THEORIE A DEFINIR

ET CAS PRATIQUES

8/28/2012 Option AUDIT 1

 INTRODUCTION

Linformatique : omniprsente et indispensable

Dveloppement des S.I. accroissement des

risques

Le SI = Systme Nerveux de lentreprise

AUDIT = moyen prventif utilis trop souvent titre

curatif (58% des cas)

LAudit informatique simpose Prise de conscience

[premire approche dans les annes 6 aux U.S.A.]

8/28/2012 2
 PLAN DU COURS

Gnralits
Primtre et 5 rgles
Objectif
Dmarche gnrale
Conduite de la mission
Les OUTILS de lauditeur
Normes
Mthodes
Critre de choix
Cas pratique
8/28/2012 3
 5 Rgles
Gnralits
Objectifs
GENERALITES Dmarche
Conduite

8/28/2012 4
 5 REGLES CLES [RAPPEL]

1. Observer langle dattaque et comparer les

rsultats avec un rfrentiel idal jugement
constructif, recommandations adquates
2. Laudit informatique est toujours faisable,
contrairement au management du SI
3. Moyens et actions adapts au sujet de laudit, de
faon exclusive et exhaustive
4. Qualit de laudit gestion logique et rigoureuse
5. Dontologie de laudit

8/28/2012 5
 GENERALITES 1/2

BESOIN
Faire un diagnostic par un expert indpendant pour tablir un
tat des lieux, dfinir des points amliorer et obtenir des
recommandations/prconisations pour faire face aux faiblesses
dtectes dans lentreprise

REPONSE
Lauditeur intervient en tant que mesureur des risques.
Identification des faiblesses
Identification des impacts
Identification des solutions
Identification des risques

8/28/2012 6
 GENERALITES 2/2

AUDIT ou CONSEIL
Laudit informatique terme largement utilis, couvrant des
ralits variables
Certaines prestations nommes AUDIT INFORMATIQUE sont des
missions de CONSEIL

CHAMP DACTION PRINCIPAL

Loutil informatique est au centre de laction dAUDIT.
Inclut la bureautique : applications et matriels
Inclut les outils lis aux NTIC
Intgre les ressources humaines, utilisateurs du systme
Prend en compte politique et dveloppement informatique

8/28/2012 7
 Fiabilit de
lenvironnement
informatique,
OBJECTIFS

8/28/2012 8
 OBJECTIFS

en terme de fiabilit de lenvironnement

informatique

Lintrt du contrle interne

Acteurs de laudit informatique
Composantes dun audit de lactivit informatique
Mthodes daudit de lactivit informatique

8/28/2012 9
 FIABILIT DE LENVIRONNEMENT INFO.

Lintrt du contrle interne 1/2

(selon lOEC)
Contrle interne = ensemble des scurits contribuant
la matrise de lentreprise
But du contrle interne
Assurer la protection, la sauvegarde du patrimoine et la
qualit de linformation
Appliquer les instructions de la direction
Favoriser lamlioration des performances
Manifest par lorganisation, les mthodes et les
procdures de chacune des activits de lentreprise pour
maintenir sa prennit.

8/28/2012 Primtre de laudit 10

 FIABILIT DE LENVIRONNEMENT INFO.

Lintrt du contrle interne 2/2

(selon lOEC)
Objectifs
Bonne organisation densemble de lactivit
informatique
Existence de procdures
Existence de mthodes
Finalit
Rduire les risques de malveillance
Formaliser des procdures, vrifier leur acquisition
Amliorer lefficacit de lactivit informatique
RETOUR

8/28/2012 Primtre de laudit 11

 FIABILIT DE LENVIRONNEMENT INFO.

Les acteurs de laudit informatique

Direction de lentreprise
Responsable informatique
Contrleur(s) externe(s) : commissaire aux comptes,
administration fiscale, banque et lauditeur
spcialis ou gnraliste

RETOUR

8/28/2012 12
 FIABILIT DE LENVIRONNEMENT INFO.

Les composantes dun audit de lactivit

informatique

Examen de lorganisation gnrale du service

Examen des procdures lies au dveloppement et
la maintenance des applications
Examen des procdures lies lexploitation des
chanes de traitement
Examen des fonctions techniques

RETOUR

8/28/2012 13
 FIABILIT DE LENVIRONNEMENT INFO.

