Audit Des Systèmes Dinformation 1 [PDF]

Zitiervorschau

2020-11-23

Université Sidi Mohamed Ben Abdellah Ecole Nationale de Commerce et de Gestion National School of Management Route d’Immouzar, B.P A 81 30000 FES-MAROC

1

AUDIT DES SYSTÈMES D’INFORMATION

Préparé par TAOUFIK EL BOUZEKRI EL IDRISSI Ecole Nationale de Commerce et de Gestion Université Sidi Mohamed Ben Abdellah-Fès [email protected]

Année universitaire 2020/2021

2

« Il y a peu de différence entre un homme et un autre, mais c'est cette différence qui est tout. » Psychologue

William

James.

Philosophe,

Objectifs du cours: 3

Les principaux objectifs de ce cours sont d'amener les étudiants à :   

 





Comprendre le vocabulaire et les concepts de base associés à l’ audit des SI Définition des différents types d'audit; Maîtriser les fondamentaux et utiliser les outils essentiels à la fonction d’audit appliqués aux systèmes d'information; Maîtriser les référentiels associés aux systèmes d’information. Appréhender les méthodes et critères pouvant faciliter la gestion des risques Etre en mesure de réaliser un audit SI dans l’entreprise de la phase planification jusqu’au suivi des actions d’amélioration; Comprendre et expliquer en quoi l’audit des SI peut améliorer la compétitivité des entreprises

1

2020-11-23

Sujets abordés 4



Aperçu sur la genèse de la pratique d’audit



L'audit des systèmes d'information (SI) : définition et enjeux



Typologie de l'audit des systèmes d’information



Démarche d'audit des systèmes d’information



Différent thèmes à analyser sur un audit des SI



Les référentiels d'audit des systèmes d’information



Audit des systèmes d’information dans un cadre CAC

Aperçu sur la genèse de la pratique d’audit 5

Audit : Définition et origines Etymologie:

Audit vient du verbe latin «audire» qui veut dire «écouter» La théorie fondamentale de l’audit à des origines très anciennes : Sumériens, Egyptiens, phéniciens, Grecs, Romains .... Le besoin d’établissement d’une information objective entre les partenaires économiques au 2ème millénaire avant JC a fait des sumériens les premiers adeptes de la démarche de contrôle et de normalisation

Historique:

•Dès le 3ème siècle avant JC, nomination de questeurs ayant pour mission de contrôler les comptabilités par les gouverneurs romains et à cette époque qui apparut le terme audit du latin «audire»; •Jusqu'à la fin du 19ème siècle, la finalité d'audit était la détection des fraudes sous la demande des pouvoirs publics, ainsi les modes de contrôle se basaient sur la vérification détaillée et exhaustive des pièces comptables; •Premier cabinet d'audit fut fondé au 19ème siècle à Londres; •Au milieu du 20ème siècle, la finalité d'audit est devenue de porter un jugement sur la validité des comptes annuels suite à la croissance de la taille des organisations contrôlées.

Aperçu sur la genèse de la pratique d’audit 6

Audit : Définition et origines (suite) Un audit est un processus permanent ou ponctuel, par lequel une fonction de l’entreprise est évaluée par une ou plusieurs personnes qui n’exercent pas cette fonction dans l’entreprise

Une entreprise souhaite un audit d’une de ses fonctions parce que ses responsables y perçoivent un dysfonctionnement ou des possibilités d’amélioration, ou bien veulent comprendre la « vraie » réalité de cette fonction, c'est-à-dire au-delà de ce qui en est dit ou de ce qu'elle paraît être.

2

2020-11-23

Aperçu sur la genèse de la pratique d’audit 7

Le contrôle Vs l’audit Le terme contrôle est fréquemment associé à celui d'audit; la différence entre les deux notions peut s'expliquer par référence à la théorie des ensembles puisque la mise en oeuvre de l'audit implique de procéder à différents contrôles.



L'audit englobe ainsi l'ensemble des procédures et techniques de contrôle constituant l'examen approfondi par un professionnel et reposant sur une méthodologie. Le contrôle se présente donc comme un outil d'audit, néanmoins ce dernier comprend une opinion qui est le résultat des contrôles.



Aperçu sur la genèse de la pratique d’audit 8

L’audit : Pour qui? Et Pourquoi? Pour qui ?  

