Cours Audit Si [PDF]

Zitiervorschau

Cours Audit des systèmes d’information S9

Audit des systèmes d’information Plan du cours : Partie 1 : Système d’information et organisation 1. Définition et dimensions du SI 2. Gouvernance des SI 2.1.Gouvernance et parties prenantes du SI 2.2.Domaines et missions de gouvernance du SI 3. Place du système d’information dans l’organisation 3.1.Niveau de gestion 3.2.Enjeux humains 3.3.Direction du système d’information DSI Partie 2 : Les progiciels de gestion intégré (PGI/ERP) 1. De MPR à PGI 2. Définition et caractéristiques des PGI 2.1.Définition du PGI 2.2.Caractéristiques du PGI 2.3.Intégration du PGI 3. Essor des PGI 4. Avantages des PGI 5. Limites des PGI Partie 3 : Audit des systèmes d’information 1. Objectif de l’audit des systèmes d’information 2. Planification et processus d’élaboration de l’audit des systèmes d’information 2.1.Prise en compte de l’activité 2.2.Définition de l’univers de l’audit des systèmes d’information 2.3.Détermination des risques de l’audit des systèmes d’information 2.4.Formalisation des risques de l’audit des systèmes d’information 3. Démarche de l’audit des systèmes d’information 3.1.Le cadrage de la mission 3.2.La compréhension de l’environnement informatique 3.3.L’identification, évaluation des risques et des contrôles afférents aux systèmes 3.4.Les tests des contrôles informatiques 3.5.La rédaction du rapport d’audit et les recommandations 4. Référentiels 4.1.Le référentiel Cobit 4.2. Le référentiel ITIL H.BENNANI

Page 1

Cours Audit des systèmes d’information S9

Introduction Les technologies de l’information et de communication continuent de modifier en profondeur et à un rythme de plus en plus rapide nos façons de vivre et travailler. Depuis plusieurs décennies, ces outils et ces systèmes ont une influence considérable sur l’évolution de nos sociétés et nos économies. L’accès à une information en temps réel, la rapidité et la facilité avec laquelle nous pourrons analyser cette information ainsi que les possibilités de diffusion et d’échange qui nous sont offertes sont autant d’éléments qui caractérisent un environnement doté de système d’information pertinent. Ces nouvelles capacités de manipuler et de contrôler l’information conduisent également à une mise en réseau croissante des entreprises et des individus et à une redéfinition des limites organisationnelles. Une PME, par exemple, peut compenser une partie de ses faiblesses par rapport à un grand groupe en utilisant des systèmes d’information performants et alignés avec sa stratégie. Malgré sa petite taille, elle peut avoir les ambitions d’une grande entreprise en devenant plus virtuelle et en s’appuyant sur les mêmes informations et les mêmes interlocuteurs que des structures plus puissantes.

Partie 1 : Système d’information et organisation Le système d’information est d’une grande utilité au sein de l’entreprise. Il constitue un dispositif d’aide à la décision, permet d’agir de manière optimale et de faire des prévisions permettant l’orientation des stratégies élaborées. Avec la complexité de l’environnement de l’entreprise, les dirigeants comptent sur un système d’information efficace et fiable pour la création de la valeur et la réalisation d’un avantage comparatif. En effet, la mise en place d’un système d’information permet d’assurer la continuité de l’activité, de se garantir une information fiable et efficace à la gestion, et également se permettre d’effectuer des ajustements au niveau des orientations stratégiques avec grande souplesse. 1. Définition et dimensions du SI Selon James A. O’Brien, un système d’information est un ensemble de personnes, de procédures, et de ressources qui recueillent l’information, la transforment et la distribuent au sein d’une organisation1. Selon Robert Reix, il s’agit de l’association de ressources humaines, matérielles et logicielles destinées à recueillir, formaliser, archiver, parcourir, associer et diffuser l’information dans cette même organisation2. Les SI aident les managers à piloter des processus, à analyser des performances, à anticiper des évolutions et à prendre des décisions. Les informations qui leur sont fournies doivent donc être particulièrement actualisées et fiables.

1 2

O’Brien James A., Les Systèmes d’Information de gestion, De Boeck Université, 1995. Reix Robert, Systèmes d’Information et management des organisations, Vuibert, 5e édition, 2004.

H.BENNANI

Page 2

Cours Audit des systèmes d’information S9

Ainsi, le système d’information revêt 4 dimensions :

- Une dimension technologique puisque l’information est une donnée brute (une data) codée que le récepteur devra décoder ou transformer le plus souvent grâce à des logiciels ou progiciels, afin de l’exploiter. Les technologies de l’information et de la communication rassemblent des matériels, des logiciels et des réseaux qui permettent de collecter, stocker, traiter, structurer, organiser, archiver, classifier, parcourir, restituer et mettre en scène les informations. - Une dimension humaine : Les hommes produisent et analysent l’information : ils la choisissent, la diffusent et l’exploitent. Ces technologies doivent donc être accessibles, simples d’utilisation et ergonomiques. - Une dimension organisationnelle puisque l’organisation, dans le cadre du système d’information se doit de mettre en place, un ensemble de processus, de règles et de procédures qui ont pour objectif de collecter, mémoriser, traiter et diffuser l’information. Les SI influencent fortement la stratégie globale des entreprises. La cohérence entre la structure organisationnelle et la structure des SI est déterminante dans la performance d’une TPE ou d’une PME, tout autant que dans un grand groupe. C’est l’alignement stratégique des SI avec les objectifs de l’entreprise qui permettra à une entreprise d’avoir la meilleure agilité et d’atteindre les performances visées. - Une dimension informationnelle : La dimension informationnelle permet de produire des « images », pas seulement au sens graphique du terme mais plutôt au sens large. Une image permet à un utilisateur de visualiser mentalement un ou plusieurs des paramètres liés à son métier ou à sa fonction. Par exemple, un comptable enregistre les différentes opérations financières réalisées pour une entreprise donnée avec le support des pièces comptables et non par une visualisation directe des différents évènements. Lorsqu’il prépare la paie, il effectue son travail à partir de relevés des heures prestées sans avoir été lui-même sur le terrain pour visualiser le travail des ouvriers. La gouvernance des SI consiste alors à aligner ces dimensions les unes avec les autres. Il faut donc améliorer la cohérence entre les technologies, les hommes et les organisations.

H.BENNANI

Page 3

Cours Audit des systèmes d’information S9

2. Gouvernance du SI Selon le Club européen pour la gouvernance des systèmes d’information, « les organisations profitables et non profitables deviennent de plus en plus des Organisations Basées sur l’information (OBI), cela signifie qu’elles reçoivent, produisent, stockent, consomment et utilisent de plus en plus d'informations comme un constituant de base, assimilable à une matière première, des processus de production et de gestion des activités ». Cela implique que l’information joue un rôle de plus en plus important pour prendre les décisions aux différents niveaux du management des organisations et dans tous les composants de la chaîne de valeur. En conséquence tous les problèmes liés aux informations, et toutes les ressources utilisées et combinées de façon à produire, à stocker et à rendre disponibles les informations doivent être maîtrisés. Cela implique de :

La gouvernance des systèmes d’information consiste à fixer des objectifs pour orienter l’évolution du système d’information de l’entreprise et à contrôler son fonctionnement. Il s’agit de définir la manière dont le système d’information contribue à la création de valeur en lien avec la stratégie suivie et de mettre en place des dispositifs de contrôle (Tableaux de bord...etc). Il convient de distinguer la gouvernance du SI de la gouvernance informatique ou gouvernance des technologies de l’information. Celle-ci est une composante de la gouvernance des SI qui concerne la dimension technologique du SI. Elle a pour but de définir les modalités d’organisation des opérations informatiques (exploitation, maintenance, projets…etc), les structures à mettre en place et leur mode de fonctionnement. Cela détermine l’organisation et les processus à mettre en œuvre afin que la fonction informatique fournisse les moyens nécessaires à la réalisation des objectifs du SI dans le cadre de l’alignement de la stratégie SI et de la stratégie de l’entreprise.

H.BENNANI

Page 4

Cours Audit des systèmes d’information S9

2.1.Gouvernance et parties prenantes du SI La gouvernance des systèmes d’information permet de définir les fonctions et les tâches des différents acteurs du management de l’information. Pour optimiser la gouvernance, il faut : - Lever les facteurs de blocage au niveau des relations de pouvoir entre acteurs ; - Définir la stratégie et en maitriser son exécution ; - Mettre en place une structure avec des fonctions et des processus appropriés. Le concept de gouvernance des SI concerne les relations entre la DSI et ses parties prenantes. La direction du système d’information (DSI) est en interaction avec différents acteurs. Ce sont principalement la direction générale (DG), les directions métiers (DM), les salariés de la DSI, les prestataires et partenaires externes ainsi que l’ensemble des utilisateurs qu’ils soient dans l’entreprise ou à l’extérieur. Les salariés de l’entreprise doivent être considérés comme des clients internes, en distinguant l’ensemble des salariés des métiers de leurs directions car les attentes ne sont pas les mêmes. Les utilisateurs externes sont principalement les clients, qu’il s’agisse d’entreprises ou de particuliers, avec lesquels des données sont échangées ou partagées.

