Академический Документы
Профессиональный Документы
Культура Документы
Nicolas Omont
Rsum
A loccasion de du stage de fin dtude, jai rejoint les quipes dErnst & Young France, dans
le service daudit des systmes dinformation durant cinq mois. Dans le contexte de la
fusion des quipes historique de Ernst & Young et de celles de lancien cabinet Arthur
Andersen, jai particip diffrentes missions :
Conception :
2. Analyse de donnes dans le cadre de laudit des stocks dune filiale dune
multinationale.
1/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Structure du document
Ce document est structur en plusieurs chapitres.
Dans une premire partie, je prsente le cabinet et le contexte du stage puis je dcris
de manire dtaille lorganisation des missions et les travaux que jai concrtement
effectus.
Dans une seconde partie, je dtaille le contenu des missions les plus importantes
regroupes autour des thmes de lannuaire dentreprise, de laudit des stocks et de la
gestion de projets de scurit.
2/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Structure du document...............................................................................................................2
1. Prsentation du stage...............................................................................................................6
1.1. Synthse...........................................................................................................................6
1.2. Lentreprise......................................................................................................................7
1.2.3. Organisation..............................................................................................................9
1.2.4.2. Contexte...........................................................................................................11
1.3.1. Synthse..................................................................................................................12
1.3.2. Accueil....................................................................................................................13
2. Problmatiques et solutions..................................................................................................19
3/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
2.2.1.1. Dfinition.........................................................................................................20
2.2.1.2. Historique.........................................................................................................20
2.2.3.1. Maquette...........................................................................................................29
2.2.3.2. Migration..........................................................................................................29
2.2.4.1. Problmatique..................................................................................................34
4/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
2.4.2.1. Spcificits.......................................................................................................43
Conclusion...............................................................................................................................45
Remerciements.........................................................................................................................47
5/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
1. Prsentation du stage
1.1.Synthse
Objectif global du stage
Du fait de la position privilgie des auditeurs comme interlocuteurs des entreprises avec
le monde de linformatique, jattendais de ce stage de dcouvrir le monde des
entreprises par le biais des systmes dinformation.
Connaissances acquises
Mthodes de travail
Sur le plan moins visible des mthodes de travail, cette exprience ma certainement
apport le sens de la satisfaction du client, notion diffrente de la production dun travail
parfait . Le contexte de la fusion ma aussi appris madapter de nouvelles
mthodes de travail. Jai aussi compris quil tait important de bien documenter ses
travaux, car ils sont inutilisables dans le cas contraire.
Par ailleurs, aprs avoir expriment le rythme de travail des auditeurs, suite de priodes
caractrises par une charge de travail modre et de priodes de surcharge
imprvisibles, jai compris que le rythme de travail que je souhaitais, ne correspondait
pas celui que jai rencontr.
6/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
1.2.Lentreprise
1.2.1.Prsentation gnrale
Ernst & Young est une firme multinationale qui compte 110 000 collaborateurs dont le
sige est bas aux Etats-Unis. Son activit traditionnelle est la certification des
comptabilits des entreprises. Cest lun des quatre cabinets couverture globale parmi
lesquels les grandes multinationales cotes en bourse choisissent prfrentiellement leurs
commissaires aux comptes. Ces quatre cabinets sont appels les Big Four (Ernst &
Young, Deloitte Touche Tohmatsu, PriceWaterHouseCoopers et KPMG). La carte ci-dessous
montre la couverture mondiale dErnst & Young.
Cette activit daudit lgal permet au cabinet dacqurir une bonne connaissance des
entreprises et de leur fonctionnement. Ainsi, Ernst & Young a-t-il dvelopp une palette de
service trs large pour satisfaire les demandes de ses clients en matire de conseil. En dehors
des auditeurs financiers, le cabinet emploie des avocats dans les domaines du juridique et du
fiscal, des experts des transactions financires et des quipes dans de nombreux domaines lis
la gestion des risques dans les entreprises. La palette ci-dessous (figure 2) illustre les
diffrents services proposs par la branche franaise.
7/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
En France, le cabinet compte 5 400 collaborateurs. Il est le premier cabinet daudit franais
par son chiffre daffaires de 640 M en 2002-2003. Le second, la Socit Fiduciaire Nationale
ralise un chiffre daffaires infrieur de moiti. De plus, ce cabinet nest pas un cabinet
international. Ernst & Young audite au titre du commissariat au compte 110 des 250 socits
cts au SBF 250, 62 des 120 socits du SBF 120 et 23 de celles du CAC 40. Les graphiques
ci-dessous (figure 3) illustrent ses parts de marchs pour le SBF 120 et le CAC 40
respectivement en comparaison de celle des 3 autres cabinets denvergure mondiale. Il met en
vidence le fait que le cabinet est le leader franais pour laudit des grandes entreprises.
8/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
1.2.2.Contexte
Pour les grands cabinets daudit, les dfis pour surmonter la crise conomique et les scandales
financiers des dernires annes sont importants.
Sur le front intrieur, le ralentissement conomique oblige les cabinets restreindre les
embauches de dbutants par rapport aux annes Internet . Cela conduit une pyramide des
ges dsquilibre : beaucoup de managers, correspondant des collaborateurs qui ont plus de
6 annes danciennet et peu de dbutants. Il en rsulte des tensions car lacquisition de
responsabilits, toujours relle, est ralentie par rapport aux annes Internet . A ce contexte
gnral sajoutent, pour Ernst & Young, les difficults dune fusion : Il nest jamais vident
de se crer une nouvelle culture dentreprise partir de deux cultures trs diffrentes.
Sur le front extrieur, il faut sassurer de la confiance des clients la suite de laffaire
Enron, qui a violemment marqu les esprits dans tous les cabinets mais surtout les anciens de
Andersen qui ont vcu la disparition de leur entreprise et sortent dune priode dincertitude
qui a dur prs de deux ans. Toutefois, les actions et la volont sont relles et marques en
matire de sparation des clients pour lesquels le cabinet est commissaire aux comptes et donc
les autres missions interdites, et les autres clients pour lesquels il ny a pas de restrictions sur
les missions proposables.