Les dirigeants (qu’a-t-on fait? peut-on faire mieux? ) Les actionnaires actuels (résultats, situation financière peut-on faire mieux? )



Les actionnaires potentiels (doit-on acheter? )



Les salariés (suis-je dans une situation d’emploi précaire? )



Les fournisseurs(puis-je traiter? serai-je payé? )



Les clients (puis-je traiter? serai-je servi durablement? )



L’Etat(résultat fiscal? )

Pourquoi? 

Nécessité de confirmer la validité l’entreprise.

des

informations

données par

Aperçu sur la genèse de la pratique d’audit 9

Les principales questions posées par les décideurs : Les questions posées aux auditeurs informatiques sont très variées . Elles peuvent porter : 

Le rôle de l’informatique



La politique informatique



Les structures informatiques



Les applications



Les moyens mis en oeuvre



Les hommes

3

2020-11-23

Aperçu sur la genèse de la pratique d’audit 10

Types d’audit Types d’audit Audit financier Audit opérationnel Audit qualité Audit social

Autres audits spécifiques Audit intégré (combinant les aspects financiers et opérationnels); Audit administratifs (évaluation de l'efficacité opérationnelle /productivité); Audit du système d'information; Audit spécialisé standardisée,...);

(domaine

spécifique,

démarche

Aperçu sur la genèse de la pratique d’audit 11

Selon quelle démarche et avec quels outils ? Pour auditer, il faut : 

Un besoin clairement exprimé



Un périmètre bien défini



Une méthode formelle



Des outils



Des moyens et des compétences

Aperçu sur la genèse de la pratique d’audit 12

Les objectifs de l’audit 4 objectifs permanents : Efficacité Efficience

La capacité à atteindre les objectifs. Politique de DG respectée ou non ? Les ressources nécessaires de mise en œuvre des politiques consommées sans gaspillage ?

Economie

Les ressources pour mise en œuvre des politiques de la DG : obtenues au moindre coût ?

Sécurité

Les ressources pour mise en œuvre des politiques de la DG sont-elles préservées.

4

2020-11-23

L'audit des systèmes d'information 13



Le système d’information



L’audit du système d’information

Le système d’information 14







Le système d'information d’une organisation est un ensemble de RESSOURCES qui, en interaction, transforment des informations élémentaires, préalablement saisies et stockées, en informations élaborées. Ces différentes FONCTIONS de l’information permettent aux dirigeants de prendre des décisions adaptées.

Elles permettent également aux autres utilisateurs de contribuer au fonctionnement de l’organisation au travers de différents ROLES.

Le système d’information 15

5

2020-11-23

L'audit des systèmes d'information 16

Définition : L’audit informatique (aussi appelé « audit des systèmes d’information ou de l’anglais Information Technology audit ») consiste à une intervention réalisée par une personne indépendante et extérieure au service audité, qui permet : 

d’analyser tout ou une partie d’une organisation informatique,



d’établir un constat des points forts et des points faibles et,



dégager ainsi les recommandations d’amélioration.

L'audit des systèmes d'information 17

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI)

1. Évaluation indépendante 2. Assistance du management 3. Appréciation du contrôle interne

L'audit des systèmes d'information 18

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)

1. Activité d’évaluation indépendante L'auditeur : 

doit être rattaché au niveau le plus haut de la hiérarchie



ne peut pas intervenir comme opérationnel



ni exercer un contrôle des personnes

6

2020-11-23

L'audit des systèmes d'information 19

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)

2. Activité d’assistance du management 

Optimaliser le fonctionnement de l’organisation



Le manager a une obligation de résultats



L'auditeur a une obligation de moyens et de résultats : 

méthodologie et normes indépendance



pas d’implication opérationnelle



L'audit des systèmes d'information 20

CARACTERISTIQUES DE LA FONCTION D’AUDIT DES (SI) (Suite)

3. Encourager un contrôle efficace Par des:    

enquêtes et analyses évaluations recommandations et avis informations

L'audit des systèmes d'information 21

Les demandeurs d'un audit de l'activité informatique Les demandeurs d'un audit de l'activité informatique La direction de l'entreprise

