26 1 901KB
2020-11-23
Université Sidi Mohamed Ben Abdellah Ecole Nationale de Commerce et de Gestion National School of Management Route d’Immouzar, B.P A 81 30000 FES-MAROC
1
AUDIT DES SYSTÈMES D’INFORMATION
Préparé par TAOUFIK EL BOUZEKRI EL IDRISSI Ecole Nationale de Commerce et de Gestion Université Sidi Mohamed Ben Abdellah-Fès [email protected]
Année universitaire 2020/2021
2
« Il y a peu de différence entre un homme et un autre, mais c'est cette différence qui est tout. » Psychologue
William
James.
Philosophe,
Objectifs du cours: 3
Les principaux objectifs de ce cours sont d'amener les étudiants à :
Comprendre le vocabulaire et les concepts de base associés à l’ audit des SI Définition des différents types d'audit; Maîtriser les fondamentaux et utiliser les outils essentiels à la fonction d’audit appliqués aux systèmes d'information; Maîtriser les référentiels associés aux systèmes d’information. Appréhender les méthodes et critères pouvant faciliter la gestion des risques Etre en mesure de réaliser un audit SI dans l’entreprise de la phase planification jusqu’au suivi des actions d’amélioration; Comprendre et expliquer en quoi l’audit des SI peut améliorer la compétitivité des entreprises
1
2020-11-23
Sujets abordés 4
Aperçu sur la genèse de la pratique d’audit
L'audit des systèmes d'information (SI) : définition et enjeux
Typologie de l'audit des systèmes d’information
Démarche d'audit des systèmes d’information
Différent thèmes à analyser sur un audit des SI
Les référentiels d'audit des systèmes d’information
Audit des systèmes d’information dans un cadre CAC
Aperçu sur la genèse de la pratique d’audit 5
Audit : Définition et origines Etymologie:
Audit vient du verbe latin «audire» qui veut dire «écouter» La théorie fondamentale de l’audit à des origines très anciennes : Sumériens, Egyptiens, phéniciens, Grecs, Romains .... Le besoin d’établissement d’une information objective entre les partenaires économiques au 2ème millénaire avant JC a fait des sumériens les premiers adeptes de la démarche de contrôle et de normalisation
Historique:
•Dès le 3ème siècle avant JC, nomination de questeurs ayant pour mission de contrôler les comptabilités par les gouverneurs romains et à cette époque qui apparut le terme audit du latin «audire»; •Jusqu'à la fin du 19ème siècle, la finalité d'audit était la détection des fraudes sous la demande des pouvoirs publics, ainsi les modes de contrôle se basaient sur la vérification détaillée et exhaustive des pièces comptables; •Premier cabinet d'audit fut fondé au 19ème siècle à Londres; •Au milieu du 20ème siècle, la finalité d'audit est devenue de porter un jugement sur la validité des comptes annuels suite à la croissance de la taille des organisations contrôlées.
Aperçu sur la genèse de la pratique d’audit 6
Audit : Définition et origines (suite) Un audit est un processus permanent ou ponctuel, par lequel une fonction de l’entreprise est évaluée par une ou plusieurs personnes qui n’exercent pas cette fonction dans l’entreprise
Une entreprise souhaite un audit d’une de ses fonctions parce que ses responsables y perçoivent un dysfonctionnement ou des possibilités d’amélioration, ou bien veulent comprendre la « vraie » réalité de cette fonction, c'est-à-dire au-delà de ce qui en est dit ou de ce qu'elle paraît être.
2
2020-11-23
Aperçu sur la genèse de la pratique d’audit 7
Le contrôle Vs l’audit Le terme contrôle est fréquemment associé à celui d'audit; la différence entre les deux notions peut s'expliquer par référence à la théorie des ensembles puisque la mise en oeuvre de l'audit implique de procéder à différents contrôles.
L'audit englobe ainsi l'ensemble des procédures et techniques de contrôle constituant l'examen approfondi par un professionnel et reposant sur une méthodologie. Le contrôle se présente donc comme un outil d'audit, néanmoins ce dernier comprend une opinion qui est le résultat des contrôles.