La maturité des relations entre les acteurs est un facteur essentiel dans une organisation. La gouvernance peut apporter une meilleure prise de décision concernant l’ensemble du SI afin d’accroitre son efficacité, une clarification des rôles des différents acteurs en vue de créer des synergies, une meilleure définition des responsabilités et une meilleure connaissance des processus clés. 2.2.Domaines et missions de gouvernance du SI : L’ISACA (Information Systems Audit and Control Association) définit 5 domaines fondamentaux de la gouvernance des systèmes d’information : - Alignement stratégique : mise en cohérence des objectifs du SI et des objectifs stratégiques. - Gestion des risques : la gouvernance du SI implique de connaitre les menaces et de prendre les mesures appropriées. H.BENNANI

Page 5

Cours Audit des systèmes d’information S9

- Gestion des ressources : il s’agit de rationaliser les investissements dans les ressources informatiques, d’arbitrer entre la mise en place de ressources internes et l’externalisation et de maitriser l’évolution du SI. - Mesure de la performance : la mise en place de tableaux de bord et d’indicateurs pertinents permettant un meilleur suivi.

Le tableau suivant présente les missions identifiées dans le champ de la gouvernance des systèmes d’information et leur portée. La réalisation de ces missions implique de définir des objectifs précis et de mettre en place des indicateurs.

H.BENNANI

Page 6

Cours Audit des systèmes d’information S9

3. Place du SI dans l’organisation Au-delà des aspects techniques, la dimension humaine et les aspects organtisationnels sont essentiels. La fonction SI doit répondre aux besoins de l’organisation à différents niveaux tout en facilitant les échanges. Son positionnement par rapport à la direction générale et aux autres fonctions est déterminant. 3.1.Niveaux de gestion Une organisation comporte différents niveaux de gestion :  Niveau opérationnel : l’ensemble des personnes en charge de la réalisation des activités courantes.  Niveau stratégique : direction générale, en charge des grandes orientations et du suivi des résultats.  Niveau intermédiaire : choix tactiques ou de gestion en charge des décisions relatives à la mise en œuvre de la stratégie et aux ajustements. Le SI met en œuvre différents types de traitements :  Systèmes de traitement de transactions (STT) : dans ce système, on prend en compte le SI des opérations réalisées soit en interne soit avec des tiers, et on intégre le SI sous forme de données des informations élémentaires. Exemple : enregistrement des mouvements de fonds, des factures, etc.  Systèmes d’information de gestion (SIG) : Ces systèmes traitent les données élémentaires pour produire des états de synthèse, calculent les indicateurs de gestion, effectuent des contrôles …Ils permettent le suivi des activités et la prévision. Exemple : planifier des approvisionnements en fonction de l’état des stocks, établir des budgets de trésorerie, etc.  Systèmes interactifs d’aide à la décision (SIAD) : exploitation des données élémentaires et agrégées dans une optique décisionnelle, mise en œuvre d’outils d’analyse pour effectuer des simulations en s’appuyant sur des bases de faits et des bases de règles permettant d’établir des liens de façon interactive.  Systèmes d’information pour dirigeants (SID) : systèmes d’aide à la décision stratégique qui intègrent des données internes et externes, des prévisions à long terme afin d’évaluer la pertinence des décisions stratégiques en fonction de l’état de l’organisation et des évolutions de son environnement. Ces différents systèmes interagissent entre eux : o Les systèmes de traitement de transactions alimentent les systèmes de gestion ; o Les systèmes de traitement de transactions et les systèmes de gestion alimentent les systèmes d’aide à la décision ; o Les systèmes de gestion et les systèmes d’aide à la décision alimentent les systèmes d’information pour dirigeants

H.BENNANI

Page 7

Cours Audit des systèmes d’information S9

3.2.Enjeux humains du SI Il est nécessaire d’établir une distinction entre les différents acteurs d’une organisation du point de vue de leur relation avec le système d’information.  Tous les salariés Ils sont utilisateurs dans le sens où le SI leur fournit des données et où eux-mêmes l’alimentent. Les salariés subissent les évolutions du SI qu’ils peuvent percevoir comme un danger (suppression des emplois) ou une contrainte (la façon de travailler est modifiée) et une difficulté (il faut s’adapter aux nouveaux outils).  Les responsables et décideurs Ils utilisent des fonctions avancées du SI : outils de recherche, d’aide à la décision… Cette catégorie d’acteurs a une plus grande autonomie et des objectifs plus larges. Leur capacité à recueillir et analyser des informations est une composante essentielle de leur travail. Leur performance dépend donc en partie de la façon dont ils maitrisent le SI. De plus, les évolutions en termes de partage de l’information peuvent les déstabiliser vis-à-vis de leurs subordonnées comme de leurs responsables.  Les informaticiens Ils ont une relation particulière avec le SI. Celui-ci est l’objet de leur activité et non un moyen. Ils peuvent avoir tendance à considérer que c’est leur domaine et à faire des choix sans prendre suffisamment en compte les points de vue des utilisateurs. En cas de difficultés, il peut y avoir des tensions entre informaticiens défendant « leur » système et les utilisateurs le considérant comme inadapté. Il y a donc des enjeux en termes de rapports de pouvoir. L’information est une source de pouvoir pour qui peut être utilisée à des fins opportunistes dans le cadre de stratégies d’acteurs (rétention, blocage, distorsion, etc.).

H.BENNANI

Page 8

Cours Audit des systèmes d’information S9

3.3.La direction des systèmes d’information Les organisations d’une certaine taille se dotent généralement d’une entité en charge du système d’information. Dans certain cas, il peut s’agir d’une direction informatique en charge des aspects techniques et rattachée à une direction plus large, direction administrative et financière par exemple. Mais le SI ne se réduit pas à sa dimension informatique et doit être pensé dans une perspective organisationnelle. Cela implique la mise en place d’une direction des systèmes d’information (DSI), dirigée par un directeur du SI. La DSI est ainsi une direction à part entière qui dépend directement de la direction générale, avec des responsabilités transversales. L’organisation d’une DSI distingue plusieurs grandes fonctions telles que : - Etudes et développement, en charge des évolutions ; - Systèmes et réseaux, en charge des infrastructures ; - Exploitation et production, en charge du fonctionnement quotidien ; - Support et assistance, tournée vers les utilisateurs.

En effet, la plupart des entreprises ont recours à des prestataires externes et non à des ressources internes pour gérer leur système d’information. Par ailleurs, dans le cas où les entreprises disposent d’une DSI cela va généralement de pair avec une part d’externalisation du fait qu’ils auront recours à des prestataires pour bénéficier de leur expertise sur des sujets précis ou pour améliorer la flexibilité de leur système d’information.

H.BENNANI

Page 9

Cours Audit des systèmes d’information S9

Partie 2 : Progiciels de gestion intégré PGI L’évolution des besoins des organisations pose le problème de l’intégration des applications. Les technologies se sont développées et ont atteint un niveau de maturité avancé. Cela a permis de mettre en œuvre une démarche d’intégration qui peut prendre différentes formes. Les progiciels de gestion intégrés se sont imposés comme principale réponse à ce besoin d’intégration. 1. De MPR à ERP La démarche progressive d’intégration a démarré autour du cycle d’exploitation. Il s’agit de coordonner la production avec les prévisions de ventes et de définir, au niveau des achats, les besoins en matières premières et composants. Cette exigence de synchronisation a engendré le concept de Material Requirements Planning (MRP1) ou Planification des Besoins en Composants, puis de Manufacturing Resources Planning (MRP2) ou Planification des ressources de production. Dans cette logique, le calcul des besoins est réalisé à partir des prévisions de production, elles-mêmes établies à partir des prévisions de ventes. Cela s’avère d’autant plus nécessaire dans un contexte de flux tendus. Mais cela ne suffit pas car le besoin de coordination et d’unification des systèmes de gestion s’étend à tous les domaines. En poussant la logique de l’intégration, on passe de MRP à l’Entreprise Resource Planning ; d’où le sigle ERP traduit en français par Progiciel de Gestion Intégré (PGI).

H.BENNANI

Page 10

Cours Audit des systèmes d’information S9

L’ERP/PGI est l’aboutissement d’une double démarche d’intégration : - Un premier niveau d’intégration est celui des processus dans chaque Système de Gestion. - Un second niveau est celui de l’intégration des processus à l’échelle de l’entreprise, dans le cadre de workflows (flux de travaux) qui reproduisent les processus transversaux qui impactent les différents domaines de gestion. 2. Définition et caractéristiques des PGI 2.1.Définition du PGI Un progiciel de gestion intégré (PGI) est une application : - Conçue et commercialisée par un éditeur, regroupant un ensemble de modules fonctionnels pour optimiser les processus de gestion d’une entité autour d’une base de données unique. - S’appuyant sur un référentiel commun et des règles de gestion standards. - Paramétrable et adaptable à l’organisation. - Comporte un moteur de workflow, permettant de gérer de façon automatisée les processus qui structurent le fonctionnement de l’organisation. N.B : Le moteur de workflow (flux de travaux) permet, lorsqu’une donnée est entrée dans le système d’information de la propager dans tous les modules du système qui en ont besoin, suivant la façon dont les processus ont été définis.