Pour vérifier le respect des orientations qu‘elle a définis Le responsable informatique L'opinion motivée de spécialistes sur sa propre organisation Les contrôleurs externes S’intéressent à la qualité de l'environnement informatique

7

2020-11-23

L'audit des systèmes d'information 22

Les objectifs de l’audit SI Un audit n’a de sens que si sa finalité est définie. Les objectifs de l’audit définissent ce qui est attendu de l’auditeur. Ces derniers peuvent comprendre ce qui suit: 







Vérifier la fiabilité de l’outil informatique et l’usage qui en est fait (difficile à atteindre); Evaluer de l’aptitude du système d’information à assurer la conformité aux exigences légales, réglementaires et contractuelles ; S’assurer de l’existence d’un plan de développement informatique à moyen terme; Porter un jugement sur l’efficacité et les compétences des services informatiques;



Vérifier les performances des matériels et logiciels informatiques;



Identifier les risques;



Rechercher des moyens de réduction;



Apporter des recommandations aux constats soulevés;



Identifier des domaines permettant une amélioration du système d’information.

L'audit des systèmes d'information 23

Périmètre des Audits SI L’audit informatique concerne l’examen : 



De l’organisation d’information;

de

la

structure

en charge

des

systèmes

Des aspects stratégiques : conception et planification de la mise en oeuvre du système d’informations;



Des procédures liées au développement;



Des procédures liées à l’exploitation des applications informatiques;



Des ressources informatiques mises en service;



Des fonctions techniques;



Des activités de contrôle sur la protection et la confidentialité des données.

L'audit des systèmes d'information 24

L’audit des systèmes d’information va se baser sur trois (3) aspects indispensables : 





Le cadre réglementaire du secteur d’activité d’un pays donné (exemple: LSF ; Sarbanes-Oxley Act ) ; Les référentiels de bonnes pratiques existants (exemple le référentiel CobiT, ITIL, …) ;

Les benchmarks à disposition et sur l’expérience professionnelle de l’auditeur impliqué.

8

2020-11-23

L'audit des systèmes d'information 25

Acteur l’audit SI Tous les «grands» cabinets d’audit et de conseil ont mis en place des démarches d’audit informatique en support à l’audit comptable s'appuyant sur des experts généralistes et des spécialistes :  CISA (Certified Information System Auditor) CISM (Certified Information Security Manager) Les S.S.I.I. (Société de Services et d'Ingénierie en Informatique) réalisent également des audits informatiques mais dans un cadre moins réglementés 

 

expertise technique expertise fonctionnelle

L’audit des systèmes d’information

vs l’urbanisation des SI

26

L'urbanisation du SI consiste à : Rationaliser les moyens pour réaliser des économies d’échelle en mutualisant les ressources matérielles et logicielles, et pour faciliter la transformation continue du système d’information. 

a) La vision Métier



b) La vision fonctionnelle



c) La vision Informatique

L’urbanisation des SI: les différentes vues du SI 27

9

2020-11-23

LES PRINCIPES DE L’URBANISATION DES (SI) 28

a) La vision Métier

des événements

L’outil informatique doit s’adapter aux événements redondants du système opérationnel pour répondre aux besoins de l’organisation. Ainsi, du point de vue de l’urbanisation, le SI doit s’adapter aux ressources humaines. Le plus souvent, il s’agit d’automatiser ces

traitement, sans modifier de façon radicale le fonctionnement Métier.

des processus

Les réponses aux événements redondants se décomposent individuellement en une suite logique d’actions répétées appelée processus. Dans une démarche d’urbanisation, on cherchera à optimiser

ces processus, appelé Réingénierie de Processus.

LES PRINCIPES DE L’URBANISATION DES (SI) 29

b) La vision fonctionnelle

L’urbanisation consiste à faire évoluer son SI pour qu'il soutienne et accompagne de manière efficace et efficiente les missions des organisations et leurs transformations. L'urbanisation du SI ne fait pas table rase du passé mais tient compte de l'existant et doit permettre de mieux anticiper les évolutions ou contraintes internes et externes impactant le SI, et en s'appuyant le cas échéant sur des opportunités technologiques. L'urbanisation facilite la transformation continue du système d’information

LES PRINCIPES DE L’URBANISATION DES (SI) 30

c) La vision Informatique

Urbaniser, c’est quoi ? Au fond, il s’agit le plus souvent de rationaliser les moyens pour réaliser des économies d’échelle en mutualisant les ressources matérielles et logicielles, sans pour autant limiter ou perturber les ressources humaines que sont les utilisateurs, acteurs actifs de l’organisation.