Aperçu sur la genèse de la pratique d’audit 8
L’audit : Pour qui? Et Pourquoi? Pour qui ?
Les dirigeants (qu’a-t-on fait? peut-on faire mieux? ) Les actionnaires actuels (résultats, situation financière peut-on faire mieux? )
Les actionnaires potentiels (doit-on acheter? )
Les salariés (suis-je dans une situation d’emploi précaire? )
Les fournisseurs(puis-je traiter? serai-je payé? )
Les clients (puis-je traiter? serai-je servi durablement? )
L’Etat(résultat fiscal? )
Pourquoi?
Nécessité de confirmer la validité l’entreprise.
des
informations
données par
Aperçu sur la genèse de la pratique d’audit 9
Les principales questions posées par les décideurs : Les questions posées aux auditeurs informatiques sont très variées . Elles peuvent porter :
Le rôle de l’informatique
La politique informatique
Les structures informatiques
Les applications
Les moyens mis en oeuvre
Les hommes
3
2020-11-23
Aperçu sur la genèse de la pratique d’audit 10
Types d’audit Types d’audit Audit financier Audit opérationnel Audit qualité Audit social
Autres audits spécifiques Audit intégré (combinant les aspects financiers et opérationnels); Audit administratifs (évaluation de l'efficacité opérationnelle /productivité); Audit du système d'information; Audit spécialisé standardisée,...);
(domaine
spécifique,
démarche
Aperçu sur la genèse de la pratique d’audit 11
Selon quelle démarche et avec quels outils ? Pour auditer, il faut :
Un besoin clairement exprimé
Un périmètre bien défini
Une méthode formelle
Des outils
Des moyens et des compétences
Aperçu sur la genèse de la pratique d’audit 12
Les objectifs de l’audit 4 objectifs permanents : Efficacité Efficience
La capacité à atteindre les objectifs. Politique de DG respectée ou non ? Les ressources nécessaires de mise en œuvre des politiques consommées sans gaspillage ?
Economie
Les ressources pour mise en œuvre des politiques de la DG : obtenues au moindre coût ?
Sécurité
Les ressources pour mise en œuvre des politiques de la DG sont-elles préservées.
4
2020-11-23
L'audit des systèmes d'information 13
Le système d’information
L’audit du système d’information
Le système d’information 14
Le système d'information d’une organisation est un ensemble de RESSOURCES qui, en interaction, transforment des informations élémentaires, préalablement saisies et stockées, en informations élaborées. Ces différentes FONCTIONS de l’information permettent aux dirigeants de prendre des décisions adaptées.
Elles permettent également aux autres utilisateurs de contribuer au fonctionnement de l’organisation au travers de différents ROLES.
Le système d’information 15
5
2020-11-23
L'audit des systèmes d'information 16
Définition : L’audit informatique (aussi appelé « audit des systèmes d’information ou de l’anglais Information Technology audit ») consiste à une intervention réalisée par une personne indépendante et extérieure au service audité, qui permet :
d’analyser tout ou une partie d’une organisation informatique,
d’établir un constat des points forts et des points faibles et,
dégager ainsi les recommandations d’amélioration.
L'audit des systèmes d'information 17
CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI)
1. Évaluation indépendante 2. Assistance du management 3. Appréciation du contrôle interne
L'audit des systèmes d'information 18
CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)
1. Activité d’évaluation indépendante L'auditeur :
doit être rattaché au niveau le plus haut de la hiérarchie
ne peut pas intervenir comme opérationnel
ni exercer un contrôle des personnes
6
2020-11-23
L'audit des systèmes d'information 19
CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)
2. Activité d’assistance du management
Optimaliser le fonctionnement de l’organisation
Le manager a une obligation de résultats
L'auditeur a une obligation de moyens et de résultats :
méthodologie et normes indépendance
pas d’implication opérationnelle
L'audit des systèmes d'information 20
CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)
3. Encourager un contrôle efficace Par des:
enquêtes et analyses évaluations recommandations et avis informations
L'audit des systèmes d'information 21
Les demandeurs d'un audit de l'activité informatique Les demandeurs d'un audit de l'activité informatique La direction de l'entreprise
Pour vérifier le respect des orientations qu‘elle a définis Le responsable informatique L'opinion motivée de spécialistes sur sa propre organisation Les contrôleurs externes S’intéressent à la qualité de l'environnement informatique
7
2020-11-23
L'audit des systèmes d'information 22
Les objectifs de l’audit SI Un audit n’a de sens que si sa finalité est définie. Les objectifs de l’audit définissent ce qui est attendu de l’auditeur. Ces derniers peuvent comprendre ce qui suit:
Vérifier la fiabilité de l’outil informatique et l’usage qui en est fait (difficile à atteindre); Evaluer de l’aptitude du système d’information à assurer la conformité aux exigences légales, réglementaires et contractuelles ; S’assurer de l’existence d’un plan de développement informatique à moyen terme; Porter un jugement sur l’efficacité et les compétences des services informatiques;
Vérifier les performances des matériels et logiciels informatiques;
Identifier les risques;
Rechercher des moyens de réduction;
Apporter des recommandations aux constats soulevés;
Identifier des domaines permettant une amélioration du système d’information.