2.2.Caractéristiques du PGI Un PGI est : - un progiciel : ensemble de programmes mis sur le marché par un éditeur sous forme d’un produit complet (progiciel : produit logiciel), conçu pour répondre aux besoins d’un grand nombre d’entreprises ; il nécessite une adaptation, plus ou moins poussée, au contexte de son utilisation pour être opérationnel ; - modulaire : c’est un ensemble de programmes ou modules autonomes correspondant aux différents processus de gestion (ventes, production, ressources humaines, comptabilité, etc) ; - intégré : couvre l’ensemble des processus d’une entreprise, en intégrant de façon transversale les taches correspondant aux différentes fonctions ; les différents modules peuvent fonctionner indépendamment les uns des autres, mais ils partagent les mêmes données et les flux de données (workflow) passent d’un module à l’autre. - paramétrable : l’adaptation du progiciel aux besoins de l’entreprise se fait par un paramétrage qui consiste à définir les données et les règles de gestion, choisir les modalités de traitement et de validation aux différentes étapes des flux de données. - s’appuyant sur un référentiel commun : les données utilisées par les différents modules sont définies d’une manière standardisée (identique pour tous les modules), encadrées par des règles de gestion communes et enregistrées dans une base de données unique. H.BENNANI

Page 11

Cours Audit des systèmes d’information S9



Les principaux modules d’un ERP

L’ERP collecte dans des bases de données diverses toutes les informations des départements pour les rassembler dans une base de données unique. En terme de départements, on parle notamment de la direction financière et comptable, de la gestion des achats, de la logistique et des stocks, de tous ce qui est lié au ventes et clients, des ressources humaines quelles soient internes ou externes, de toute la gestion des projets en cours, et bien entendu de la gestion de la production. 

L’impact de l’ERP sur l’entreprise

Un ERP apporte donc une visibilité à l’ensemble des directions de l’entreprise. Cela permet d’obtenir une vue globale et en temps réel de toutes les données de l’entreprise. Ces données vont permettre également de gérer les risques et donc d’améliorer la conformité financière et légale et surtout réduire le risque au niveau industriel vis-à-vis des clients. L’ERP va permettre également d’automatiser un certain nombre de processus dans l’entreprise (les opérations commerciales, les commandes, les processus d’achat et d’approvisionnement). Et enfin, la connaissance de toutes les informations dans l’entreprise va impacter l’image (par exemple la maitrise de toutes les données va améliorer le service client et la relation avec le fournisseur avec des sources de données qui seront particulièrement fiables).

H.BENNANI

Page 12

Cours Audit des systèmes d’information S9



Impact inter-modulaire : Exemple de l’intégration d’une solution e-Achat dans un ERP

Prenant l’exemple de la direction des achats et d’un système d’information achat : l’impact sur l’ensemble des directions va être significatif. Prenant l’exemple tout d’abord de la finance : qui pourra récupérer à partir de la solution eachat tous les projets liés à la réduction des coûts mais également toutes les négociations sur les délais de règlements fournisseurs. La production quant à elle, va pouvoir remonter toute la partie qualité-produit pour de meilleure négociation et suivi avec les fournisseurs, mais également piloter les potentielles ruptures de production. Les binômes entre les chefs de projets R&D par exemple et les acheteurs vont permettre d’améliorer l’innovation produit, notamment avec les fournisseurs. Coté ressources humaines, les acheteurs vont voir l’impact significatif sur la sous-traitance, les freelances ainsi que le personnel intérimaire en terme de négociation et de suivi des contrats. Concernant la relation entre les chargés d’affaire et les acheteurs, la solution e-achat va permettre d’obtenir des devis et des chiffrages précis pour optimiser les chances de gagner des appels d’offre. Et enfin, la relation de proximité assez naturelle entre les achats et la logistique permettra de travailler sur le on-time-delivery (la gestion des livraison à temps) ainsi que la localisation des fournisseurs. 2.3.Intégration du PGI  

Intégration horizontale : progiciels généralistes et paramétrables, s’adressant à toutes sortes d’entreprises, mais complexes à mettre en œuvre. Intégration verticale : progiciels « pré-paramétrés » pour prendre en compte l’essentiel des besoins propres à un métier et demandant un minimum d’adaptations lors de l’installation.

H.BENNANI

Page 13

Cours Audit des systèmes d’information S9

Le terme ERP, par son origine, correspond à la première catégorie de solutions. Cependant, il a pris un sens générique dans le langage courant. Sur le marché des grandes entreprises, le principal éditeur à l’échelle mondiale est SAP, suivi par Oracle et Infor. Ce dernier est aussi très présent sur le marché des entreprises de plus petite taille, avec Microsoft Dynamics, Sage, etc. (Source : Panorama consulting 2019). Pour toute les entreprises, il y a des points communs dans la façon d’aborder la gestion des ressources humaines, la comptabilité, la gestion de production ou encore la gestion des achats. C’est la logique de l’intégration des ERP/PGI autour de la gestion de production. Cependant, chaque entreprise a aussi ses spécificités. Celles-ci peuvent être prises en compte à travers le paramétrage du progiciel. Les PGI ont d’abord concerné les grandes entreprises. Leur coût et leur complexité les mettaient hors de portée des PME/PMI. Pour élargir le marché en dehors de celui, saturé, des grands comptes, il faut des offres qui ne nécessitent pas le réglage de centaines de paramètres. Avec le développement de solutions métiers verticalistes, le paramétrage devient plus facile du fait du verrouillage d’un grand nombre de paramètres et de la suppression de certains processus. Sur cette base, de nouveaux acteurs sont apparus qui se sont orientés vers les petites entreprises, car les grandes entreprises commençaient à être largement équipées. L’annuaire du CXP (centre de conseil et d’analyse en solutions logicielles) recense plus de 1000 éditeurs de PGI, pour certains spécialisés sur un segment très étroit du marché. Pour sa part, SAP, leader du marché, a fait évoluer son offre pour proposer des solutions adaptées à une clientèle plus large que son offre historique. 3. L’essor du PGI L’utilisation de progiciels de toutes sortes s’est largement répandue car elle présente des avantages d’efficacité, de rapidité et de moindre coût de mise en œuvre par rapport aux solutions de développement spécifique. Avoir recours à un progiciel permet de disposer des meilleures solutions du marché à un coût moindre que celui que représente le développement d’applications spécifiques (en interne ou par une ESN).

H.BENNANI

Page 14

Cours Audit des systèmes d’information S9

Les systèmes intégrés s’inscrivent dans cette logique et ont permis aux entreprises d’adapter plus facilement leurs systèmes d’information aux évolutions du contexte économique et des technologies :

4. Avantages du PGI Le principe du PGI est de regrouper différentes applications de manière modulaire tout en partageant une base de données unique et commune. Cela élimine les saisies multiples et évite les problèmes qui en découlent tels que la redondance et l’incohérence des données.

Unicité du système d’information : l’intégration d’un PGI supprime les risques de doublons et prévient ainsi des risques d’erreurs, grâce à sa base de données unique et commune à chacun des modules. D’autant plus, par la synchronisation automatique des modifications de données sur tous les départements d’une entreprise, les ERP assurent la traçabilité des informations et en fournissent une idée précise et fiable. Vecteur de productivité : la mise à jour des données en temps réel et l’automatisation des tâches fait bénéficier les entreprises de gains de temps considérables. Par exemple : si le service commercial enregistre un bon de commande, le stock est actualisé en temps réel et l’écriture comptable s’inscrit automatiquement. Optimisation des processus de gestion : la communication entre les services est facilitée grâce au rôle structurant joué par le PGI. La coordination entre les équipes est ainsi améliorée. H.BENNANI

Page 15

Cours Audit des systèmes d’information S9

Meilleure maîtrise des coûts : la mise à jour des données en temps réel permet au service financier et à la direction générale d’analyser l’état de leurs comptes dans un délai réduit. Le PGI s’avère ainsi être une aide à la prise de décision rapide. Utilisation évolutive : le PGI étant constitué d’une combinaison de modules, il est ainsi possible pour les entreprises utilisatrices d’acquérir de nouveaux modules par la suite. 5. Inconvénients des PGI Des coûts d’intégration élevés : Par ailleurs, les projets PGI induisent généralement d’importants coûts liés à leur déploiement mais également à leur maintenance (pour les PGI Onpremise). De plus, le haut niveau de complexité du programme va nécessiter la mise en place et l’entretien de serveurs puissants. Un projet d’envergure qui nécessite du temps et des ressources : Le Journal du Ne1t, média IT en ligne, fait état d’une durée moyenne de 12,3 mois d’implémentation d’un PGI. La mise en place d’un PGI en fait donc un réel projet d’entreprise, devant être approuvé par chacun des services. Une certaine dépendance vis-à-vis de l’éditeur : En pratique, il est rare de changer de PGI une fois que celui-ci a été déployé, les investissements en temps et en coûts étant très élevés. Cela a pour conséquence d’engendrer une certaine dépendance envers l’éditeur de la solution logicielle. Des développements spécifiques qui freinent l’évolution du PGI : Les projets PGI ont souvent bénéficié de développements spécifiques, ce qui a freiné leur évolution dans le temps (montées de versions complexes et très coûteuses). Cela n’a eu pour autre conséquence que de ralentir la croissance de certaines entreprises, dont le système d’informations ne parvenait plus à suivre l’évolution. Globalement, les PGI classiques sont considérés comme des solutions rigides, tant ils sont complexes à faire évoluer.