10

2020-11-23

L’audit des (SI)

VS

La gouvernance des (SI)

31





Les professionnels définissent la gouvernance des systèmes d'information comme un ensemble des moyens qui concourent à un pilotage efficient et une mise en synergie de toutes les composantes de son SI afin d'en tirer le profit maximum. Sa finalité : est d’assurer aux dirigeants d’entreprise ainsi qu’aux actionnaires que la fonction SI est parfaitement gérée.

L’audit des (SI)

VS

La gouvernance des (SI)

32 

L’association ISACA (Information Systems Audit and Control Association) qui prête beaucoup d’intérêt à la gouvernance des systèmes d’information en définit 5 piliers : Alignement stratégique

Mesure de la performance

Création de valeur

La gouvernance des SI

Gestion des risques

Gestion des ressources

33

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION

11

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION 34







Une mission d'audit informatique se prépare. Il convient de déterminer un domaine d'études pour délimiter le champ d'investigation. En ce sens il est conseillé d'effectuer un pré-diagnostic afin de préciser les questions dont l'audit va traiter. Cela se traduit par l'établissement d'une lettre de mission détaillant les principaux points à auditer.

Pour mener à bien l'audit informatique il est recommandé de suivre cinq phases suivantes :

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION 35

Les cinq phases de l'audit des systèmes d’information Phase 1 Le cadrage de la mission Phase 2 La compréhension de l’environnement informatique Phase 3 L’identification, évaluation des risques et des contrôles afférents aux systèmes Phase 4 Les tests des contrôles Phase 5 La rédaction du rapport d’audit et les recommandations

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LE CADRAGE DE LA MISSION 36

Les objectifs du cadrage de la mission se présentent comme suit :  Une délimitation du périmètre d’intervention de l’équipe d’audit informatique. Cela peut être matérialisé par une lettre de mission, une note interne, une réunion préalable organisée entre les équipes d’audit financier et d’audit informatique ;  Une structure d’approche d’audit et organisation des travaux entre les deux équipes ;  Une définition du planning d’intervention ;  Une définition des modes de fonctionnement et de communication.

 Lors de cette phase, l’auditeur informatique prendra connaissance du dossier de l’équipe de l’audit financier (stratégie d’audit, rapports d’audit interne, points d’audit soulevés au cours des précédents audits).

12

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 37

Elle a pour but de comprendre les risques et les contrôles liés aux systèmes informatiques et; Elle doit permettre de déterminer comment les systèmes clés contribuent à la production de l’information. Elle se fait sur la base de 3 aspects notamment : 1.

L’organisation de la fonction informatique

2.

Les caractéristiques des systèmes informatiques

3.

La cartographie des applications

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 38

1. L’organisation de la fonction informatique :  La stratégie informatique de l’entreprise : il s’agit bien d’un examen du plan informatique, du comité directeur informatique, des tableaux de bords etc.  Le mode de gestion et d’organisation de la fonction informatique : il s’agit notamment de comprendre dans quelle mesure la structure organisationnelle de la fonction informatique est adaptée aux objectifs de l’entreprise.

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 39

1. L’organisation de la fonction informatique :

13

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 40

1. L’organisation de la fonction informatique : Alignement stratégique informatique Le SI étant au cœur de l’entreprise, l’application de la stratégie revient à adapter chaque sous-système d’information dans chaque domaine fonctionnel, en tenant compte des stratégies déclinées pour chaque métier : C’est l’alignement stratégique informatique fondé sur une stratégie relationnelle.

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 41

1. L’organisation de la fonction informatique : Les niveaux de l‘audit des (SI) Assurer la pertinence du SI, son adéquation aux objectifs de l‘entreprise, (son alignement à ses stratégies) Tactique Assurer la qualité des processus mis en œuvre par la fonction informatique (exploitation quotidienne, développement de nouvelles applications, évolution du système existant, préparation de l‘avenir,..) Opérationnel Assurer la sûreté du fonctionnement quotidien de l‘informatique Stratégique

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 42

2. Les caractéristiques des systèmes informatiques : L’auditeur devra se focaliser sur les systèmes clés de façon à identifier les risques et les contrôles y afférents. Ainsi, il faudrait documenter l’architecture du matériel et du réseau en précisant:  Les caractéristiques des systèmes hardware utilisés;  Les caractéristiques des systèmes software.