De plus, le cabinet doit sans cesse embaucher et donc de crotre pour bien fonctionner car cela
permet aux anciens dacqurir plus rapidement des responsabilits. Or, le march du
commissariat aux comptes est limit. Ainsi la stratgie du cabinet est de dvelopper les
missions autres que le commissariat aux comptes. Lobjectif annonc du cabinet Ernst &
Young est de parvenir 50 % de son chiffre daffaires provenant de ces autres missions. Cette
stratgie concourt une diminution globale des risques de conflits dintrt, car elle cible
prcisment le march conqurir.
1.2.3.Organisation
Dans les cabinets daudit, il existe une structure de grades permettant de situer rapidement le
niveau de responsabilit quaura une personne dans une mission. Il est possible de changer de
niveau chaque anne, selon les capacits et les performances dont font preuve les consultants
durant lanne. En arrivant, les collaborateurs sont appels assistants , dbutants la
premire anne et expriments la deuxime anne. Ils sont eux-mmes sous la responsabilit
des seniors , dont le grade est complt par le nombre dannes qui se sont droules
depuis quils y ont accds. On reste souvent quatre annes Senior, sans que cela soit une
norme. Les assistants et les seniors ont des rles oprationnels. Ils ralisent lessentiel du
travail des missions. Ils sont leur tour encadrs par des managers et senior
managers qui ont un rle de supervision. Ils sont galement en charge de la prospection des
clients. Enfin, les associs possdent des parts du cabinet et en assurent la direction et
lorganisation.
9/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Au sein du cabinet franais, le ple service TSRS (Technology and Security Risk Services)
traduit en franais par (Audit et scurit des systmes dinformation) appartient la
division AMA (Autres Mtiers de lAudit) qui elle-mme sintgre dans la business unit
des mtiers de laudit. Il compte aujourdhui 160 personnes. Il dveloppe une offre autour de
laudit et la scurit des systmes dinformation dentreprise.
Mme si le cur de ses comptences est la gestion des risques lis aux systmes
dinformation, le ple service propose aussi daccompagner les directions dans leur rle de
matrise douvrage pour des projets informatiques. Si le ple service jouit dune relative
autonomie au sein du cabinet, il nen collabore pas moins avec les auditeurs financiers lors de
missions conjointes dans les entreprises o le systme dinformation joue un rle crucial dans
la dtermination du rsultat financier. Ces missions peuvent tre de lassistance au
commissariat au compte comme des audits dits de due diligence dans le cas de la
valorisation dune entreprise lors de sa vente. Elles constituent la raison dtre du service et la
source de ses connaissances de lentreprise. Une autre spcificit de ces missions est que la
prospection de clients est aussi interne, car il faut convaincre les auditeurs financiers de
partager le budget de mission qui leur est allou avec leurs collgues du ple service TSRS.
Enfin, des auditeurs se sont spcialiss dans la gestion de la scurit des systmes
dinformation, les uns concevant des solutions, les autres les auditant.
Note : Comme nous verrons par la suite, lune des missions que jai ralise sinscrit
directement dans le cadre de laccompagnement de projets, lautre dans le cadre dune
assistance aux travaux de commissariat aux comptes, et la dernire dans le cadre de loffre
de gestion de la scurit des systmes dinformation.
10/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
1.2.4.2.Contexte
Comme dans le reste du cabinet, un des objectifs prioritaires du ple service est dachever la
fusion entame il y a 18 mois avec le dpartement TRC (Technology Risk Consulting) de
B.F.A.. Au-del des procdures et de lorganisation, les cultures sont assez diffrentes et
chacun sattache naturellement la sienne. Les nouveaux entrants jouent le rle de pont et
catalysent lmergence dune nouvelle culture.
Toutefois, la complmentarit des deux cultures et des comptences associes est relle et
augure la constitution dune offre de service globale et de qualit. La runion des quipes
dans un mme lieu a eu lieu dbut octobre 2003 et permet dacclrer grandement la
constitution dquipes mixtes.
Enfin, dans un systme bas sur une implication des collaborateurs ncessitant des arbitrages
impactant la vie prive (horaires de travail dbordant le soir et le week-end, imprvisibilit de
la charge de travail), la rmunration et les responsabilits croissantes sont un facteur
essentiel pour garantir la motivation des collaborateurs. Le retour de la croissance va
permettre damliorer ce point.
Au final, mon stage sest droul dans un service en cours de fusion, travaillant tantt avec
des consultants issus dArthur Andersen, tantt avec des consultants historiquement chez
Ernst & Young qui ne se connaissent pas encore. Jai donc eu une vue privilgie sur ce
processus de fusion et sur les deux cultures.
11/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
1.3.1.Synthse
Cette partie prsente de matire exhaustive les missions que jai effectues lors de mon stage,
afin que le lecteur puisse se faire une ide juste du travail effectu. En plus de la description
des travaux effectus, on y trouve un certain nombre danalyses sur le fonctionnement et
lorganisation du cabinet. On ny trouvera pas le dtail des problmatiques rencontres car
cela fait lobjet de la seconde partie du rapport.
Sur lorganisation du cabinet, je retiens essentiellement le fait que le cabinet est centr autour
du client dans le but de le satisfaire, ce qui entrane la ncessit de grer des problmes tels
que la variabilit et limprvisibilit de la charge de travail.