H.BENNANI

Page 16

Cours Audit des systèmes d’information S9

Partie 3 : Audit des systèmes d’information Il est nécessaire d’évaluer périodiquement le système d’information. Pour être pertinente, cette analyse doit être effectuée par des personnes compétentes et extérieures. Ces missions d’audit présentent les caractéristiques générales de l’audit, mais aussi des spécificités liées à la nature des systèmes d’information. 1. Objectif de l’audit des systèmes d’information L’audit, conduit par un auditeur, est un processus systématique, indépendant et documenté permettant de recueillir des données exhaustives et objectives pour évaluer comment l’entité auditée satisfait aux exigences des référentiels du domaine concerné. Il a pour objectif de détecter les anomalies et les risques dans les organisations et secteurs d’activité examinés. La notion d’audit est reliée à celle de système d’information de deux façons :  

Audit par le SI : utiliser les éléments du système d’information pour un audit de l’entreprise. Audit du SI : le système d’information fait l’objet de l’audit.

La prise en compte de l’informatique par le commissaire aux comptes dans le cadre de sa démarche d’audit légal ne doit pas être confondue avec l’audit du système d’information qui est à l’initiative de l’entreprise. L’audit des systèmes d’information comprend l’examen et l’évaluation des processus, des systèmes de traitement automatisé de l’information et des interfaces qui les relient, ainsi que des procédures connexes non automatisées. Il prend en compte l’ensemble des règles en vigueur (fiscales, juridiques, techniques, etc.). Il vise à mettre en évidence les risques relatifs aux processus supportés par le système d’information et ceux liés à l’infrastructure technique (adéquation de l’infrastructure avec les besoins de l’entité, sécurité des éléments matériels, des données...etc.). 2. Planification et processus d’élaboration de l’audit des systèmes d’information L’une des principales attributions du responsable de l’audit des systèmes d’information, qui est aussi l’une de ses missions les plus délicates, consiste à élaborer un plan d’audit pour l’organisation. Comme l’explique la Norme 2010 de l’IIA (The Institute of Internal Auditors), « le responsable de l’audit doit établir une planification fondée sur les risques » afin de déterminer les priorités d'intervention, qui doivent elles-mêmes se conformer aux stratégies et objectifs de l’organisation. En outre, le responsable de l’audit doit envisager des missions de conseil en fonction de la valeur ajoutée qu’elles pourraient apporter et des progrès qu’elles pourraient induire dans les opérations et les activités de management des risques de l’organisation.

H.BENNANI

Page 17

Cours Audit des systèmes d’information S9

Pour élaborer un plan d’audit fondé sur le risque, le responsable de l’audit des systèmes d’information devra d’abord procéder à une détermination des risques portant sur l'ensemble de l’organisation. « Pour de nombreuses organisations, l’information et la technologie sur laquelle elle repose représentent leur actif le plus précieux. En outre, étant donné que les entreprises évoluent dans un environnement concurrentiel et en constante mutation, la direction exprime, vis-à-vis des fonctions gérant et mettant en œuvre le SI, un niveau d'exigence croissant à travers : une qualité de service en constante amélioration, des fonctionnalités et une facilité d’utilisation accrues, un raccourcissement des délais, le tout alors que les coûts doivent être comprimés ». Quelles que soient la méthodologie retenue et la fréquence des activités de planification de l’audit, le responsable de l’audit et l’équipe d’audit des systèmes d’information devront prendre en compte l’environnement du SI avant de procéder à l’audit. La plupart des activités d’une organisation font appel à la technologie. Qu’il s’agisse de la collecte, du traitement et de la communication d’informations comptables, ou bien de la fabrication, de la vente ou de la diffusion de produits, quasiment toutes les activités d’une organisation reposent, à plus ou moins grande échelle, sur la mise en œuvre de moyens technologiques. Ces derniers ont vu leur rôle évoluer : elle n’est plus seulement un support opérationnel pour les processus de l’organisation, mais fait partie intégrante du contrôle des processus. Le contrôle interne des processus et des activités reposent ainsi de plus en plus sur la technologie, dont les déficiences ou le manque d’intégrité ont un impact important sur l'atteinte des objectifs et la réalisation des opérations de l'entreprise. Toutefois, l’élaboration d’un plan d’audit des SI efficace, fondé sur le risque, est une tâche difficile pour les auditeurs informatiques, surtout lorsqu’ils n’ont pas une connaissance suffisante des SI. La définition du plan d’audit des systèmes d’information doit respecter un processus systématique si l’on veut être sûr que tous les aspects fondamentaux de l’activité sont bien compris et pris en compte. En conséquence, il est essentiel que le plan s’appuie sur les objectifs, les stratégies et le modèle d’activité de l’organisation. Les étapes suivantes décrivent la progression logique des flux de travail permettant de définir le plan d’audit des SI qui sera utilisé comme guide dans le processus des systèmes d’information. 2.1.Prise en compte de l’activité Il est capital de commencer avec la bonne perspective pour pouvoir définir un plan d’audit efficace. C’est pourquoi, il faut garder à l’esprit que le seul but de la technologie est de constituer un levier pour mieux atteindre les objectifs de l’organisation, sachant que toute défaillance du SI va à l'encontre de ce but et constitue un risque pour l’organisation de ne pas les atteindre. Il est donc important de commencer par prendre connaissance des objectifs, stratégies et modèles d’activité de l’organisation, ainsi que la place des moyens technologiques dans son développement. Pour ce faire, il faut identifier les risques associés aux technologies mises en œuvre, et déterminer comment chacun d'eux peut entraver la réalisation des objectifs de H.BENNANI

Page 18

Cours Audit des systèmes d’information S9

l’organisation. On aboutira ainsi à une évaluation plus significative et plus utile pour la direction générale. En outre, l’auditeur doit se familiariser avec le modèle d’activité de l’organisation. Chaque organisation ayant une mission distincte et des buts et objectifs qui lui sont propres, le modèle d’activité aide l’auditeur à identifier les produits ou services que propose l’organisation, ainsi que sa base de clientèle, ses chaînes d’approvisionnement, ses processus de fabrication ou de production et ses mécanismes de mise à disposition. C’est ainsi que l’auditeur devra prendre en compte les éléments ci-après :  Une organisation unique - Chaque organisation est différente. Les organisations d’un même secteur n’auront pas toutes le même modèle d’activité, des objectifs et des structures identiques, ni les mêmes environnements et schémas de mise en œuvre du SI. C’est pourquoi, les plans d’audit doivent être conçus spécifiquement pour chaque organisation.  L’environnement opérationnel - Pour se familiariser avec une organisation, les auditeurs doivent d’abord prendre en compte les objectifs et savoir comment les processus sont structurés pour atteindre ses objectifs. Les auditeurs peuvent exploiter diverses ressources internes pour identifier et prendre en compte les buts et objectifs de l’organisation, notamment : les énoncés de la mission, de la vision et des valeurs ; les plans stratégiques ; les plans annuels de prévision de l'activité ; le tableau de bord de performance du management ; les rapports aux actionnaires et annexes ; les documents requis par la réglementation.  Facteurs liés à l’environnement des SI - Pour bien prendre en compte l’environnement opérationnel et les risques qui y sont associés, différents facteurs et techniques d’analyse seront pris en considération. En effet, la complexité de l’environnement de contrôle d’une organisation aura une incidence directe sur son profil de risque global et son système de contrôle interne. Il y a plusieurs facteurs importants à prendre en compte : Le niveau de centralisation du système et de centralisation géographique (distribution des ressources SI) ; Les technologies déployées ; Le degré de personnalisation ; Le degré de formalisation des politiques et référentiels de l’organisation (gouvernance des SI, par exemple) ; Le degré de réglementation et de conformité ; Le degré et le mode d’externalisation ; Le degré de standardisation des opérations et Le degré de dépendance technologique. 2.2.Définition de l’univers de l’audit des systèmes d’information Définir ce qu’il convient d’auditer est l’une des tâches les plus importantes de l’audit informatique, étant donné que le programme d’audit des SI aura un impact considérable sur la performance globale du service d’audit. Par conséquent, le but ultime du plan d’audit des SI est d’assurer une couverture adéquate des domaines qui représentent la plus grande exposition au risque et, ceux qui représentent un enjeu majeur pour l’auditeur dans l'apport qu'il constitue en matière de valeur ajoutée à l’organisation. H.BENNANI