14

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 43

3. La cartographie des applications : La documentation des applications clés devrait être effectuée de préférence, conjointement par l’équipe de l’audit financier et celle de l’audit informatique. Les auditeurs financiers identifient les comptes significatifs compte tenu du seuil de matérialité de la mission. Les deux équipes recensent les processus qui alimentent ces comptes.

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LA COMPREHENSION DE L’ENVIRONNEMENT INFORMATIQUE 44

 Évaluer les risques : Une fois l’univers d’audit défini, l’étape suivante de la définition du programme d’audit consiste en une évaluation systématique et uniforme des risques associés à tous les sujets.

 L’univers du SI : Comme indiqué plus haut, les auditeurs commenceront par dresser l’inventaire des composantes de l’environnement informatique afin de déterminer quels domaines du SI verront leurs risques et contrôles examinés.

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 45

 L’IIA (Institute of Internal Auditors) définit le risque comme la « possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité ».

 Il est donc absolument crucial que les organisations fassent périodiquement l'inventaire des risques auxquels elles sont exposées et qu’elles entreprennent les actions nécessaires pour maintenir ces risques à un niveau acceptable.

15

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 46

 Risque: Evènement susceptible d’entraîner des dommages et/ou des pertes pour l’entreprise concernée; 

S’exprime en fonction de la menace et de la vulnérabilité;



Se caractérise par une probabilité et un impact.

 Menace: Tout acte, situation, événement, pouvant être à l'origine de dégâts ou de dommages sur un bien ou à une personne physique ou morale.  Vulnérabilité: peut concerner une faille dans: 



Une procédure, un système, le design, l'implémentation d'un contrôle qui peut être exploitée pour abuser la sécurité ou empêcher d'atteindre les objectifs de la société;

Les bâtiments et les locaux, les logiciels et applications, les systèmes,…

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 47

Hiérarchiser les risques : On peut mesurer le risque et l’impact suivant trois approches : Estimation directe des probabilités et des pertes attendues, ou application de probabilités à la valeur des actifs afin de déterminer le niveau potentiel de pertes



Facteurs de risques ou utilisation de facteurs observables ou mesurables afin de valoriser un risque spécifique ou une classe de risques



Matrices pondérées ou de classification, ou utilisation de matrices « menaces vs composantes » afin d’évaluer les conséquences et les contrôles



Une fois ces risques recensés, l’auditeur devra évaluer les contrôles mis en place par l’entreprise pour gérer ces risques.

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 48

EXEMPLES : RISQUES D’AFFAIRES … À GÉRER ET/OU IMPACT SUR L’AUDIT

Fraudes informatiques  Pannes 

16

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 49

Risque: fraudes informatiques 

Détournements de fonds



Vol d’informations confidentielles



Piratage, virus ( externe prend le contrôle d’un système…)



Vol de matériel informatique

Il est essentiel d’instaurer de bons contrôles! S’il y un risque élevé au niveau des fraudes informatiques, le tout aura un incidence pour l’auditeur externe sur le plan de la stratégie qu’il utilisera ainsi que le type et la quantité de travail qu’il fera.

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 50

Risque : panne majeure du système 

Arrêt des opérations



Perte de revenus peut être importante



Insatisfaction de la clientèle



Plan d’urgence doit être existant ( à jour, opérationnel et connu de tous) Il est essentiel d’instaurer de bons contrôles!