L'audit des systèmes d'information 23
Périmètre des Audits SI L’audit informatique concerne l’examen :
De l’organisation d’information;
de
la
structure
en charge
des
systèmes
Des aspects stratégiques : conception et planification de la mise en oeuvre du système d’informations;
Des procédures liées au développement;
Des procédures liées à l’exploitation des applications informatiques;
Des ressources informatiques mises en service;
Des fonctions techniques;
Des activités de contrôle sur la protection et la confidentialité des données.
L'audit des systèmes d'information 24
L’audit des systèmes d’information va se baser sur trois (3) aspects indispensables :
Le cadre réglementaire du secteur d’activité d’un pays donné (exemple: LSF ; Sarbanes-Oxley Act ) ; Les référentiels de bonnes pratiques existants (exemple le référentiel CobiT, ITIL, …) ;
Les benchmarks à disposition et sur l’expérience professionnelle de l’auditeur impliqué.
8
2020-11-23
L'audit des systèmes d'information 25
Acteur l’audit SI Tous les «grands» cabinets d’audit et de conseil ont mis en place des démarches d’audit informatique en support à l’audit comptable s'appuyant sur des experts généralistes et des spécialistes : CISA (Certified Information System Auditor) CISM (Certified Information Security Manager) Les S.S.I.I. (Société de Services et d'Ingénierie en Informatique) réalisent également des audits informatiques mais dans un cadre moins réglementés
expertise technique expertise fonctionnelle
L’audit des systèmes d’information
vs l’urbanisation des SI
26
L'urbanisation du SI consiste à : Rationaliser les moyens pour réaliser des économies d’échelle en mutualisant les ressources matérielles et logicielles, et pour faciliter la transformation continue du système d’information.
a) La vision Métier
b) La vision fonctionnelle
c) La vision Informatique
L’urbanisation des SI: les différentes vues du SI 27
9
2020-11-23
LES PRINCIPES DE L’URBANISATION DES (SI) 28
a) La vision Métier
des événements
L’outil informatique doit s’adapter aux événements redondants du système opérationnel pour répondre aux besoins de l’organisation. Ainsi, du point de vue de l’urbanisation, le SI doit s’adapter aux ressources humaines. Le plus souvent, il s’agit d’automatiser ces
traitement, sans modifier de façon radicale le fonctionnement Métier.
des processus
Les réponses aux événements redondants se décomposent individuellement en une suite logique d’actions répétées appelée processus. Dans une démarche d’urbanisation, on cherchera à optimiser
ces processus, appelé Réingénierie de Processus.
LES PRINCIPES DE L’URBANISATION DES (SI) 29
b) La vision fonctionnelle
L’urbanisation consiste à faire évoluer son SI pour qu'il soutienne et accompagne de manière efficace et efficiente les missions des organisations et leurs transformations. L'urbanisation du SI ne fait pas table rase du passé mais tient compte de l'existant et doit permettre de mieux anticiper les évolutions ou contraintes internes et externes impactant le SI, et en s'appuyant le cas échéant sur des opportunités technologiques. L'urbanisation facilite la transformation continue du système d’information
LES PRINCIPES DE L’URBANISATION DES (SI) 30
c) La vision Informatique
Urbaniser, c’est quoi ? Au fond, il s’agit le plus souvent de rationaliser les moyens pour réaliser des économies d’échelle en mutualisant les ressources matérielles et logicielles, sans pour autant limiter ou perturber les ressources humaines que sont les utilisateurs, acteurs actifs de l’organisation.