Mthodes daudit de lactivit informatique

Entretiens avec le personnel du service informatique

et les utilisateurs du service
Contrle de documents et dtats
Outils commercialiss de type progiciel
Mthodes (CoBiT, Mhari, ) et Rfrentiels

RETOUR

8/28/2012 14
 FIABILIT DE LENVIRONNEMENT INFO.

en terme de performances et defficacit

Mise en place dun plan de secours
Etude approfondie de la performance et du
dimensionnement des machines
Adquation des logiciels systmes avec les besoins

Laudit defficacit constitue une mission mandate

par la direction gnrale (cot de son informatique)
ou par le responsable du service concern
(pertinence de la configuration).
RETOUR

8/28/2012 15
 FIABILIT DE LENVIRONNEMENT INFO.

en terme de fiabilit dune application

informatique
OBJECTIF PREMIER : se prononcer sur la qualit dune
application donne

TYPES DE CONTROLES :
Contrler la fiabilit dune application et de son utilisation
Contrler ladquation des logiciels dvelopps avec les
spcifications fonctionnelles
Rechercher fraude ou erreur
Contrler la qualit des mthodes de dveloppement des
logiciels
Contrler la qualit des procdures dexploitation
RETOUR

8/28/2012 16
 Inter venants
Plan daction

DEMARCHE

8/28/2012 17
 DEMARCHE GENERALE

La comptence technique de lauditeur est

un point fondamental pour russir la
mission
Certaines qualits humaines, relationnelles
et des aptitudes la gestion et
lorganisation sont indispensables

RETOUR

8/28/2012 18
 LES INTERVENANTS

Auditeur externe contractuel

Auditeur interne
Commissaire aux comptes

RETOUR

8/28/2012 19
 AUDITEUR EXTERNE CONTRACTUEL

SSII
Freelance
Missions :
Examen de contrle interne de la fonction
informatique
Audit de la scurit physique du centre de
traitement
Audit de la confidentialit daccs
Audit des performances
RETOUR

8/28/2012 20
 AUDITEUR EXTERNE CONTRACTUEL

Domaines dans lesquels les auditeurs

informatiques sont le plus souvent sollicits :
Scurit logique 80%
Conduite de projets 68%
Revue de lenvironnement informatique 66%
ERP / Revue dapplication 58%
Maitrise douvrage CDC 54%
Analyse de donnes 50%
Dveloppement et rle des tudes 46%
Recettes 42%
Qualit du code et ralisation 30%
20 % : organisationnel, politique, formation, moyens
RETOUR

8/28/2012 21
 AUDITEUR INTERNE

Missions susceptibles dtre confies

lauditeur interne identiques lexterne
Problme dlicat :
lauditeur interne dpend de la direction
informatique ou dun service daudit
Comment couvrir dans un dlai raisonnable
lensemble des risques ?
Comment garder son objectivit et tre
critique ?
RETOUR

8/28/2012 22
 COMMISSAIRE AUX COMPTES

Rle et obligation
Vrifier que les comptes prsents sont
rguliers et sincres, quils donnent une
image fidle de la situation de lentreprise.
Prsence obligatoire dans la majorit des
socits commerciales

RETOUR

8/28/2012 23
 DMARCHE GNRALE

Approche en environnement informatique

Phase 1 : orientation et planification de la

mission
Phase 2 : valuation des risques
Phase 3 : Obtention dlments probants

RETOUR

8/28/2012 24
 APPROCHE ENVIRONNEMENT INFORMATIQUE

Phase 1 Phase 2 Phase 3 Obtention

Orientation et Evaluation lments probants
planification des risques

1.1 - Prise de 2.1 Incidence de la 3.1 Mise en uvre des

connaissance de fonction informatique, procdures daudit :
linformatique : apprcier t ra n s v e r s e a u x a c t i v i t s dtermination du
son importance et son de lentreprise, sur le c a ra c t r e s u f f i s a n t e t
i m p a c t d a n s l l a b o ra t i o n risque inhrent appropri des lments
des comptes probants obtenus et lien
avec lopinion sur les
1.2 Description du SI de comptes
1.2 Description du SI lentreprise :
de lentreprise : identification des
identification des 3.2 Liens avec les
principales composantes
principales composantes obligations lgales du
du SI et de son niveau de
du SI et de son niveau de commissaire aux comptes
complexit
complexit : mission de lopinion sur
les comptes, information
2.3 Synthse de la direction
1.3 Prise en compte de
linformatique dans le l va l u a t i o n d e s r i s q u e s
plan de mission

TECHNIQUES DAUDIT ASSISTEES PAR ORDINATEUR25

8/28/2012
 DMARCHE GNRALE

Plan pluriannuel daudit

Un plan annuel est dfini sur une priode de 3
4 ans, pour couvrir lensemble des
composantes du risque informatique, par les
auditeurs qui vont fixer des programme
annuel de travail dtaills
Le programme de travail annuel reprend, en
prcisant dates et modalits dintervention,
les missions prvues au plan pluriannuel.
RETOUR

8/28/2012 26
 DMARCHE GNRALE
EXEMPLE DE PLAN PLURIANNUEL
Anne Travaux planifis
1 Examen du contrle interne de la fonction informatique au sige
Audit gnral de la filiale A
Examen limit du contrle interne informatique et tude approfondie
du logiciel de gestion de production de cet tablissement
2 Audit informatique gnral de la filiale B
Analyse de lapplication de gestion du personnel
Examen approfondi du contrle interne informatique de B
3 Etude de lensemble de la gestion des scurits informatiques dans le
groupe
Audit des logiciels de gestion des stocks de ltablissement
Audit gnral de linformatique de la filiale C
4 Examen de contrle interne de la fonction informatique au sige
Etude densemble de la gestion des scurits physiques dans le groupe
: raliser conjointement avec un cabinet extrieur
RETOUR
Audit du logiciel de gestion des commandes et facturations de
8/28/2012 ltablissement Primtre de laudit 27
 CONDUITE Dmarche
Quel auditeur ?

