de la performance et du

dimensionnement des machines adéquation aux besoins des logiciels système

« En d’autres termes l’audit d’efficacité, constitue une mission mandatée soit par la direction générale, afin de s’interroger sur le coût de son informatique, soit par le responsable du service, de manière à vérifier la pertinence de sa configuration ».

Page 14: AUDIT INFORMATIQUE

En termes de fiabilité d’une application informatique

Objectif premier:« Se prononcer sur la qualité d’une application donnée ».

Types de contrôle:

Contrôle de la fiabilité d’une application, ou son utilisation Contrôle de l’adéquation des logiciels développés aux

spécifications fonctionnelles Recherche de fraude ou erreurs Contrôle de la qualité des méthodes de développement des

logiciels ou contrôle de la qualité des procédures d’exploitation 

Page 15: AUDIT INFORMATIQUE

« La compétence technique de l’auditeur est un point fondamental pour la réussite de la mission, il implique aussi de disposer de certaines qualités humaines, relationnelles, et des qualités de gestionnaire et d’organisateur. »

1) Intervenants

2) Plan pluriannuel d’audit

Page 16: AUDIT INFORMATIQUE

1) Intervenants

a) Auditeur externe contractuel

société spécialisée en ingénierie et services informatique(SSII)

free-lanceLeurs missions

examen de contrôle interne de la fonction informatique, audit de la sécurité physique du centre de traitement, audit de la confidentialité d’accès audit des performances

Page 17: AUDIT INFORMATIQUE

Domaine Pourcentage

Sécurité logique 80%

Conduite de projets 68%

Revue environnement informatique 66%

ERP / Revue d'application 58%

Production 54%

Maitrise d'ouvrage et Cahier des charges 54%

Analyse de données 50%

Développement et rôle des études 46%

Recettes 42%

Qualité du code et réalisation 30%

Autre 20%

Source: enquête AFAI 2003

Page 18: AUDIT INFORMATIQUE

b) Auditeur interne

Les missions susceptibles d’être confiées à l’auditeur informatique interne sont a priori les mêmes que celles susceptibles d’être confiées à l’auditeur externe.

Cependant, l’auditeur interne qui dépend soit de la direction informatique ou d’un service d’audit, se trouve confronté à un problème délicat : Comment couvrir dans un délai raisonnable l’ensemble des risques informatiques ?

Page 19: AUDIT INFORMATIQUE

c) Commissaire au comptes

o Rôle

Le commissaire au compte a pour rôle de vérifier que les comptes présentés sont réguliers et sincères, et qu’ils donnent une image fidèle de la situation de l’entreprise. Leur présence est obligatoire dans la plupart des sociétés commerciales.

Page 20: AUDIT INFORMATIQUE

o Approche en environnement informatique

Source: CRCC de Paris

Page 21: AUDIT INFORMATIQUE

2) Plan pluriannuel d’audit

Un plan annuel est définit sur une période de 3 à 4 ans, pour couvrir l’ensemble des composantes du risque informatique, par les auditeurs internes qui vont fixer des programmes annuels de travail détaillés.

Le programme de travail annuel reprend, en précisant les dates et modalités d’intervention, les missions prévues au plan pluriannuel.

Page 22: AUDIT INFORMATIQUE

Exemple de plan pluriannuel 

Page 23: AUDIT INFORMATIQUE

Démarche

a) la lettre de mission

Objectifs de la mission Périmètre de la mission  Période d’intervention Contraintes à prévoir pour les services audités Méthode Constitution de l’équipe Documents préparatoires 

Page 24: AUDIT INFORMATIQUE

b) Le programme de travail

Structure de l’entreprise concernée

Domaines fonctionnels

Applications informatiques

Matériel et réseaux

Page 25: AUDIT INFORMATIQUE

c) Enquête préalable délimiter les besoins et analyser le système d’information de

l’audité interroger en collaboration avec l’audité, les utilisateurs et

les entreprises qui participent au fonctionnement actuel du SI

d) Réunion de synthèse s´assurer :

- que les questions de l´auditeur ont été bien comprises- que les réponses ont été bien interprétées

Page 26: AUDIT INFORMATIQUE

e) Rapport d’audit

Le rapport est ensuite rédigé. Il doit être clair et non porté

sur la technique

≠mission d´expertise: il proposera un plan d’action pour

améliorer la performance

Page 27: AUDIT INFORMATIQUE

Comment choisir un auditeur informatique ?

Trois critères majeurs sont donc à retenir :

- l´indépendance de l´auditeur

- professionnel du diagnostic

- sa capacité à remettre des recommandations.

Page 28: AUDIT INFORMATIQUE

Que représente un audit en termes de coût et d’économies pour l'entreprise ?

Coût:Avec un prix moyen de la journée à environ 1000 euros, le Groupement national des professionnels de l´informatique (GPNI) estime le coût global de la procédure entre 500 et 3000 euros.