10
2020-11-23
L’audit des (SI)
VS
La gouvernance des (SI)
31
Les professionnels définissent la gouvernance des systèmes d'information comme un ensemble des moyens qui concourent à un pilotage efficient et une mise en synergie de toutes les composantes de son SI afin d'en tirer le profit maximum. Sa finalité : est d’assurer aux dirigeants d’entreprise ainsi qu’aux actionnaires que la fonction SI est parfaitement gérée.
L’audit des (SI)
VS
La gouvernance des (SI)
32
L’association ISACA (Information Systems Audit and Control Association) qui prête beaucoup d’intérêt à la gouvernance des systèmes d’information en définit 5 piliers : Alignement stratégique
Mesure de la performance
Création de valeur
La gouvernance des SI
Gestion des risques
Gestion des ressources
33
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION
11
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION 34
Une mission d'audit informatique se prépare. Il convient de déterminer un domaine d'études pour délimiter le champ d'investigation. En ce sens il est conseillé d'effectuer un pré-diagnostic afin de préciser les questions dont l'audit va traiter. Cela se traduit par l'établissement d'une lettre de mission détaillant les principaux points à auditer.
Pour mener à bien l'audit informatique il est recommandé de suivre cinq phases suivantes :
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION 35
Les cinq phases de l'audit des systèmes d’information Phase 1 Le cadrage de la mission Phase 2 La compréhension de l’environnement informatique Phase 3 L’identification, évaluation des risques et des contrôles afférents aux systèmes Phase 4 Les tests des contrôles Phase 5 La rédaction du rapport d’audit et les recommandations
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LE CADRAGE DE LA MISSION 36
Les objectifs du cadrage de la mission se présentent comme suit : Une délimitation du périmètre d’intervention de l’équipe d’audit informatique. Cela peut être matérialisé par une lettre de mission, une note interne, une réunion préalable organisée entre les équipes d’audit financier et d’audit informatique ; Une structure d’approche d’audit et organisation des travaux entre les deux équipes ; Une définition du planning d’intervention ; Une définition des modes de fonctionnement et de communication.
Lors de cette phase, l’auditeur informatique prendra connaissance du dossier de l’équipe de l’audit financier (stratégie d’audit, rapports d’audit interne, points d’audit soulevés au cours des précédents audits).
12
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 37
Elle a pour but de comprendre les risques et les contrôles liés aux systèmes informatiques et; Elle doit permettre de déterminer comment les systèmes clés contribuent à la production de l’information. Elle se fait sur la base de 3 aspects notamment : 1.
L’organisation de la fonction informatique
2.
Les caractéristiques des systèmes informatiques
3.
La cartographie des applications
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 38
1. L’organisation de la fonction informatique : La stratégie informatique de l’entreprise : il s’agit bien d’un examen du plan informatique, du comité directeur informatique, des tableaux de bords etc. Le mode de gestion et d’organisation de la fonction informatique : il s’agit notamment de comprendre dans quelle mesure la structure organisationnelle de la fonction informatique est adaptée aux objectifs de l’entreprise.
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 39
1. L’organisation de la fonction informatique :
13
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 40
1. L’organisation de la fonction informatique : Alignement stratégique informatique Le SI étant au cœur de l’entreprise, l’application de la stratégie revient à adapter chaque sous-système d’information dans chaque domaine fonctionnel, en tenant compte des stratégies déclinées pour chaque métier : C’est l’alignement stratégique informatique fondé sur une stratégie relationnelle.