Sur le plan quantitatif, le bilan horaire se trouve dans le tableau 1. On voit quun quart de
temps de travail tait disponible pour la formation personnelle (acquisitions de nouvelles
comptences pour participer de nouvelles missions, par exemple). Toutefois, certaines
missions comme lassistance au commissariat au compte taient trs prenantes et constituaient
de grosses semaines. Ceci montre, dans mon cas prcis, cette forte variabilit de lactivit
intrinsque au mtier, mme si javais globalement moins de travail que les consultants. Ce
caractre imprvisible de la charge de travail constitue le revers de la mdaille de la varit
des missions et des environnements rencontrs.
12/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
1.3.2.Accueil
La premire semaine du stage, dbut septembre, a t une priode daccueil et dobtention
dun ordinateur portable, indispensable tout travail dans le cabinet. Je tiens vraiment
insister sur cette omniprsence de lordinateur, indispensable au bureau comme en clientle.
A titre personnel, jai aussi apprci que les stagiaires disposent de moyens identiques ceux
des autres consultants.
13/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
1.3.3.Travaux raliss
1.3.3.1.Conception et assistance la mise en place dun annuaire
dentreprise
Dbut septembre commence une mission dont le but est initialement la conception du schma
de lannuaire dentreprise dune collectivit locale franaise. Cette mission a constitu
lessentiel de mon stage, car elle a couvert environ la moiti de mon temps. Elle sest
dveloppe jusqu la fin janvier et nest pas encore termine. Les travaux raliss sont les
suivants :
Dans le cadre de la mise en place de la tlphonie sur IP, formalisation des cas
dutilisation de lannuaire dentreprise avec des diagrammes UML partir du
cahier des charges fourni pour ce projet de tlphonie sur IP. La formalisation UML a
t intgre dans le rapport de conception remis au client, et le client a apprci
lutilisation de cet outil.
Toujours dans ce cadre, analyse critique de la rponse au cahier des charges de la
matrise duvre retenue afin de prparer une ventuelle reprise de lassistance
matrise douvrage. Cette reprise nest pas encore lordre du jour lheure de mon
dpart.
Ralisation dune maquette reproduisant lannuaire Active Directory Windows 2000
de la collectivit locale afin de tester les extensions de schma. Conception et
formalisation de la procdure dextension de schma permettant de revenir en arrire
en cas de problme (point dvelopp dans la seconde partie du rapport). La migration
en production sest bien droule.
Reproduction de la maquette de lannuaire chez la matrise duvre du projet voix
sur IP. Linstallation sest bien droule.
Etude et ralisation dune solution permettant dentrer et consulter les donnes
(dont la photo didentit) dans lannuaire. La solution a bien fonctionn.
Etude dune solution de gestion des flux dalimentation de lannuaire, cest--dire
dun logiciel capable de grer larrive, le mouvement ou le dpart dune personne
dans lentreprise, dont :
- Etude de CDM (Calendra Directory Manager)
- Etude de eTrust Admin
- Conception du flux de gestion des arrives/dpart de personnes.
- Ralisation de la maquette laide du progiciel CDM. Cette maquette ne fut pas
pleinement oprationnelle, mais une version simplifie a permis au client de faire
son choix.
Travail administratif (organisation du classeur).
Enfin, pour un autre client potentiel, dans le cadre dune proposition en matire
dannuaire dentreprise, ralisation dune plate-forme de dmonstration comptant
quatre serveurs. La maquette a bien fonctionn, et leffet marketing a t russi.
14/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Grce cette mission, jai aussi particip au knowledge des quipes, notamment par la
ralisation dun recueil de procdures sur Active Directory et Microsoft Exchange 2000.
En dehors des aspects techniques, cette mission est celle qui ma permis de comprendre le
mieux comment la relation avec le client est au centre des proccupations de lquipe. Bien
que nous lui proposions toujours une solution de grande qualit, il peut avoir besoin dune
solution partielle trs rapidement. Dans ce cas, le cabinet lui livre en en prcisant bien les
limites. Cest bien le client qui prend les dcisions, le rle du cabinet tant de linformer au
mieux pour quil puisse les prendre. Dans la majeure partie des cas, le travail effectu est
remis sous la forme dun document qui sera toujours dune prsentation extrmement
soigne.
Enfin, cette mission ma aussi fait comprendre le primtre de comptence du service. En
arrivant, je pensais que le service tait capable dtudier les problmes dorganisation des
entreprises. En fait, dans cette mission, cest la branche Entrepreneur Conseil qui sen est
charg : elle ltude de la procdure darrive des employs, nous limplmentation de
cette procdure dans le systme dinformation.
15/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Ces pripties passes, je suis accueilli par les auditeurs historiques dErnst & Young la
semaine suivante. On me prsente mon travail : dans une mission, a t vendu un outil
informatique de suivi des projets de scurit des systmes dinformation qui nexiste pas
encore. Dun autre cot, le cabinet dispose dune prcdente mission dun outil assez
comparable permettant de suivre les recommandations et les actions engages la suite
daudit de scurit. Mon rle est dadapter loutil une base Access sa nouvelle utilisation
et de participer llaboration de son contenu. Concrtement, jai effectu les tches
suivantes :
La mission ne comprenant pas daudit de scurit, les recommandations devaient se
baser sur les comptes rendus dentretiens raliss par le cabinet portant sur le systme
dinformation de lentreprise et sur les bonnes pratiques, essentiellement issues de la
norme ISO 17799 portant sur la gestion de la scurit de linformation . Les
travaux raliss dans ce cadre sont les suivants :
- Lecture de la norme ISO 17799
- Extraction des lments portant sur la scurit des systmes dinformation des
comptes rendus dune vingtaine dentretiens.
Ensuite les modifications effectues sur loutil concernent les points suivants :
- Le changement de termes afin de sadapter aux vocables spcifiques du client
- Lajout de la possibilit de changer le logo dans la perspective dune utilisation
pour dautres clients.
- Le reformatage des interfaces
- Lajout dinterfaces permettant nimporte quel auditeur de remplir la base pour
dautres clients.
- Lajout de la possibilit de dcouper les projets en tapes chronologiques.