Page 19

Cours Audit des systèmes d’information S9

L’une des premières étapes vers un plan d’audit des SI efficace consiste à définir l’univers d’audit des SI, c’est-à-dire un ensemble fini et exhaustif des domaines d’audit, schéma structurel des entités opérationnelles et localisation des activités réalisées par l'organisation, qui représentent les cibles d'audit permettant de donner une assurance appropriée sur le niveau de maîtrise des risques auxquels l’organisation est exposée. La définition de l’univers d’audit des SI nécessite une connaissance approfondie des objectifs de l’organisation, du modèle d’activité et des prestations assumées par la Direction des SI. La définition de l’univers des SI consiste à :  Examiner le modèle d’activité - Pour les organisations, l'atteinte des objectifs repose sur le fonctionnement des diverses directions opérationnelles et fonctionnelles, à travers les processus spécifiques qu'elles ont à gérer afin d'atteindre leurs propres objectifs, en liaison néanmoins avec les autres entités.  Rôle des technologies d’appui - Il peut être simple d’identifier les infrastructures technologiques qui soutiennent le SI lorsque l’on détecte des activités qui reposent sur des applications clés. En revanche, il est bien plus difficile de mettre l’utilisation des moyens technologiques communs, comme le réseau général, une application de messagerie électronique ou son logiciel de chiffrement, en relation avec les objectifs et les risques. Pourtant, ces moyens technologiques existent parce que l’organisation en a besoin et une défaillance de ces services et équipements peut empêcher l’organisation d’accomplir sa mission. C’est pourquoi, les moyens technologiques communs clés doivent être identifiés et représentés dans l’univers des domaines auditables, même s’ils ne sont pas directement associés à une application ou à un processus opérationnel.  Plans d’activité annuels - Un autre point est important : il faut tenir compte du plan stratégique de l’organisation. Les plans opérationnels peuvent apporter aux auditeurs des informations sur les changements et projets importants susceptibles de voir le jour dans l’année à venir, qui pourraient nécessiter l’intervention de l’audit et devenir des sujets à intégrer dans l’univers d’audit des SI. Les projets peuvent avoir directement trait aux SI, par exemple la mise en œuvre d’un nouveau système d’ERP, ou porter sur la gestion d’initiatives majeures d’ingénierie ou de construction.  Fonctions SI centralisées / décentralisées- Les auditeurs auront à identifier les fonctions SI administrées au niveau central, qui soutiennent la totalité ou une grande partie de l’organisation. Les fonctions centralisées sont de bons « candidats » aux différents audits réalisés au sein de l’univers d’audit des SI. Il s’agit notamment de la conception et de l’administration de la sécurité du réseau, de l’administration des serveurs, de la gestion des bases de données, des activités de service ou d’assistance et des opérations traitées sur des sites centraux (mainframe).  Conformité à la réglementation - Diverses lois et réglementations à travers la planète, en particulier la loi Sarbanes-Oxley et Bâle II, imposent d’appliquer des contrôles internes et des pratiques de gestion du risque, ainsi que de respecter la confidentialité des données personnelles .Comme indiqué plus haut, certaines de ces réglementations H.BENNANI

Page 20

Cours Audit des systèmes d’information S9

imposent de protéger les informations relatives aux clients en matière de cartes de crédit (par exemple, la GLBA et la PCI DSS) ainsi que les informations médicales personnelles (par exemple l’HIPAA). Même si la plupart de ces règles ne concernent pas directement les contrôles des SI, elles supposent l’existence d’un environnement de SI soumis à un contrôle adéquat. En conséquence, ces points de la réglementation sont susceptibles d’être intégrés dans l’univers d’audit : les auditeurs doivent déterminer si l’organisation a mis en place des processus rigoureux et si elle opère efficacement afin de garantir la conformité.  Définir les domaines soumis à l’audit - La division de l’environnement des SI en plusieurs thèmes d’audit peut être quelque peu influencée par des préférences personnelles ou des considérations relatives aux effectifs. Toutefois, le but ultime est de déterminer comment scinder l’environnement de façon à obtenir les audits les plus efficients et les plus efficaces. Bien que les auditeurs n’aient pas à évaluer les risques à cette étape du processus de planification de l’audit, l’objectif est de disposer d’un plan d’audit centré sur les domaines présentant le risque le plus élevé, dans lesquels les auditeurs peuvent apporter le plus de valeur ajoutée.  Les applications - Le responsable de l’audit interne doit déterminer quel groupe d’audit sera chargé de planifier et de réaliser l'audit des applications. Selon le mode de fonctionnement du service d’audit, les applications peuvent être incluses dans l’univers d’audit des SI, dans celui de l’organisation ou dans les deux. Les services d’audit interne s’accordent, de plus en plus, à dire que les applications doivent être auditées en même temps que les processus qu’elles supportent. On obtient ainsi une assurance sur toute la suite des contrôles, automatisés ou manuels, portant sur les processus examinés, en minimisant les risques de lacunes ou de chevauchements susceptibles d'être rencontrés au cours des travaux d'audit, et éviter autant que possible les confusions quant à ce qui fait partie ou non du champ de la mission. 2.3.Détermination des risques de l’audit des systèmes d’information L’IIA définit le risque comme la « possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité ». Il est donc absolument crucial que les organisations fassent périodiquement l'inventaire des risques auxquels elles sont exposées et qu’elles entreprennent les actions nécessaires pour maintenir ces risques à un niveau acceptable. Après avoir pris connaissance de l’organisation, son environnement, son SI et déterminer précisément les limites du système, l’auditeur procède à l’identification des assets business constituant la valeur de l’organisation. Ensuite, le lien doit être fait entre ces assets business et les assets système, afin de mieux identifier les risques techniques et organisationnels. Ex. : Un site de e-commerce dispose d’une base de données clients, présente sur un serveur de son parc informatique et contenant les informations bancaires de ces derniers. H.BENNANI

Page 21

Cours Audit des systèmes d’information S9

N.B : Les assets sont définis comme étant l’ensemble des biens, actifs, ressources ayant de la valeur pour l’organisme et nécessaires à son bon fonctionnement. On distingue ici les assets du niveau business des assets liés au SI. Du côté des assets business, on retrouve principalement des informations (par exemple des numéros de carte bancaire) et des processus (comme la gestion des transactions ou l’administration des comptes). Les assets business de l’organisme sont bien souvent entièrement (ou presque) gérés au travers du SI, ce qui entraîne une dépendance de ces assets vis-à-vis de ce dernier. C’est ce que l’on appelle les « assets système ». On retrouve dans les assets système les éléments techniques, tels les matériels, les logiciels et les réseaux, mais aussi l’environnement du système informatique, comme les utilisateurs ou les bâtiments. C’est cet ensemble qui forme le SI. Le but de la gestion des risques est donc d’assurer la sécurité des assets, sécurité exprimée la plupart du temps en termes de confidentialité, intégrité et disponibilité, constituant les objectifs de sécurité. Les risques liés à la fonction informatique sont relatifs à l’organisation de la fonction informatique, au développement et mise en service des applications, à la gestion de l’exploitation et à la gestion de la sécurité. L’auditeur peut matérialiser l’ensemble des risques collectés dans une cartographie des risques tout en indiquant le risque inhérent à chaque objet auditable du processus.

Cartographie des risques

2.4.Formalisation du plan de l’audit des systèmes d’information La définition de l’univers d’audit des SI et la détermination des risques sont les étapes préalables qui permettent de définir ce qu’il faut inclure dans le plan d’audit des SI. Le responsable de l’audit des systèmes d’information doit ainsi créer un programme d’audit tenant compte des contraintes du budget opérationnel de la fonction d’audit et les ressources disponibles. La formalisation du plan de l’audit des systèmes d’information comprend les éléments suivants :  Contexte du plan d’audit - Dans l’évaluation des risques, l’objectif est d'appréhender les risques dans un contexte relatif. La cible principale (axe central) en est donc le risque, tandis que les ressources disponibles peuvent constituer un facteur déterminant quant à la réalité du travail effectué. Lors de la définition du programme d’audit, l’objectif est d’examiner les domaines à risque élevé pour définir l’affectation des ressources H.BENNANI