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 41
1. L’organisation de la fonction informatique : Les niveaux de l‘audit des (SI) Assurer la pertinence du SI, son adéquation aux objectifs de l‘entreprise, (son alignement à ses stratégies) Tactique Assurer la qualité des processus mis en œuvre par la fonction informatique (exploitation quotidienne, développement de nouvelles applications, évolution du système existant, préparation de l‘avenir,..) Opérationnel Assurer la sûreté du fonctionnement quotidien de l‘informatique Stratégique
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 42
2. Les caractéristiques des systèmes informatiques : L’auditeur devra se focaliser sur les systèmes clés de façon à identifier les risques et les contrôles y afférents. Ainsi, il faudrait documenter l’architecture du matériel et du réseau en précisant: Les caractéristiques des systèmes hardware utilisés; Les caractéristiques des systèmes software.
14
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 43
3. La cartographie des applications : La documentation des applications clés devrait être effectuée de préférence, conjointement par l’équipe de l’audit financier et celle de l’audit informatique. Les auditeurs financiers identifient les comptes significatifs compte tenu du seuil de matérialité de la mission. Les deux équipes recensent les processus qui alimentent ces comptes.
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 44
Évaluer les risques : Une fois l’univers d’audit défini, l’étape suivante de la définition du programme d’audit consiste en une évaluation systématique et uniforme des risques associés à tous les sujets.
L’univers du SI : Comme indiqué plus haut, les auditeurs commenceront par dresser l’inventaire des composantes de l’environnement informatique afin de déterminer quels domaines du SI verront leurs risques et contrôles examinés.
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 45
L’IIA (Institute of Internal Auditors) définit le risque comme la « possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité ».
Il est donc absolument crucial que les organisations fassent périodiquement l'inventaire des risques auxquels elles sont exposées et qu’elles entreprennent les actions nécessaires pour maintenir ces risques à un niveau acceptable.
15
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 46
Risque: Evènement susceptible d’entraîner des dommages et/ou des pertes pour l’entreprise concernée;
S’exprime en fonction de la menace et de la vulnérabilité;
Se caractérise par une probabilité et un impact.
Menace: Tout acte, situation, événement, pouvant être à l'origine de dégâts ou de dommages sur un bien ou à une personne physique ou morale. Vulnérabilité: peut concerner une faille dans:
Une procédure, un système, le design, l'implémentation d'un contrôle qui peut être exploitée pour abuser la sécurité ou empêcher d'atteindre les objectifs de la société;
Les bâtiments et les locaux, les logiciels et applications, les systèmes,…
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 47
Hiérarchiser les risques : On peut mesurer le risque et l’impact suivant trois approches : Estimation directe des probabilités et des pertes attendues, ou application de probabilités à la valeur des actifs afin de déterminer le niveau potentiel de pertes
Facteurs de risques ou utilisation de facteurs observables ou mesurables afin de valoriser un risque spécifique ou une classe de risques
Matrices pondérées ou de classification, ou utilisation de matrices « menaces vs composantes » afin d’évaluer les conséquences et les contrôles
Une fois ces risques recensés, l’auditeur devra évaluer les contrôles mis en place par l’entreprise pour gérer ces risques.
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 48
EXEMPLES : RISQUES D’AFFAIRES … À GÉRER ET/OU IMPACT SUR L’AUDIT
Fraudes informatiques Pannes
16
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 49
Risque: fraudes informatiques
Détournements de fonds
Vol d’informations confidentielles
Piratage, virus ( externe prend le contrôle d’un système…)
Vol de matériel informatique
Il est essentiel d’instaurer de bons contrôles! S’il y un risque élevé au niveau des fraudes informatiques, le tout aura un incidence pour l’auditeur externe sur le plan de la stratégie qu’il utilisera ainsi que le type et la quantité de travail qu’il fera.
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 50
Risque : panne majeure du système
Arrêt des opérations
Perte de revenus peut être importante
Insatisfaction de la clientèle
Plan d’urgence doit être existant ( à jour, opérationnel et connu de tous) Il est essentiel d’instaurer de bons contrôles!