La mission sest droule entre septembre et octobre sur environ deux semaines et demi de
travail. Lintrt de la mission, en dehors de la dcouverte du monde de laudit de scurit,
tait que je pouvais lorganiser librement. Cela ma notamment permis de travailler lorsque
les autres missions taient au point mort. Le tableau ci-dessous (tableau n2) dtaille les
heures ralises. Au final, le client na pas souhait acqurir loutil et a prfr la remise des
recommandations et des projets conus pour lui sous la forme dun rapport. Toutefois, cette
base pourra servir pour un autre client.
16/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Tableau 3 : Charges de la mission damlioration dun outil de gestion des projets de scurit
Parmi les bonnes surprises du stage, jai particip une mission dassistance au commissariat
au compte pour une filiale dun groupe de dindustrie mtallurgique. Jy ai beaucoup appris.
Une senior et moi sommes alls pendant une semaine sur le terrain pour comprendre
lorganisation de lentreprise et de ses usines. Notre rle tait dassister les trois auditeurs
financiers dans lvaluation les risques lis au systme dinformation de lentreprise.
Pour cela, il est ncessaire de parler le langage des auditeurs financiers. Ainsi, jai acquis des
notions de comptabilit des stocks et de comptabilit analytique. Jai vu la complexit du
problme de valorisation des stocks. Cette dcouverte du fonctionnement de lentreprise de
la visite du complexe sidrurgique la dtermination de la valeur des stocks tait trs
intressante mais la position dauditeur des systmes dinformation ne ma pas permis de
mintresser autant que je laurais souhait aux aspects organisationnels et financiers. Nous
tions en quelque sorte des sous-traitants des auditeurs financiers qui avaient une vision
beaucoup plus globale des enjeux. En effet, les objectifs de notre mission taient :
Dtablir une cartographie du systme dinformation de lentreprise, cest--dire un
diagramme des applications utilises.
Danalyser les donnes issues des tats de stocks. Cest--dire essentiellement
didentifier les anomalies et les tats contraires aux lois, aux rgles de la firme ou
aux bonnes pratiques.
Sur le plan humain, jai pu constater que le mtier dauditeur demandait beaucoup en termes
dengagement et dhoraires de travail. Pour eux, les horaires dbordaient sur les soires et
les week-ends.
En conclusion, ces deux semaines une sur le terrain, une pour exploiter les rsultats furent
trs intressantes, mme si jai pu voir que ce genre de mission reste assez exceptionnel en
matire danalyse de donnes car le travail est dordinaire ralis au cabinet sans les visites
qui permettent davoir une vue plus globale de lentreprise.
17/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Enfin, jai particip une mission de deux semaines dans un autre service qui navait rien
voir avec les systmes dinformation puisquil sagissait dune entit de conseil auprs des
services publics, quil sagisse de collectivits locales ou dadministrations franaises et
europennes. Si la tche qui ma t confie tait peu complexe, puisquil sagissait de mettre
jour partir dInternet une liste de personnes charges de lvaluation des politiques
publiques dans diffrentes administrations en vue de raliser une enqute, lobservation de
lquipe de travail fut trs intressante. En effet la culture y tait diffrente car les consultants
avaient presque tous tudis lInstitut des Sciences Politiques de Paris.
1.3.3.5.Semaine de formation
Lattraction dun cabinet daudit rside aussi dans sa capacit former les consultants. Ainsi,
jai profit dune semaine de formation avec les nouveaux arrivants du service. Ils avaient
auparavant particip deux semaines de formation laudit comptable avant que je ne les
rejoigne pour cette dernire semaine portant sur laudit des systmes dinformation. Cette
semaine ma permis davoir une vision plus globale du cabinet.
Nous avons appris raliser des cartographies de systme dinformation et nous servir
dun outil danalyse de donnes spcifique aux auditeurs : ACL. Cet outil possde une partie
des fonctionnalits dAccess. Il possde des options dimportation de fichier trs pousses
permettant limportation dtats dimpression par exemple. Il possde les caractristiques de
ne rien changer aux donnes importes et de donner un fichier denregistrement des actions
effectues afin de pouvoir se servir des rsultats comme preuve daudit.
18/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
2. Problmatiques et solutions
Parmi les problmes rencontrs lors des missions et les solutions mises en uvre, voici ceux
que jai choisi de dvelopper ici du fait de leur importance ou du dfi quils reprsentaient.
2) Ensuite, jai particip une mission daudit des stocks qui tait trs motivante du fait
de la capacit dadaptation ncessaire pour travailler avec les auditeurs financiers. Le
principal problme rsolu tait lidentification puis lobtention des informations
ncessaires laudit.
3) Enfin, lamlioration dun outil de gestion des projets de scurit des systmes
dinformation mrite sa place tant par le temps que jy ai consacr que par les
concepts abords. En accomplissant cette mission, jai appris mesurer le temps
ncessaire un dveloppement et amlior mes comptences en dveloppement sous
Access.
19/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Un annuaire est une application donnant accs des donnes sur un rseau. A la diffrence
des bases de donnes relationnelles, les annuaires sont conus pour stocker des donnes qui
sont consults beaucoup plus frquemment quelles ne sont modifies. Les annuaires se
caractrisent par une organisation arborescente. Cest--dire que les objets qui composent
lannuaire sont soit des nuds soit des feuilles. Pour accder directement un objet et aux
donnes quil contient, il faut connatre son chemin, cest--dire lensemble de ses
antcdents dans larborescence jusquau nud racine. Une autre caractristique des
annuaires est la dfinition dun schma, constitu de lensemble des rgles qui nomment et
dcrivent les objets qui peuvent se trouver dans larbre de lannuaire et les attributs quils
peuvent possder.