Le gestionnaire veut minimiser la fréquence et la durée des pannes. S’il y un risque élevé au niveau des pannes informatiques, le tout aura un incidence pour l’auditeur externe sur le plan de la stratégie qu’il utilisera ainsi que le type et la quantité de travail qu’il fera. Dépendamment de QUAND la panne est survenue ( saison forte ou non? et LA PÉRIODE pendant laquelle la panne a durée…)

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES DE L’AUDIT DES SYSTEMES D’INFORMATION 51

Risque informatique et législation Il y a seulement quelques années que le législateur s'est inquiété de l'importance stratégique des systèmes d'information. Il a institué une obligation de gérer les risques que courent le SI pour 2 motifs : Pour sa valeur intrinsèque: Sarbanes-Oxley Act,



Bâle II Pour son rôle d'outil dans l'évaluation financière de l'entreprise et l'obligation faite désormais au SI de remonter de manière fiable et rapide toutes les informations permettant l'audit financier de l'entreprise : 

   

Bâle II IAS / IFRS LSF Sarbanes-Oxley Act

17

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 52

Une fois ces risques recensés, l’auditeur devra évaluer les contrôles mis en place par l’entreprise pour gérer ces risques. Les tests des contrôles informatiques peuvent être effectués en utilisant aussi bien des techniques spécifiques aux environnements informatisés (contrôles assistés par ordinateurs, revue des codes, jeux de tests) que des techniques classiques (examen des pièces et documents)

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 53

Identification des contrôles 

Contrôles : sont des politiques, des procédures, des pratiques et des structures organisationnelles désignées pour mettre à disposition une assurance raisonnable que les objectifs seront atteints et que les événements non souhaités pourront être prévenus ou détectés et corrigés.

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 54

L’importance des contrôles En contexte informatique, l’importance des contrôles est accrue, à la saisie, à la préparation et à la transmission des données. Les contrôles assurent entre autres que : 

tout ce qui doit être enregistré l’est



c’est enregistré correctement



que toutes les opérations sont autorisées et révisées



que les données demeurent intégrales lors du traitement



que les erreurs sont détectées et corrigées…

18

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 55

Exemples des contrôles : Entrée des données Mise en place de contrôles programmés:





Validation d’accès (code d’utilisateurs et mots de passe)



Validation de limite (politique de crédit, de rémunération)





Validation de logique (qté négative, # document en double, date inexistante, etc. )

Validation d’historique, de vraisemblance (commande de 100 unités vs 1000 unités)



Validation de séquence



Validation d’intégralité



Chiffre d’auto contrôle



Demande de confirmation

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 56

Entrée des données 

Impacts des validations : 







Refus de la transaction  Refus catégorique ou autorisation nécessaire. Autorisation nécessaire  Ex : Si la commande dépasse la limite de crédit du client. Rapport d’exception  Attention si personne ne regarde les rapports d’exception Rapport d’exception et mise en attente de la transaction

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 57

Différents contrôles  









Coupe‐feu : pour empêcher les accès non autorisés au réseau Système de détection d’intrusion : au cas où quelqu’un réussirait tout de même à pénétrer notre réseau. Antivirus : pour empêcher les indésirables de faire des dommages à nos ordinateurs, réseaux, fichiers… DOIT ÊTRE À JOUR Encryptage : pour coder l’information lors d’un transfert et ainsi éviter que des personnes non autorisées puissent lire le contenu. Validations : relatives aux entrées de données… Afin de s’assurer de réduire au maximum les erreurs et omissions lors de l’entrée des données. Etc.

19

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 58

Exemples de contrôles programmés  





Contrôles de validation (accès, limite, logique, historique...) Contrôles de séquence : assure que les données suivent un ordre numérique, alphabétique, chronologique ou autre. Contrôles d’intégralité : une transaction ne peut être acceptée si elle est incomplète. Contrôles de logique : assure que les enregistrements ne contiennent pas d’éléments d’information incompatibles 

 

Ex : validation de l’âge ou du sexe de la personne vs sa demande…

Chiffre d’autocontrôle : assure l’authenticité de certains numéros. Demande de confirmation d’information avant acceptation : l’ordinateur demande automatiquement de reconfirmer les informations avant de pouvoir poursuivre…

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 59

TYPES DE PROBLÈMES (FAIBLESSES) FRÉQUENTS

Personnel  Documentation  Sauvegarde 

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 60

Problèmes reliés aux opérations Problèmes reliés aux opérations Opérateur

Programmeur Analyste

Supporte techniquement les usagers, installe les nouveaux logiciels, fait le suivi des sauvegardes. L’opérateur ne peut pas modifier les programmes, il ne fait que les utiliser. Doit être présent tant qu’il y a des usagers.

Développe et teste les systèmes en fonction des instructions de l’analyste. Analyse les besoins d’affaire, la capacité du système, le développement nécessaire, etc. L’analyste conçoit les logiciels en fonction des besoins des usagers.