Le gestionnaire veut minimiser la fréquence et la durée des pannes. S’il y un risque élevé au niveau des pannes informatiques, le tout aura un incidence pour l’auditeur externe sur le plan de la stratégie qu’il utilisera ainsi que le type et la quantité de travail qu’il fera. Dépendamment de QUAND la panne est survenue ( saison forte ou non? et LA PÉRIODE pendant laquelle la panne a durée…)
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 51
Risque informatique et législation Il y a seulement quelques années que le législateur s'est inquiété de l'importance stratégique des systèmes d'information. Il a institué une obligation de gérer les risques que courent le SI pour 2 motifs : Pour sa valeur intrinsèque: Sarbanes-Oxley Act,
Bâle II Pour son rôle d'outil dans l'évaluation financière de l'entreprise et l'obligation faite désormais au SI de remonter de manière fiable et rapide toutes les informations permettant l'audit financier de l'entreprise :
Bâle II IAS / IFRS LSF Sarbanes-Oxley Act
17
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 52
Une fois ces risques recensés, l’auditeur devra évaluer les contrôles mis en place par l’entreprise pour gérer ces risques. Les tests des contrôles informatiques peuvent être effectués en utilisant aussi bien des techniques spécifiques aux environnements informatisés (contrôles assistés par ordinateurs, revue des codes, jeux de tests) que des techniques classiques (examen des pièces et documents)
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 53
Identification des contrôles
Contrôles : sont des politiques, des procédures, des pratiques et des structures organisationnelles désignées pour mettre à disposition une assurance raisonnable que les objectifs seront atteints et que les événements non souhaités pourront être prévenus ou détectés et corrigés.
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 54
L’importance des contrôles En contexte informatique, l’importance des contrôles est accrue, à la saisie, à la préparation et à la transmission des données. Les contrôles assurent entre autres que :
tout ce qui doit être enregistré l’est
c’est enregistré correctement
que toutes les opérations sont autorisées et révisées
que les données demeurent intégrales lors du traitement
que les erreurs sont détectées et corrigées…
18
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 55
Exemples des contrôles : Entrée des données Mise en place de contrôles programmés:
Validation d’accès (code d’utilisateurs et mots de passe)
Validation de limite (politique de crédit, de rémunération)
Validation de logique (qté négative, # document en double, date inexistante, etc. )
Validation d’historique, de vraisemblance (commande de 100 unités vs 1000 unités)
Validation de séquence
Validation d’intégralité
Chiffre d’auto contrôle
Demande de confirmation
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 56
Entrée des données
Impacts des validations :
Refus de la transaction Refus catégorique ou autorisation nécessaire. Autorisation nécessaire Ex : Si la commande dépasse la limite de crédit du client. Rapport d’exception Attention si personne ne regarde les rapports d’exception Rapport d’exception et mise en attente de la transaction
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 57
Différents contrôles
Coupe‐feu : pour empêcher les accès non autorisés au réseau Système de détection d’intrusion : au cas où quelqu’un réussirait tout de même à pénétrer notre réseau. Antivirus : pour empêcher les indésirables de faire des dommages à nos ordinateurs, réseaux, fichiers… DOIT ÊTRE À JOUR Encryptage : pour coder l’information lors d’un transfert et ainsi éviter que des personnes non autorisées puissent lire le contenu. Validations : relatives aux entrées de données… Afin de s’assurer de réduire au maximum les erreurs et omissions lors de l’entrée des données. Etc.
19
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 58
Exemples de contrôles programmés
Contrôles de validation (accès, limite, logique, historique...) Contrôles de séquence : assure que les données suivent un ordre numérique, alphabétique, chronologique ou autre. Contrôles d’intégralité : une transaction ne peut être acceptée si elle est incomplète. Contrôles de logique : assure que les enregistrements ne contiennent pas d’éléments d’information incompatibles
Ex : validation de l’âge ou du sexe de la personne vs sa demande…
Chiffre d’autocontrôle : assure l’authenticité de certains numéros. Demande de confirmation d’information avant acceptation : l’ordinateur demande automatiquement de reconfirmer les informations avant de pouvoir poursuivre…
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 59
TYPES DE PROBLÈMES (FAIBLESSES) FRÉQUENTS
Personnel Documentation Sauvegarde
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 60
Problèmes reliés aux opérations Problèmes reliés aux opérations Opérateur
Programmeur Analyste
Supporte techniquement les usagers, installe les nouveaux logiciels, fait le suivi des sauvegardes. L’opérateur ne peut pas modifier les programmes, il ne fait que les utiliser. Doit être présent tant qu’il y a des usagers.