2.2.1.2.Historique
La norme de rfrence en matire dannuaire est la norme X500 qui dfinit essentiellement
un schma extensible, un protocole daccs aux annuaires (DAP, Directory Access Protocol)
et un protocole de rplication entre annuaires. Du fait des difficults de mises en uvre de la
norme X500 en gnral et du protocole DAP en particulier, cest le protocole LDAP
(Lightweight Directory Access Protocol), mieux adapt aux rseaux TCP/IP, qui est devenu le
standard en matire de communication avec les annuaires.
Parmi les annuaires les plus connus, on peut citer Sun One (anciennement iPlanet) et
OpenLDAP qui sont pleinement compatibles avec le protocole LDAP et surtout Microsoft
Active Directory qui implmente un protocole daccs LDAP complt par des extensions
propritaires. Ces extensions limitent linteroprabilit du produit. A leur dfense, on peut
dire que ces extensions sont bien acceptes par le monde informatique car elles permettent de
faire dActive Directory un annuaire multi-matre, cest--dire que tous les serveurs qui
publient un annuaire accepte les mises jour.
Si la conception des annuaires permet une utilisation trs gnrale, les entreprises les utilisent
essentiellement pour les raisons suivantes :
Publier des informations sur les ressources de lentreprise. Ces ressources peuvent
tre :
20/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
- Des services (rponse des questions du type : O y-a-t-il un serveur SMTP ?).
Cette fonction est aussi historiquement assure par certains serveurs de nom de
domaine. De ce fait, ils ont vocation sintgrer dans les annuaires. En effet, les
donnes stockes dans un serveur de nom peuvent tre stockes dans un annuaire.
La seule diffrence rside dans le protocole daccs : LDAP pour lannuaire et
DNS pour le serveur de nom. Active Directory implmente partiellement cette
intgration.
Grer des droits daccs ces ressources et lauthentification des utilisateurs.
On voit tout de suite poindre une notion : celle de lannuaire unifi. Dans labsolu, un
annuaire unifi regroupe toutes les donnes concernant les utilisateurs du rseau afin dviter
des duplications et de simplifier ladministration. Par exemple, toutes les applications qui
ncessitent une authentification utilisent le mot de passe stock dans lannuaire, ce qui permet
lutilisateur de nen avoir quun. Une tape supplmentaire vers lannuaire unifi consiste
mme dans le stockage des droits daccs des utilisateurs pour cette application dans
lannuaire. Dans la ralit, vu lhtrognit des systmes dinformation, il nest en gnral
pas possible de parvenir ce but.
Dautre part, des duplications de donnes sont parfois souhaitables. Par exemple, il ne parat
pas opportun de stocker dans lannuaire de lentreprise toutes les donnes de lapplication de
gestion des ressources humaines concernant un utilisateur. En effet, on peut trouver quelles
sont tellement sensibles quil ne faut pas les hberger sur le mme systme que le reste des
donnes. Dans ce cas, on aura recours des mta-annuaires et des annuaires virtuels,
notions que je vais maintenant dfinir.
Dans des environnements complexes, il est parfois souhaitable de ne pas regrouper toutes les
donnes dans un annuaire unifi. Outre les problmes dhtrognit ou de scurit, la
rigidit du schma dActive Directory ou la ncessit de mises jour frquentes de la donne
peuvent justifier ce fait.
Dans ce cas, on peut mettre en place une application appele mta-annuaire. Cette
application est charge de mettre en uvre un ensemble de rgles de rplication. Ainsi, dans
une configuration idale, lensemble des rpliquas du systme htrogne est mis jour si
lun dentre eux est modifi. Ce mta-annuaire permet de garantir la cohrence du systme
dinformation.
En complment de cet outil, un annuaire virtuel permet dagrger les donnes concernant un
mme objet provenant de diffrentes sources et de les prsenter comme si elles provenaient de
la mme source dans une vue unique. Par exemple, on peut le paramtrer pour quil retrouve
le login dun utilisateur dans Active Directory et son salaire dans la base des ressources
humaines.
21/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Il est trs frquent que lannuaire soit un point central de la scurit du systme dinformation
dune entreprise.
En effet, lannuaire est souvent utilis pour stocker les mots de passe des utilisateurs. Dans ce
cas, labsence dannuaire empche toute authentification et donc le fonctionnement de toute
application qui repose sur lannuaire pour raliser lauthentification. De plus, lannuaire est
souvent intgr au serveur de nom (DNS) en labsence duquel il est impossible de localiser un
serveur sur le rseau. Ainsi, la disponibilit de lannuaire est essentielle.
De mme, la ncessit de la confidentialit est vidente dans la mesure o les mots de passe
sont stocks dans lannuaire. Mme sils ne sont pas stocks, il conviendra toujours dassurer
une gestion fine des droits de lecture des utilisateurs, des donnes confidentielles concernant
les personnes pouvant tre stockes dans lannuaire.
Enfin, lintgrit des donnes doit tre assure dans le cadre de la haute-disponibilit
ncessaire. En effet, lannuaire sera souvent rpliqu sur plusieurs serveurs, ce qui entrane
des difficults pour maintenir la cohrence entre eux. Toutefois, dans le cadre dutilisation
pour des donnes changeant peu, on acceptera souvent un temps de synchronisation de
lensemble du systme la suite dune modification allant de quelques minutes sur un rseau
local quelques heures pour un systme mondial.
Lors de la phase dtude dun projet de mise en place de la tlphonie sur IP, il est apparu que
ce projet ncessitait de mettre en place un annuaire unifi dentreprise. En effet, afin de
profiter du nouveau systme de tlphonie, il tait ncessaire de pouvoir consulter toutes
les donnes concernant un utilisateur et notamment ses coordonnes tlphoniques travers
une multitude de moyens (cran de lIP-phone, Intranet, Internet). Une refonte des annuaires a
donc t dcide.