DE LA MISSION Quel cot ?

Les outils

8/28/2012 28
 CONDUITE DE LA MISSION
DEMARCHE Travaux planifis
Lettre Objectifs de la mission, primtre, priode dintervention, contraintes
de MISSION prvoir pour les services audits, mthode, constitution de lquipe,
documents prparatoires
Programme Structure de lentreprise concerne
de TRAVAIL Domaines fonctionnels
Applications informatiques
Matriels et rseaux
Enqute Dlimiter les besoins, analyser le systme dinformation de
pralable lentreprise ou le service audit
Interroger en collaboration avec laudit, les utilisateurs et les
entreprises qui participent au fonctionnement du SI
Runion de Objectifs :
synthse Garantir que les questions de lauditeur ont t comprises
Garantir que les rponses apportes ont bien t interprtes
RETOUR
Rapport Clair, vulgaris, non port sur la technique
8/28/2012 29
daudit Propose un PLAN DACTION pour amliorer la performance
 CONDUITE DE LA MISSION

Comment lauditeur est choisi ?

Indpendance
Professionnel du diagnostic, spcialiste
Capacits remettre des recommandations
en adquation avec lentreprise audite

RETOUR

8/28/2012 30
 CONDUITE DE LA MISSION

Quel cot pour lentreprise ?

Cot moyen journalier : 1.000

Le Groupement Professionnel National de
lInformatique (www.gpni.com) estime un cot
global de procdure entre 500 et 3.000
Economies immdiates lors du constat de
dpenses inutiles
Rduction des risques rduction des cots
RETOUR

8/28/2012 31
 LES OUTILS DE LAUDITEUR

Les Normes ISO 27002 et ISO 27001

Cre en 2000 (ISO 17799), renomme en 2005
Objectif scurisation de linformatique pour apporter
confidentialit, intgrit et disponibilit
Caractre facultatif : guide de recommandations
4 tapes dans la dmarche de scurisation :
1. Liste des biens sensibles protger
2. Nature des menaces
3. Impacts sur le SI
4. Mesures de protection

8/28/2012 32
 LES OUTILS DE LAUDITEUR

Les Normes ISO 27002 et ISO 27001

Cre en 2005
Objectif politique du management de la scurit
Etablir un Systme de Management de la Scurit de
lInformation (SMSI) :
1. Choix des mesures de scurit
2. Protection des actifs
Utilisation du Modle PDCA
(ou Roue de Deming)
Plan : ce quon va faire
D(o) : production
C(heck) : mesure, vrif
A(ct) : dcision corrective
8/28/2012 33
 LES OUTILS DE LAUDITEUR

6 domaines de processus
Dfinir une politique de scurit
Dfinir le primtre du SMSI
Evaluer les risques
Grer les risques identifis
Choisir et mettre en uvre les contrles
Dfinir le SOA (Statement Of Applicability Charte du
SMSI)
SOA : document justifiant formellement les choix d'implmentation (ou non) dans le SMSI de tout
ou par tie des clauses ISO 27001 (Chapitres 4 8 de l'ISO 27001) et/ou des contrles ISO 27001
(Annexe A5 A15 de l'ISO 27001) dans la m ise en oeuvre et la documentation du SMSI.

Conditions remplies certification ISO 27001

8/28/2012 34
 LES MTHODES

CoBiT
Mehari
EBIOS
CRAMM
OCTAVE
ITIL
CMMI
SIX SIGMA
SPICE, AGILE,
et son propre rfrentiel
8/28/2012 35
 LE RFRENTIEL

Mise en commun intellectuelle de terminologie, de pratiques

ou de rgles servant de rfrence.
Le rfrentiel rassemble ainsi sous un vocabulaire commun
(et gnralement explicite) toutes les notions que
schangent les diffrents services et logiciels de lentreprise.
La cration d'un rfrentiel est notamment souvent l'une des
bases des projets importants.
Pour les applications de Business Intelligence, les
dcisionnels, les ERP, il s'agit d'une base centrale des noms
de donnes manipules par les diffrentes applications
(gnralement avec leur description et leurs rgles).
Pour la gouvernance informatique, il existe des rfrentiels
de bonnes pratiques, constituant une base mthodologique
permettant de d'aboutir la qualit (COBIT, ITIL, CMMI, Spice,
ISO 9000....).
8/28/2012 [Source : guideinformatique.com] 36