Développe et teste les systèmes en fonction des instructions de l’analyste. Analyse les besoins d’affaire, la capacité du système, le développement nécessaire, etc. L’analyste conçoit les logiciels en fonction des besoins des usagers.
20
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 61
Problèmes reliés au personnel
Personnel SI débordé, non disponible Personnel SI incompétent Personnel SI insuffisant Personnel ne respecte pas les consignes reliées aux SI Employés ne connaissent pas le système ( manque de formation) Employés font de nombreuses erreurs Réticence au changement
IMPORTANT : Tous ces problèmes doivent être gérés à l’interne et ces situations auront aussi un impact sur l’audit (risques, procédures)
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 62
Problèmes reliés à la documentation
Documentation absente
Documentation pas à jour ( attention si changement de système, expansion de l’entreprise…) Documentation incomprise car non adaptée aux besoins des utilisateurs concernés Documentation disponible pour du personnel non concerné par celleci
Documentation sur:
Programmes, matériel ( équipe technique)
Opération du système
Utilisation du système par l’usager de base
ATTENTION : QUI DÉVELOPPE LA DOCUMENTATION? Il faut limiter l’accès à la documentation aux personnes concernées
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 63
Problèmes reliées aux données (saisie et traitement)
Cela peut engendrer des erreurs dans l’information pour la prise de décision Quantité de travail pour corriger les erreurs peut être élevée et le tout peut être coûteux… Du point de vue de l’audit, le tout augmentera la quantité de tests à faire
Exemples:
Manquer de stock
Payer un employé en trop
Vendre un produit au mauvais prix
Vendre à un client qui a dépassé sa limite
21
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 64
Problèmes reliés aux sauvegardes
Absence de sauvegarde
Sauvegardes pas assez fréquentes
Sauvegardes conservées dans un endroit non sécuritaire
Sauvegardes conservées à l’intérieur de l’entreprise
IMPORTANT: QUI FAIT LES SAUVEGARDES? QUAND? ET COMMENT?+ CONSERVATION DE CELLES-CI
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION
LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS
65
La rédaction du rapport d'audit est un long travail qui permet de mettre en avant des constatations faites par l'auditeur et les recommandations qu'il propose. La présentation et la discussion du rapport d'audit au demandeur d'audit, au management de l'entreprise ou au management de la fonction informatique.
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION
LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS
66
Clés de succès de la mission d’audit La réussite de la mission sur le point fonctionnel dépend de trois points fondamentaux:
La volonté et le soutien de la direction: celle-ci doit être ouverte à toutes les suggestions et recommandations émises. Le profil et la qualité personnelle et professionnelle de l’auditeur: ce dernier doit avoir les compétences requises pour effectuer cette tâche d’audit. L’adhésion de tout le personnel de l’entreprise: tous le personnel doit participer à l’élaboration du système de contrôle. En effet, l’auditeur n’a pas toutes les informations spécifiques à l’ensemble de l’activité de l’entreprise.
22
2020-11-23
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION
LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS
67
Déontologie de l’audit des systèmes d’information
Par Déontologie de l’audit informatique est l’ensemble des règles et des devoirs qui régissent une profession, la conduite de ceux qui l’exercent, les rapports entre ceux-ci et leurs clients privé ou public.
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION
LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS
68
Déontologie de l’audit des systèmes d’information L’auditeur doit obéir une déontologie certaine. C’est ainsi qu’il doit :
S’interdire de cumuler audit et conseil, sur une même question;
Garantir, même implicitement par une simple acceptation d’une tâche, qu’il a, par lui-même ou grâce à une équipe sur laquelle il peut compter, les compétences nécessaires;
DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION
LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS
69
Déontologie de l’audit des systèmes d’information
S’intéresser au système d’information dans son ensemble, Fournir des conclusions motivées, utiles, sur l’objet et l’aspect, ainsi que la période de temps qui a dû être considérée, qui ont été les éléments de sa mission. L’audit informatique qui suggère une quantification des faits est inacceptables sauf éventuellement dans un contexte précis, et dans le délai imparti et accepté.
23
2020-11-23
70
Différent thèmes à analyser sur un audit des SI
24