22/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Par exemple, il faut prvoir que lapplication de comptabilit doit pouvoir utiliser les
fonctions dauthentification de lannuaire voire y stocker les droits des utilisateurs. Dans ce
but, on commence donc par recenser lensemble des cas dutilisation futurs de lannuaire.
2.2.2.2.Cas dutilisation
De mme, ladministration de lannuaire peut se reprsenter par les cas dutilisation illustrs
par la figure 5. On distingue la cration dun nouvel attribut lors de lextension du schma de
celle dune nouvelle entre qui est simplement lajout de donnes publier dans lannuaire.
On distingue aussi la modification dune entre, cest--dire de son dplacement dans
larborescence, de la modification dun attribut de cette entre.
Consu ltation
Recherche annuai re
Utilisateur
Rech erch e partir d'un nom
(f rom Actors)
23/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Dans le mme temps, ltude des documents permet de lister lensemble des applications
interagissant avec lannuaire. Cette tude approfondie me permettait de rpondre rapidement
aux questions diverses portant sur larchitecture cible du systme dinformation. Elle ma
aussi permis de raliser lanalyse critique de la rponse lappel doffre pour le projet voix
sur IP retenue. Pour information, voici la liste des applications ncessaires au projet :
Le Call Manager (Cisco) fait rfrence au logiciel charg dtablir des communications
tlphoniques. Il remplit les fonctions dvolues au commutateur dans un systme
tlphonique classique. Il stocke les profils utilisateurs dans un annuaire qui peut-tre
spcifique ou tre lannuaire unifi de lentreprise. Il possde une interface
dadministration propre qui modifie des donnes dans lannuaire. Cisco prcise que ces
donnes ne doivent pas tre modifies laide dune autre interface.
Unity est le logiciel de messagerie unifie de Cisco. Il est insparable du serveur de
messagerie Microsoft Exchange sur lequel il sappuie pour distribuer des messages
vocaux ou des tlcopies. A linverse, il est capable de lire des courriels aux personnes
consultant leur messagerie par tlphone. Tout comme Exchange 2000, il sintgre
fortement Active Directory pour stocker les profils utilisateurs.
Linterface dadministration de Unity est une application web de Cisco permettant aux
utilisateurs de personnaliser leur messagerie Unity en particulier mais aussi certains
paramtres gnraux stocks dans Active Directory.
Le client de messagerie Outlook est utilis en lien avec Exchange. Il utilise lannuaire
afin de retrouver les adresses lectroniques des correpondants.
Lannuaire possde sa propre interface dadministration native, en loccurrence
lapplication Utilisateurs et Ordinateurs dActive Directory.
24/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Linterface de consultation web permet de lancer des recherches dans lannuaire depuis
Internet ou lintranet. Une extension installe sur le navigateur permet ensuite de
composer le numro du correspondant recherch partir de lIP-phone voulu ou depuis
lmulateur dIP-phone install sur lordinateur.
Le serveur XML-IP-phones est lquivalent de linterface de consultation web dcrite
prcdemment. Seul le format est diffrent car le navigateur des IP-phones utilise un
format de donnes XML.
Caller Detective est une petite application effectuant des recherches dans lannuaire afin
de raliser la fonction dannuaire invers et dafficher le rsultat sur lcran des IP-
phones.
Cisco IPMA permet de grer des supervisions de lignes tlphoniques de directeurs par
des secrtaires. Les informations concernant les associations des directeurs et des
secrtaires sont stockes dans lannuaire.
Le serveur vocal interactif sera implment sur une solution de Cisco. Il permettra la
mise en place dun accueil et dune orientation vers les services automatiques voire une
consultation de donnes contenues dans lannuaire (coordonnes) ou dans des bases
relationnelles (dossiers de subventions).
Enfin, Charmed est un systme ddi au standard tlphonique, notamment la
rpartition des appels entre les oprateurs de laccueil. Il est tranger au monde Cisco et a
certainement t retenu car cette solution permet dobtenir des tlphones adapts aux
aveugles. Son intgration avec lannuaire se limite la recherche des numros de
correspondants.
Application
(f rom Actors)
Unity Call Manage r Caller Detective Ci sco IPMA Interfac e consultation web Charm ed
(f ro m A ctors) (f rom Actors) (f rom Actors) (f rom Actors) (f rom Actors) (f rom Ac to rs )
Serveur de m ess agerie Exchange In terfa ce a dm inistr ation Cis co Serveur XML -IP Phon es Serveur vocal interactif
(f ro m A ctors) (f rom Actors) (f rom Actors) (f ro m Ac to rs )
Interface adm inis tration de la m ess agerie Exchange/Unity Interface d'adm inis tration de l'annuaire Cl ien t de mes sagerie Outlook
(f rom Actors) (f ro m Ac to rs ) (f rom Actors)
25/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Enfin, les documents permettent de classer les utilisateurs en diffrentes catgories. On notera
que les diffrences de ce diagramme de classe peuvent porter sur les droits daccs
lannuaire ou sur les donnes les concernant stockes dans lannuaire. Les classes
Organizational person , Contact et User existent dj dans le schma dActive
Directory. Les autres correspondent aux profils identifis. Par la suite, leur implmentation
sera ralise sous la forme de profils de droits spcifiques et/ou de la drivation dune
nouvelle classe dobjet dans lannuaire. Parmi les profils particuliers, le gestionnaire de
lannuaire pour une application est charg dadministrer les donnes que cette application
stocke dans lannuaire. Les abonns internes possdant un profil de tlphonie sur IP
peuvent tre des lus, pour lesquels des donnes particulires sont publier, tandis que lagent
est un membre de ladministration de la collectivit.
Co nt act User
G esti on na ir e an nua ire po ur u ne a ppl i catio n Util isateur Astre Abon n in terne
(from Actors) (fr om Actor s) (from Actors)
Elus Agen ts
26/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Ltude des cas dutilisation tant ralise, la conception du schma et de larborescence peut
commencer.