Page 22

Cours Audit des systèmes d’information S9









disponibles. Dans ce cas, les ressources constituent la cible, mais les risques représentent au final le facteur décisif. Demandes des parties prenantes - Tout au long de l’élaboration du programme d’audit des SI, les auditeurs informatiques devront discuter avec les principales parties prenantes afin de mieux prendre en compte l’activité et les risques de l’organisation. Ces discussions leur permettront de rassembler des informations sur l’organisation, ainsi que sur les éventuelles préoccupations exprimées par ces parties prenantes. C’est aussi l’occasion de prendre connaissance des demandes spécifiques de missions de conseil et d’assurance, adressées à l’audit et appelées ci-après « demandes des parties prenantes ». Les demandes des parties prenantes peuvent émaner du Conseil d’administration, du comité d’audit, des cadres dirigeants ou des responsables d’exploitation. Elles doivent être prises en compte au cours de la phase de planification de l’audit, en fonction de la capacité de la mission à améliorer le management global des risques et l’environnement de contrôle de l’organisation. Il se peut que ces demandes soient suffisamment précises pour que l’on puisse déterminer l’allocation des ressources nécessaires, ou que l’allocation des ressources se fonde sur les travaux d’audit précédents. Ces missions peuvent également comporter des enquêtes sur des soupçons de fraude qui peuvent survenir de manière inopinée et des demandes d’examen des activités de prestataires de services. Fréquence des audits - La fréquence des audits est définie sur la base d’une évaluation de la probabilité d’occurrence et de l’impact des risques en regard des objectifs de l’organisation. Les audits étant cycliques, des programmes d’audit pluriannuels sont élaborés et présentés à la direction générale et au comité d’audit, pour examen et validation. On élabore un plan pluriannuel, qui s’étend généralement sur trois à cinq ans, pour spécifier quels audits seront menés et quand, pour veiller à l’étendue adéquate des travaux effectués sur cette période et pour identifier les audits pouvant nécessiter des ressources externes spécialisées, voire des ressources internes supplémentaires. De surcroît, la plupart des organisations établissent un programme sur un an, qui découle du plan pluriannuel. Elles y énoncent les activités d’audit planifiées pour l’année à venir. Outre la fréquence des audits, l’élaboration du programme d’audit prendra en compte d’autres facteurs : les stratégies de sous-traitance de l’audit interne ; Estimation des ressources disponibles pour l’audit des SI ; L’obligation de se conformer à la réglementation et aux autres dispositions en vigueur ; Les audits externes à synchroniser avec le plan d’audit ; Les initiatives et efforts internes destinés à améliorer la fonction d’audit ; La mise en réserve d’un budget et d’un programme d’audit des SI, permettant de faire raisonnablement face à des situations non prévues. Principes relatifs au plan d’audit - Lorsque les auditeurs des systèmes d’information définissent les principes relatifs au plan d’audit, ils doivent prendre en compte les risques et les menaces pour l’élaboration du plan d’audit Le contenu du programme d’audit des SI - Le contenu du programme d’audit des SI reflétera directement l’évaluation des risques décrite dans les sections précédentes. Le plan présentera également différents types d’audit des SI, par exemple : Audits intégrés

H.BENNANI

Page 23

Cours Audit des systèmes d’information S9









des processus de l’organisation ; Audits des processus SI (audits de la stratégie et de la gouvernance des SI, pour la gestion des projets, activités, politiques et procédures de développement des logiciels, et sécurité de l’information, gestion des incidents, et gestion des changements) ; Audits des projets de l’organisation et des initiatives portant sur les SI (notamment les revues du cycle de développement des logiciels) ; Audits de l’infrastructure technique (revues de la gestion de la demande, évaluations de la performance, évaluations des bases de données, audits des systèmes d’exploitation, analyses des opérations, etc.) ; Audit du réseau (examen de l’architecture du réseau, tests d'intrusion, évaluation des vulnérabilités et de la performance). Intégration du programme d’audit des SI - L’un des volets essentiels du processus de planification est la définition du degré d’intégration du plan d’audit des SI aux autres activités du service d’audit. Ici, les auditeurs déterminent quelle entité d’audit sera chargée de planifier et de surveiller les audits des applications métier. Cette analyse pourrait être élargie à toutes les composantes des SI. Validation du programme d’audit - Il n’existe malheureusement pas de test direct permettant de vérifier que le plan d’audit est adéquat et son efficacité potentielle maximale. Les auditeurs devront donc disposer de critères pour évaluer l'efficience de ce plan en regard de ses objectifs. Comme nous l’avons vu précédemment, le plan d’audit inclura les audits fondés sur le risque, les domaines d’audit obligatoires et les demandes de la direction générale relatives à des activités d’assurance et de conseil. L’un des objectifs de la phase de planification étant d’allouer des ressources aux domaines dans lesquels l’audit des systèmes d’information peut créer le plus de valeur ajoutée, comme aux domaines de la sécurité informatique induisant le plus de risques, les auditeurs détermineront la manière dont le programme pourra refléter cet objectif. La nature dynamique du programme d’audit des SI - La technologie ne cessant d’évoluer, l’organisation se retrouve confrontée à de nouveaux risques, vulnérabilités et menaces. De surcroît, les changements technologiques peuvent amener à définir un nouvel ensemble d’objectifs pour les SI, ce qui débouche sur de nouvelles initiatives, acquisitions ou transformations dans le domaine des SI, ou des changements visant à répondre aux besoins de l’organisation. Lors de l’élaboration du plan d’audit, il importe donc de prendre en considération le caractère dynamique et évolutif de l'organisation. Plus précisément, les auditeurs devront alors tenir compte du rythme de changement des SI, plus rapide que celui des autres activités, de l’adéquation du calendrier de développement d’un système avec le résultat des audits de ce cycle de développement. Communiquer, obtenir le soutien de la direction et faire approuver le programme d’audit Le service d’audit interne présente le programme d’audit à la direction générale et au comité d’audit. D’après la Norme 20209, il doit, en particulier, informer ces instances du niveau de ressources requis, de tous les remplacements significatifs susceptibles d’intervenir en cours d’exercice et de l’impact potentiel d’une limitation de ses ressources. Il importe également que le volet SI du programme d’audit ou que le programme d’audit du SI fasse l’objet d’une discussion avec la direction générale et

H.BENNANI

Page 24

Cours Audit des systèmes d’information S9

l'organe délibérant, ainsi qu’avec les principaux acteurs impliqués à travers le SI, telles que le DSI, les directeurs de la production et des développements, les cadres de la DSI, les propriétaires d'application et d’autres membres du personnel exerçant des fonctions analogues. La contribution de ces parties prenantes est cruciale pour le succès de la planification de l’audit comme devant permettre aux responsables de l’audit et aux auditeurs de mieux cerner l’environnement de l’organisation, d’identifier les risques et les préoccupations et de sélectionner les domaines d’audit. De plus, le dialogue sur le programme d’audit définitif aidera à valider la contribution des parties prenantes tout au long du processus et donnera un premier aperçu des travaux à mener. Les auditeurs discutent du plan d’audit des SI avec les principaux responsables, les gestionnaires et le personnel chargé des SI de façon à obtenir leur soutien. La compréhension, la coordination et le soutien de l’équipe chargée des SI rendront le processus d’audit plus efficace et plus efficient. De plus, la connaissance anticipée du programme facilite un dialogue franc et permanent, qui permet de discuter de l’évolution des risques et de l’environnement opérationnel, à chaque étape de la réalisation du plan d'audit, et de procéder à des ajustements en continu. L’interaction avec les « clients » lors de l’évaluation des risques et avant l’approbation du plan d’audit final est fondamentale pour la qualité globale du plan. 3. La démarche d’audit du SI La démarche d'audit informatique se définit à partir des préoccupations du demandeur d'audit qui peut être le directeur général, le directeur informatique, le directeur financier,… Il va pour cela mandater l'auditeur pour répondre à une liste de questions précises qui font, plus ou moins implicitement, référence à l'état des bonnes pratiques connues dans ce domaine. Celui-ci va ensuite s'attacher à relever des faits puis, il va mener des entretiens avec les intéressés concernés. Il va ensuite s'efforcer d'évaluer ses observations par rapport à des référentiels largement reconnus. Et c’est sur cette base, qu’il va proposer des recommandations. Afin de préparer une mission d'audit du système d’information, il convient de déterminer un domaine d'études pour délimiter le champ d'investigation. En ce sens il est conseillé d'effectuer un pré-diagnostic afin de préciser les questions qui feront l’objet de l’audit. Cela se traduit par l'établissement d'une lettre de mission détaillant les principaux points à auditer et donne les pouvoirs nécessaires à l'auditeur. Pour mener à bien l’audit du système d’information il est recommandé de suivre les cinq phases suivantes :

H.BENNANI

Page 25

Cours Audit des systèmes d’information S9

3.1.Le cadrage de la mission Les objectifs du cadrage de la mission se présentent comme suit :  Une délimitation du périmètre d’intervention de l’équipe d’audit du SI. Cela peut être matérialisé par une lettre de mission3 , une note interne, une réunion préalable organisée entre les équipes d’audit financier et d’audit informatique ;  Une structure d’approche d’audit et organisation des travaux entre les deux équipes ;  Une définition du planning d’intervention ;  Une définition des modes de fonctionnement et de communication. Lors de cette phase, l’auditeur informatique prendra connaissance du dossier de l’équipe de l’audit financier (stratégie d’audit, rapports d’audit interne, points d’audit soulevés au cours des précédents audits). 3.2.La compréhension de l’environnement informatique Elle doit permettre de déterminer comment les systèmes clés contribuent à la production de l’information financière. Elle se fait sur la base des 3 aspects suivants: 1. L’organisation de la fonction informatique : A ce stade, l’auditeur devra saisir les éléments suivants :  La stratégie informatique de l’entreprise : il s’agit bien d’un examen du plan informatique, du comité directeur informatique, des tableaux de bords etc.  Le mode de gestion et d’organisation de la fonction informatique : il s’agit notamment de comprendre dans quelle mesure la structure organisationnelle de la fonction informatique est adaptée aux objectifs de l’entreprise. En outre, il faudrait apprécier si la fonction informatique est sous contrôle du management. A cet effet, il faudrait examiner les aspects suivants : L’organigramme de la fonction informatique (son adéquation par rapport aux objectifs assignés à la fonction, la pertinence du rattachement hiérarchique de la fonction, le respect des principes du contrôle interne) ; La qualité des ressources humaines (compétence, expérience, gestion des ressources, formation) ; Les outils de gestion et de contrôle (tableaux de bord, reporting, contrôles de pilotage) ; Les procédures mises en place (leur formalisation, leur respect des principes de contrôle interne, leur communication au personnel). 2. Les caractéristiques des systèmes d’information : L’auditeur devra se focaliser sur les systèmes clés de façon à identifier les risques et les contrôles y afférents. Ainsi, il faudrait documenter l’architecture du matériel et du réseau en précisant:  Les caractéristiques des systèmes hardware utilisés (leur architecture, leur procédure de maintenance, les procédures de leur monitoring) ; 3

L’établissement de la lettre de mission. Ce document est rédigé et signé par le demandeur d'audit et permet de mandater l'auditeur. Il sert à identifier la liste des questions que se pose le demandeur d'audit. Très souvent l'auditeur participe à sa rédaction.