Economies:- Economies immédiates lors du constat de dépenses inutiles- Réduction des risques entrainant réduction de coût

Page 29: AUDIT INFORMATIQUE
Page 30: AUDIT INFORMATIQUE

o ISO 27002

Généralités: Créée en 2000 (ISO 17799), Renommée en 2005

Objet: sécurisation de l’information

=> Confidentialité, intégrité, disponibilité

Caractère facultatif => guide de recommandations

4 étapes dans la démarche de sécurisation:

- Liste des biens sensibles à protéger - Nature des menaces- Impacts sur le SI- Mesures de protection

Page 31: AUDIT INFORMATIQUE

o ISO 27001 Généralités: Créée en 2005 Objet: Politique du Management de la Sécurité de l’Information

=> établir un Système de Management de la Sécurité de l’Information :

- Choix des mesures de sécurité- Protection des actifs

Utilisation du modèle PDCA

Page 32: AUDIT INFORMATIQUE

6 domaines de processus :

- Définir une politique de sécurité- Définir le périmètre du SMSI- Evaluation des risques- Gérer les risques identifiés- Choisir et mettre en œuvre les contrôles- Rédiger Statement Of Applicability (charte du SMSI)

Conditions remplies => certification ISO 27001

Page 33: AUDIT INFORMATIQUE

o COBIT

Généralités : Créée en 1996 par l’ISACA / AFAI Structure Contenu:

- Synthèse- Cadre de référence- Guide d’audit- Guide de management- Outils de mise en oeuvre

Intérêts:- Lien entre les objectifs de l’entreprise et ceux de technologies

d’information- Intégration des partenaires d’affaires- Uniformisation des méthodes de travail- Sécurité et contrôle des services informatiques- Système de gouvernance de l’entreprise

Page 34: AUDIT INFORMATIQUE
Page 35: AUDIT INFORMATIQUE

o MEHARI Généralités : Créée en 1995 par le CLUSIF, remplaçant MARION Structure:

Intérêts:- Appréciation des risques aux regards des objectifs de sécurité- Contrôle et gestion de la sécurité

Page 36: AUDIT INFORMATIQUE

o EBIOS Généralités : Créée en 1995 par la DCSSI Structure:

Intérêts:- Construction d’une politique de sécurité basée sur une analyse des risques- L’analyse des risques repose sur l’environnement et les vulnérabilités du SI

Page 37: AUDIT INFORMATIQUE
Page 38: AUDIT INFORMATIQUE

Origine géographique de la méthode

Langue

Existence de logiciels adaptés

Ancienneté = capacité de recul, témoignages

Qualité de la documentation

Facilité d’utilisation

Compatibilité avec les normes

Le coût (matériel et humain)

La popularité, la reconnaissance

Généralement, combinaison de méthodes lors d’un audit

Page 39: AUDIT INFORMATIQUE
Page 40: AUDIT INFORMATIQUE

Rappel: certaines associations ont l’obligation de nommer un CAC:

l’association exerce une activité économique et remplit deux des critères suivants :

50 salariés, 3,1 millions CA, 1,55 million de bilan

l’association perçoit des financements publics supérieurs à 153 000€.

les associations reconnues d’utilité publique

les associations émettant des obligations

les associations collectant la participation des employeurs à l’effort de construction

les organismes de formation remplissant deux des trois critères suivants: 3 salariés,

153 000€ de CA, 230 000€ de bilan

les associations sportives affiliées collectant des recettes d’un montant supérieur à

380 000€ et employant des sportifs dont la masse salariale excède 380 000€

les associations et les fondations bénéficiaires de plus de 153 000 euros de dons

Page 41: AUDIT INFORMATIQUE

Auditeur: Commissaire aux comptes

Audité:

Nature: Association Affres(association loi 1901)

Chiffre d’affaires: 30 millions €

Page 42: AUDIT INFORMATIQUE

Accessibilité des imprimantes

Accès aux applications

Topologie du réseau

Absence de véritable administrateur

Procédure de sauvegarde des données

Organisation de la comptabilité informatique

Base de données

Page 43: AUDIT INFORMATIQUE

Mieux répartir les imprimantes dans les locaux

Restreindre l’accès aux applications à la fonction de

l’utilisateur

Créer 2 sous-réseaux (DAF et E&R) indépendants

Nommer un administrateur qualifié

L’administrateur sera chargé des sauvegardes, en veillant à

les sécuriser

Valider l’intégration des écritures tous les jours

Modifier la structure de la BD informatisée

Page 44: AUDIT INFORMATIQUE

L’audit informatique s’est imposé et s’inscrit dans l’avenir

des entreprises

La normalisation est synonyme de développement et de

crédibilité

Le métier d’auditeur informatique recrute

Page 45: AUDIT INFORMATIQUE

www.afai.fr

www.journaldunet.com

www.indexel.net

www.aud-it.ch

www.guideinformatique.com

www.bpms.info

Les techniques de l’audit informatique, Yann Derrien