Les autres spcificits seront gres par des droits attribues aux personnes de certains
groupes et branches de lannuaire. Par exemple, il faut interdire le remplissage ou la
consultation des attributs spcifiques aux lus dans le cas o lutilisateur est un agent. Ds
lors, lorganisation de larborescence est importante car une bonne organisation permet de
cibler simplement les groupes dutilisateurs qui il faut octroyer des droits dfinis, simplifiant
ainsi grandement ladministration de lannuaire. Larborescence retenue est dcrite ci-dessous
dans la figure 8.
Cette arborescence dcoule la fois les droits donner chaque utilisateur dans lannuaire et
de lorganisation dj existante dans lannuaire. On remarque la prsence de lunit
dorganisation (OU) CISCO ncessaire au bon fonctionnement du Call Manager. Chaque
utilisateur de la tlphonie sur IP possde dans son profil un pointeur vers son profil
spcifiquement tlphonie stocke dans cette OU Cisco. On remarque aussi la prsence dune
OU stockant les profils des applications ncessitant un compte utilisateur gnrique pour
accder lannuaire.
27/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
dc=changeme, dc=fr
OU=Users
OU= CISCO OU =
Contacts
OU = OU =
OU = Agents
OU = OU = OU = OU = OU = Entreprises collectivit
OU =
Ancienne Ancienne Ancienne Ancienne Ancienne s
Application Agent User1-
conserve conserve conserve conserve conserve LDAP profile
28/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Ensuite, nous avons import les donnes de lannuaire du client dans la maquette. Nous
avons partiellement russi cette import car les schmas taient lgrement diffrents
(lidentifiant de groupe des listes de diffusion tait diffrent sur les deux systmes). De plus,
lexportation de lannuaire du client comportait des donnes systme dont limport est interdit
car il provoquerait la corruption de lannuaire. Nanmoins, nous avons jug que limportation
des donnes donnait un rsultat satisfaisant pour lusage de la maquette. Nous avons par la
suite loccasion dutiliser nouveau cette procdure dimport sur la maquette de la matrise
duvre du projet tlphonie sur IP.
Enfin, nous avons fait voluer cette maquette afin quelle puisse servir des dmonstrations
lors de prospections de nouveaux clients. Ainsi, nous avons mis en place un rseau bas sur
une fort et deux domaines dadministration Windows. Dans une fort, tous les annuaires
partagent le mme schma et chaque domaine possde un annuaire hbergeant une partie des
donnes des autres domaines. Ainsi, les utilisateurs peuvent sauthentifier en nimporte quel
domaine de la fort, cependant chaque domaine possde son administration propre. Une limite
de Microsoft Exchange 2000 impose de ne dployer quune seule organisation par fort, ce
qui implique une administration conjointe de la messagerie. Par manque de temps, je navais
pas document initialement cette installation et sa configuration, ce qui fit perdre du temps
la senior qui fit la dmonstration aux clients prospects en mon absence. Sil est utile
dapprendre de ses erreurs, la maquette a toutefois bien fonctionne et lobjectif de la
dmonstration a t atteint.
2.2.3.2.Migration
Dans un souci de scurit, on dcide que lopration de modification de lannuaire doit tre
rversible avec un minimum dinterruptions de service. En effet, bien que lextension de
schma et la rorganisation aient t pralablement testes sur maquette, on ne peut prendre le
moindre risque de bloquer lannuaire, ce qui bloquerait tout le rseau, de lauthentification
la messagerie, voire de perdre des donnes.
29/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
30/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
dn: CN=CRPL-Building-Name,CN=Schema,CN=Configuration,DC=changeme
changetype: add
adminDisplayName: Building-Name
attributeID: 1.2.840.113556.1.8000.1333.1
attributeSyntax: 2.5.5.12
cn: Building-Name
instanceType: 4
isSingleValued: TRUE
lDAPDisplayName: buildingName
distinguishedName:
CN=Building-Name,CN=Schema,CN=Configuration,DC=changeme
objectCategory:
CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=changeme
objectClass: attributeSchema
oMSyntax: 64
name: Building-Name
schemaIDGUID:: MRos8u8MCUG+3BVLAqZkNQ==
systemOnly: FALSE
Figure 9 : Exemple de fichier LDIF dextension de schma
31/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Lopration de migration stant droule sans problmes majeurs chez le client, il entreprit
alors de complter lannuaire Active Directory partir des donnes habituellement prsentes
dans le trombinoscope/annuaire papier. Mais, force fut de constater que linterface de
Microsoft Utilisateurs et Ordinateurs ne permet pas daccder aux attributs
propritaires ni lattribut standard thumbnailPhoto utilis pour stocker les
photographies didentit des utilisateurs.
Heureusement, lors de la conception, nous nous tions pos le problme avant notre client, ce
qui mavait permis dtudier plusieurs solutions dont la plus simple tait la ralisation de
petits scripts en VBscript permettant dtendre linterface Utilisateurs et Ordinateurs
dActive Directory. A laide des quelques rares fonctions disponibles, jai pu raliser
rapidement une interface basique permettant un oprateur de saisir les donnes. Cette
interface tait une suite de fentres de la sorte de celle prsente ci-dessous (figure 10) que
lon ouvrait en cliquant sur un utilisateur dans larborescence de Utilisateurs et
Ordinateurs . Cela a permis de rsoudre dans lurgence le problme du client.
Je remarque aussi que dvelopper cette interface a mis en vidence ce que je considre tre un
dfaut de conception : il a t dcid de stocker les noms de direction et de sous-direction
dans le mme attribut, ce qui est possible car certains attributs sont multivalus. Cest,
selon moi, un dfaut car cela complique beaucoup la rcupration et la modification des
donnes. Dans le cadre prcis dun organigramme, ce genre dattribut devrait tre utilis de
manire multivalue uniquement lorsque le nombre dchelons hirarchiques stocker est
variable dun utilisateur lautre, ce qui ntait absolument pas le cas pour ce client. A notre
32/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
dcharge, il faut dire que le client a modifi sa demande de besoins peu de temps avant la fin
de la conception.