H.BENNANI

Page 26

Cours Audit des systèmes d’information S9



Les caractéristiques des systèmes software (systèmes d’exploitation, systèmes de communication, systèmes de gestion des réseaux, de la base des données et de la sécurité, utilitaires). 3. La cartographie des applications : Il reviendra à l’équipe d’audit informatique d’inventorier les applications informatiques utilisées dans ces processus ainsi que leurs caractéristiques (langage de développement, année de développement, bases de données et serveurs utilisés). 3.3.l’évaluation des risques et des contrôles afférents aux systèmes Il est capital, quel que soit le modèle ou l’approche d’évaluation des risques retenu, que cette évaluation cerne les domaines de l’environnement du SI susceptibles d’entraver fortement la réalisation des objectifs de l’organisation. En d’autres termes, l’évaluation des risques doit intégrer l’infrastructure, les applications et les opérations informatisées et, de façon générale, tous les composants du SI, qui pèsent le plus sur la capacité de l’organisation à veiller à la disponibilité, à la fiabilité, à l’intégrité et à la confidentialité du système et des données. En outre, les auditeurs doivent tenir compte de l’efficacité et de la pertinence des résultats de l’évaluation des risques, lesquels dépendent de la méthode employée et de sa bonne mise en œuvre. En somme, si les données d’entrée utilisées pour évaluer les risques (c’est-à-dire l’univers d’audit des SI et sa relation avec l’univers d’audit de l’organisation) sont déficientes ou utilisées incorrectement, il est vraisemblable que les résultats de l’évaluation en seront, à certains égards, insatisfaisants. Ainsi, la collecte des faits constitue une partie importante du travail effectué par les auditeurs. Les entretiens avec les audités permettent de compléter les faits collectés grâce à la prise en compte des informations détenues par les opérationnels. Cette phase peut être délicate et compliquée. Souvent, les informations collectées auprès des opérationnels ressemblent plus à des opinions qu'à un apport sur les faits recherchés. Pour l’estimation des risques, il est possible en théorie de les quantifier à l’aide de distributions de probabilités sur les menaces et les vulnérabilités, ainsi qu’en estimant les coûts occasionnés par les impacts. En pratique, il se révèle difficile de donner des valeurs absolues et on se contente bien souvent d’une échelle de valeurs relatives, par exemple, allant de 1 à 4. Cette estimation permet de faire un choix dans le traitement du risque, avant de passer à la détermination des exigences de sécurité.

H.BENNANI

Page 27

Cours Audit des systèmes d’information S9

Figure : Les différentes zones de risque

D’une manière générale, on considère que : 

Les risques ayant une occurrence et un impact faible sont négligeables.



Les risques ayant une forte occurrence et un impact important ne doivent pas exister, autrement une remise en cause des activités de l’entreprise est nécessaire (on évite le risque, avoidance en anglais)



Les risques ayant une occurrence forte et un impact faible sont acceptés, leur coût est généralement inclus dans les coûts opérationnels de l’organisation (acceptation du risque).



Les risques ayant une occurrence faible et un impact lourd sont à transférer. Ils peuvent être couverts par une assurance ou un tiers (transfert du risque).



Enfin, les autres risques, en général majoritaires, sont traités au cas par cas et sont au centre du processus de gestion des risques ; l’objectif, étant de diminuer les risques en les rapprochant au maximum de l’origine de l’axe (mitigation du risque à l’aide de contrôles).

H.BENNANI

Page 28

Cours Audit des systèmes d’information S9

Ex. : L’analyse des risques montre un certain nombre de scénarios ayant un niveau de risque inquiétant pour la base de données clients. Un des risques identifiés est l’accès aux données par un utilisateur non-autorisé à travers le réseau. Cela aurait pour conséquence de nuire à la confidentialité des données. Ce risque nécessite d’être traité par des contrôles de sécurité. Cartographie des risques : L’auditeur complète ainsi la cartographie des risques (pré remplie) : - Pour chaque objet auditable de la procédure, les risques inhérents listés sont qualifiés. - La cotation se fait en évaluant le poids (Impact X Probabilité) de chacun des risques selon l’évaluation suivante

- Pour les risques élevés l’auditeur indique les contrôles qui doivent être réalisés pour permettre leur maitrise. L’auditeur indique « ce qui doit être fait », pour ensuite procéder à une comparaison avec « ce qui est fait ».

- Evaluer le risque du contrôle : Après avoir évalué le niveau des risques inhérents, l’auditeur recense les contrôles réalisés pour déterminer le niveau des risques de contrôle. Le niveau du risque de contrôle est élevé si le contrôle mis en œuvre pour maitriser le risque inhérent élevé apparait comme insuffisant.

H.BENNANI

Page 29

Cours Audit des systèmes d’information S9

- S’assurer que les exigences de sécurité sont prises en compte : elles peuvent être des exigences générales, qui définiront l’intention de contrer les risques identifiés (de niveau stratégique), pour les raffiner ensuite en des exigences plus précises (vers le niveau opérationnel). Toutefois les exigences sont censées être génériques et applicables à tout SI. Il faut également rappeler que ces exigences de mitigation des risques porteront à la fois sur le système informatique (comme le besoin d’encryption des mots de passe), mais aussi sur son environnement (par exemple, « l’utilisateur du système ne doit pas dévoiler son mot de passe à un tiers »). Ex : Le serveur doit être protégé, dans sa globalité, des intrusions éventuelles. De même, on décide de mettre en place un contrôle d’accès adéquat sur la base de données. Une authentification à distance, plus forte que l’authentification actuelle par login/password, est nécessaire. Toutefois le coût et la simplicité d’utilisation de la solution choisie doivent rester à un niveau acceptable. - Evaluer les contrôles (ou contre- mesures) de sécurité : Les contrôles sont l’instanciation des exigences de bas niveau pour le système cible étudié. Il faut donc évaluer les choix techniques des solutions de sécurité, influencés par le système déjà en place, les compétences disponibles, les coûts de mise en œuvre… Ex : On sélectionne l’ajout d’un IDS au firewall déjà en place. De plus, on décide de mettre en place une politique de password plus exigeante constituée d’un login/password ainsi que d’un code de contrôle distribué à l’utilisateur lors de son inscription. Une authentification par carte à puce est trop contraignante.

3.4.Les tests des contrôles informatiques Les tests des contrôles informatiques peuvent être effectués en utilisant aussi bien des techniques spécifiques aux environnements informatisés (contrôles assistés par ordinateurs, revue des codes, jeux de tests) que des techniques classiques (examen des pièces et documents). 3.5.La rédaction du rapport d’audit et les recommandations La rédaction du rapport d'audit est un long travail qui permet de mettre en avant des constatations faites par l'auditeur et les recommandations qu'il propose. Au terme de la mission, l’auditeur est parfois mené à établir un plan d’action et éventuellement à mettre en place un suivi des recommandations. Le non-respect de cette démarche peut entrainer une mauvaise réalisation et mise en place d'outils qui ne sont pas conformes aux réels besoins de l'entreprise. Cette démarche est essentielle pour l'auditeur car il lui apporte des éléments fondamentaux pour le déroulement de sa mission mais celle-ci est encore plus bénéfique pour l'organisation.