20

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 61

Problèmes reliés au personnel       

Personnel SI débordé, non disponible Personnel SI incompétent Personnel SI insuffisant Personnel ne respecte pas les consignes reliées aux SI Employés ne connaissent pas le système ( manque de formation) Employés font de nombreuses erreurs Réticence au changement

IMPORTANT : Tous ces problèmes doivent être gérés à l’interne et ces situations auront aussi un impact sur l’audit (risques, procédures)

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 62

Problèmes reliés à la documentation  





Documentation absente

Documentation pas à jour ( attention si changement de système, expansion de l’entreprise…) Documentation incomprise car non adaptée aux besoins des utilisateurs concernés Documentation disponible pour du personnel non concerné par celleci

Documentation sur: 

Programmes, matériel ( équipe technique)



Opération du système



Utilisation du système par l’usager de base

ATTENTION : QUI DÉVELOPPE LA DOCUMENTATION? Il faut limiter l’accès à la documentation aux personnes concernées

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 63

Problèmes reliées aux données (saisie et traitement) 





Cela peut engendrer des erreurs dans l’information pour la prise de décision Quantité de travail pour corriger les erreurs peut être élevée et le tout peut être coûteux… Du point de vue de l’audit, le tout augmentera la quantité de tests à faire



Exemples:



Manquer de stock



Payer un employé en trop



Vendre un produit au mauvais prix



Vendre à un client qui a dépassé sa limite

21

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION LES TESTS DES CONTROLES 64

Problèmes reliés aux sauvegardes 

Absence de sauvegarde



Sauvegardes pas assez fréquentes



Sauvegardes conservées dans un endroit non sécuritaire



Sauvegardes conservées à l’intérieur de l’entreprise

IMPORTANT: QUI FAIT LES SAUVEGARDES? QUAND? ET COMMENT?+ CONSERVATION DE CELLES-CI

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION

LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS

65

La rédaction du rapport d'audit est un long travail qui permet de mettre en avant des constatations faites par l'auditeur et les recommandations qu'il propose. La présentation et la discussion du rapport d'audit au demandeur d'audit, au management de l'entreprise ou au management de la fonction informatique.

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION

LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS

66

Clés de succès de la mission d’audit La réussite de la mission sur le point fonctionnel dépend de trois points fondamentaux: 





La volonté et le soutien de la direction: celle-ci doit être ouverte à toutes les suggestions et recommandations émises. Le profil et la qualité personnelle et professionnelle de l’auditeur: ce dernier doit avoir les compétences requises pour effectuer cette tâche d’audit. L’adhésion de tout le personnel de l’entreprise: tous le personnel doit participer à l’élaboration du système de contrôle. En effet, l’auditeur n’a pas toutes les informations spécifiques à l’ensemble de l’activité de l’entreprise.

22

2020-11-23

DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION

LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS

67

Déontologie de l’audit des systèmes d’information

Par Déontologie de l’audit informatique est l’ensemble des règles et des devoirs qui régissent une profession, la conduite de ceux qui l’exercent, les rapports entre ceux-ci et leurs clients privé ou public.



DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION

LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS

68

Déontologie de l’audit des systèmes d’information L’auditeur doit obéir une déontologie certaine. C’est ainsi qu’il doit :

S’interdire de cumuler audit et conseil, sur une même question;



Garantir, même implicitement par une simple acceptation d’une tâche, qu’il a, par lui-même ou grâce à une équipe sur laquelle il peut compter, les compétences nécessaires;



DEMARCHE D'AUDIT DES SYSTEMES D’INFORMATION

LA REDACTION DU RAPPORT D’AUDIT ET LES RECOMMANDATIONS

69

Déontologie de l’audit des systèmes d’information 





S’intéresser au système d’information dans son ensemble, Fournir des conclusions motivées, utiles, sur l’objet et l’aspect, ainsi que la période de temps qui a dû être considérée, qui ont été les éléments de sa mission. L’audit informatique qui suggère une quantification des faits est inacceptables sauf éventuellement dans un contexte précis, et dans le délai imparti et accepté.

23

2020-11-23

70

Différent thèmes à analyser sur un audit des SI

24