H.BENNANI

Page 30

Cours Audit des systèmes d’information S9

En effet, les acteurs audités ne sont pas passifs. Ils sont amenés à porter une réflexion sur leurs méthodes de travail et à s’intéresser au travail des autres acteurs de l'entité. Cela conduit à une cohésion d'équipe et à un apprentissage organisationnel. Il s'agit d'un facteur positif car en cas de changement les acteurs seront moins réticents. 4. Référentiels La notion de contrôle est au cœur de la démarche d'audit du système d’information. L'objectif est de mettre en place des dispositifs de contrôle efficaces et performants permettant de maîtriser efficacement l'activité informatique. Le contrôle interne est un processus mis en œuvre à l'initiative des dirigeants de l'entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :  la conformité aux lois et aux règlements,  la fiabilité des informations financières,  la réalisation et l'optimisation des opérations.... N B : Il est évident que l'audit informatique s'intéresse surtout au troisième objectif. L'auditeur informatique va se servir de référentiels d'audit informatique lui donnant l'état des bonnes pratiques dans ce domaine. Il existe différents référentiels comme :  CobiT : (Control Objectives for Information and related Technology). C'est le principal référentiel des auditeurs informatiques ;  Val IT : permet d'évaluer la création de valeur par projet ou par portefeuille de projets ;  Risk IT : a pour but d'améliorer la maîtrise des risques liés à l'informatique. NB : Ces trois principaux ci-haut référentiels sont gérés par l’entreprise L'ISACA (Information Systems Audit & Control Association) qui est l'association internationale des auditeurs informatiques, créé en 1967et est représenté en France depuis 1982 par l'AFAI (Association Française de l'Audit et du conseil Informatique), C’est un cadre de contrôle qui fournissent de nombreux supports et vise à aider le mangement à gérer les risques (la sécurité, la fiabilité et la conformité) et les investissements. Mais on peut aussi utiliser d'autres référentiels comme : ISO 27002 : c’est un code des bonnes pratiques en matière de management de la sécurité des systèmes d'information ; CMMi (CapabilityMaturity Model integration) : qui est une démarche d'évaluation de la qualité de la gestion de projet informatique ; ITIL : qui est un recueil des bonnes pratiques concernant les niveaux et de support des services informatiques. 4.1.Le référentiel Cobit La démarche d’audit du système d’information s’appuie sur le référentiel COBIT (Control Objectives for Information and related Technology : Objectifs de contrôle de l’information et des technologies associées). H.BENNANI

Page 31

Cours Audit des systèmes d’information S9

COBIT est un cadre de référence international fondé sur les meilleures pratiques en audit de système d’information. Il a été créé par l’ISACA (Information Systems Audit ans Control Association). Les composants de COBIT sont : - des concepts et principes clés, fondés sur une approche structurée de la fonction informatique ; - un cadre de référence : besoins de l’entreprise, ressources informatiques, processus informatiques ; - des objectifs de contrôle : efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité ; - un guide d’audit fondé sur 4 principes : acquisition, évaluation, vérification, justification ; avec un ensemble de propositions pour des actions correctives ; - un guide de management : valeur, équilibre risques/bénéfices, indicateurs clés ; - des outils de mise en œuvre : restitution expérience acquise, diagnostic de sensibilisation du management, diagnostic de contrôle de l’informatique. COBIT est une approche multidimensionnelle et multicritère, qui permet à chaque utilisateur d’obtenir pour chaque processus les informations qui l’intéressent. Les bonnes pratiques de COBIT sont le fruit d’un consensus d’experts. Elles sont très axées sur le contrôle et moins sur l’exécution des processus. Elles ont pour but d’aider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des outils de mesure (métriques) auxquels se référer pour évaluer les dysfonctionnements.

Composants du référentiel Cobit

H.BENNANI

Page 32

Cours Audit des systèmes d’information S9

Pour que l’informatique réponde correctement aux attentes de l’entreprise, les dirigeants doivent mettre en place un système de contrôle ou un cadre de contrôle interne. Pour répondre à ce besoin, le cadre de référence de contrôle de COBIT : - établit un lien avec les exigences métiers de l’entreprise ; - structure les activités informatiques selon un modèle de processus largement reconnu ; - identifie les principales ressources informatiques à mobiliser ; - définit les objectifs de contrôle à prendre en compte. COBIT concourt ainsi à la gouvernance des systèmes d’information en fournissant un cadre de référence qui permet de s’assurer que : - les SI sont alignés sur les métiers de l’entreprise ; - les SI apportent un plus aux métiers et maximisent les résultats ; - les ressources des SI sont utilisées de façon responsable ; - les risques liés aux SI sont gérés comme il convient.

Le référentiel CobiT Quickstart s’intéresse à la direction générale en indiquant ce que l'implantation d'un processus donné va apporter sur les informations (par exemple sur l'information décisionnelle) et se base sur les procédés dont :  Efficacité : qualité et pertinence de l'information, distribution cohérente ;  Efficience : rapidité de délivrance ;  Confidentialité : protection contre la divulgation ;  Intégrité : exactitude de l'information ;  Disponibilité : accessibilité à la demande et protection (sauvegarde) ;  Conformité : respect des règles et lois ;  Fiabilité : exactitudes des informations transmises par le management. H.BENNANI

Page 33

Cours Audit des systèmes d’information S9

Les différentes ressources sont:  Les compétences : le personnel, et collaborateurs (internes et externes) ;  Les applications : ensemble des procédures de traitement ;  L’infrastructure : ensemble des installations, Data Center, … ;  Les données : informations au sens global (format, structure, …) ;  Les techniques : équipement, logiciels, bases de données, réseaux, … Le référentiel COBIT fournit aux gestionnaires, auditeurs et utilisateurs de TIC (Technologies de l'information et de la communication), des indicateurs, des processus et des bonnes pratiques pour les aider à maximiser les avantages issus des techniques informatiques et à l'élaboration de la gouvernance et du contrôle d'une entreprise. Il les aide autant à comprendre leurs systèmes informatiques et à déterminer le niveau de sécurité et de contrôle qui est nécessaire pour protéger leurs entreprises. Ainsi, le référentiel COBIT fournit des indicateurs clés d'objectifs, des indicateurs clés de performances et des facteurs clés de succès pour chacun de ses processus. Le référentiel (modèle) COBIT se focalise sur ce que l'entreprise a besoin de faire et non sur la façon dont elle doit le faire. Il constitue une structure de relations et de processus (cadre de référence ou framework) visant à un pilotage et un contrôle des techniques informatiques par le management de l'entreprise pour atteindre ses objectifs, en utilisant ces techniques comme moyen pour améliorer l'activité et de répondre aux besoins métiers, besoins consolidés dans le plan stratégique de l'entreprise. Il est basé sur 5 clés principales de la gouvernance et gestion IT :  Répondre aux besoins des parties prenantes ;  Couvrir l'entreprise de bout en bout ;  Appliquer un seul cadre de référence ;  Séparer la gouvernance et la gestion ;  Favoriser une approche globale. Il existe plusieurs versions du référentiel CobiT, telles que Le référentiel CobiT version 4 ; Le référentiel CobiT version 5 et Le référentiel CobiT version Quickstart… Le recours au référentiel COBIT constitue un appui pour l’auditeur. Cependant son usage présente des limites. D’une part, le référentiel doit être adapté aux objectifs de la mission et au contexte de mise en œuvre. Le référentiel nécessite une démarche critique de l’auditeur et une appréciation des risques liés au contexte spécifique d’intervention. D’autre part, si le référentiel COBIT reste exhaustif et pertinent, pour l’appréciation des risques liés à la fonction informatique, sa portée est limitée pour ce qui concerne l’évaluation des risques informatiques liés au fonctionnement des autres processus opérationnels ou à un environnement légal et réglementaire donné.

H.BENNANI

Page 34

Cours Audit des systèmes d’information S9

4.2.Référentiel ITIL Le référentiel ITIL (« Information Technology Infrastructure Library » ou « Bibliothèque pour l'infrastructure des technologies de l'information ») est un ensemble d'ouvrages recensant les bonnes pratiques (best practices) du management du système d'information. C'est un référentiel très large qui aborde les sujets suivants : Comment organiser un système d'information ? Comment améliorer l'efficacité du système d'information ? Comment réduire les risques ? Comment augmenter la qualité des services informatiques ? Les recommandations du référentiel ITIL positionnent des blocs organisationnels et des flux d'informations. De nombreux logiciels d'exploitation informatique sont conformes à ces recommandations. L'adoption des bonnes pratiques du référentiel ITIL par une entreprise permet d'assurer à ses clients (internes comme externes) un service répondant à des normes de qualité préétablies au niveau international. Le référentiel ITIL est à la base de la norme BS15000 (première norme de Gestion de Services Informatiques formelle et internationale) un label de qualité proche des normes ISO par exemple. Le référentiel ITIL permet, grâce à une approche par processus clairement définie et contrôlée, d'améliorer la qualité des SI et de l'assistance aux utilisateurs en créant notamment la fonction (département de l'entreprise) de Centre de services ou « Service Desk » (extension du « help desk ») qui centralise et administre l'ensemble de la gestion des systèmes d'informations. Ainsi, le référentiel ITIL devient finalement une sorte de « règlement intérieur » du département informatique des entreprises qui l'adoptent. Les bénéfices qu’offrent le référentiel ITIL aux entreprises qui l’adoptent, sont une meilleure traçabilité de l'ensemble des actions du département informatique. Ce suivi amélioré permet d'optimiser en permanence les processus des services pour atteindre un niveau de qualité maximum de satisfaction des clients.

H.BENNANI

Page 35

Cours Audit des systèmes d’information S9

Le référentiel ITIL décrit comment on s'assure que le « client » a accès aux services informatiques appropriés, et comprend : Le centre de services (service desk) La gestion des incidents (incident management) La gestion des problèmes (problem management) La gestion des changements (change management) La gestion des mises en production (release management) La gestion des configurations (configuration management).

H.BENNANI

Page 36