Dans un deuxime temps, je me suis occup dune solution permettant dentrer les
photographies didentit et de les visionner. Cette solution devait tre rapide et peu
coteuse, la solution finale devant tre dveloppe par la suite.
Aprs recherche sur Internet et parmi les outils Microsoft, jai trouv un client LDAP capable
dexcuter de telles requtes de mise jour dimage. Jai ensuite trouv un autre client LDAP
qui sintgre lexplorateur de Windows et permet dafficher les images contenues dans
lattribut thumbnailPhoto .
La solution rpond encore une fois lexigence de rapidit formule par le client. Nous
lavons inform prcisment des inconvnients de cette solution dveloppe dans lurgence.
Le client LDAP pour insrer les photos nest autre que le client LDAP ldp.exe dvelopp
par et pour les quipes de test dActive Directory chez Microsoft. Il nest donc pas du tout
adapt lutilisation en production par un personnel non informaticien. Par exemple, il ny a
pas de limitation dans la taille du fichier insrer. On peut ainsi faire exploser la taille de
lannuaire par erreur. Lautre client LDAP est une vieille version gratuite dun logiciel de
Maxware aujourdhui payant. Le seul format dimage accept est le JPEG dans ses versions
antrieures aux JPEG 2000, comme jai pu lapprendre lorsque le client a essay dutiliser le
logiciel sans y parvenir. Malgr tout, vu les dlais, cette solution suffisait au client qui avait
dj prvu la date de la venue du prestataire charg dentrer les donnes.
33/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Lannuaire mis en place, reste savoir qui va mettre les donnes jour et comment. Il faut
dfinir des responsables des donnes et mettre en place des procdures garantissant leur
mise jour notamment en cas de dpart ou darrive de personnel. La gestion de cet aspect
organisationnel est ncessaire et pose souvent plus de problmes que la technique elle-mme.
Lalimentation de lannuaire reprsente une somme de travail supplmentaire pour les
directions qui vont sen charger. Cest pourquoi, il est ncessaire de les informer en parallle
des avantages dune bonne organisation de lannuaire, telle que la mise disposition de
donnes jour et de qualit.
Utilisation dannuaires virtuels prsentant des vues dun utilisateur regroupant des
donnes issues des diffrentes bases de donnes aujourdhui existantes.
2.2.4.2.Cas du client
Dans le cas du client, la solution du mta-annuaire est considre comme trop lourde mettre
en place et la solution des annuaires virtuels nest pas souhaitable car on souhaite progresser
vers un annuaire unifi. De plus, ces solutions ne rsolvent pas le problme organisationnel de
la gestion de larrive ou du dpart dun employ. Celle-ci doit tre amliore afin de
diminuer la charge dadministration du systme pour les services informatiques et assurer une
meilleure scurit en supprimant de manire certaine les droits des collaborateurs ds leur
dpart.
Le problme organisationnel a t trait par un autre service de Ernst & Young, appel
Entrepreneur Conseil car spcialis dans le conseil des structures de moins de 500
personnes. Il a attribu la responsabilit de chaque donne un service dtermin et a dfini
un flux fonctionnel darrive et de dpart dun employ. Voici par exemple le flux darriv
dun employ tel que lont dfini ces consultants :
34/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Contrat
Signature
de travail
Cration dans
lannuaire
Max. le 10
du mois de
lembauche
Saisie des
Informations Max. le 10 Dfinition
SEDIT du mois de Prise en Prise en Prise en
Du profil
lembauche charge charge charge
utilisateur
On constate que ce flux nest pas complet. En effet, nul ne dit dans quel ordre les donnes
doivent tre cres dans lannuaire. Parmi les dpendances, on peut citer lvidence quil est
ncessaire que lutilisateur soit cr pour que ses attributs puissent tre entrs. On voit aussi
que les services informatique qui sont aussi en charge de la tlphonie, ne pourra pas attribuer
un numro de tlphone lutilisateur tant que le service intrieur naura pas renseign la
localisation de son bureau. Enfin, ce flux ne propose pas toutes les validations ncessaires. En
effet, il est prfrable que le manager du nouveau collaborateur valide les donnes
renseignes son propos et puisse informer le nouveau collaborateur de lavance de son
dossier.
Ces quelques remarques faites, nous choisissons lorganisation prsente dans la figure 12
non valide par le client qui servira ventuellement ultrieurement de base ltablissement
dun cahier des charges technique. On remarque que les tapes du niveau 3 sont
conditionnes par les tapes 2b et 2c, cest--dire :
La nomination du manager par les ressources humaines, car celui-ci doit bien
videmment tre nomm pour pouvoir valider les tapes du niveau 3.
La cration effective de lentre dans lannuaire par les services informatiques, car il
est impossible de renseigner des attributs supplmentaires sur une entre qui na pas
encore t cre dans lannuaire.
Les flux de modification et de suppression des entres sont conus suivant le mme modle.
35/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
2b- Ressources H.
Donnes lies
lorganisation dont le 3b- Manager
manager
Validation des 4a. Admin. 6- DSIM
donnes lies 5a- Manager
1-Ressources H. 2c- Informatique Astre
lorganisation et Validation
Validation du
Prnom et Nom Donnes lies au au systme Cration du finale par
profil Astre
systme et la profil Astre la DSIM
Vrification de Dfinition du
messagerie
lexistence du profil Astre
collaborateur Vrification de la
dans la base prsence dun
homonyme et cration
de lentre de
lutilisateur dans
lannuaire
Lgende
Acteur 2d- Service intrieur 3c- Manager 4b- Informatique 5b- Manager
Autres actions
Figure 12 : Flux technique darrive dun collaborateur
Il apparat trs rapidement que eTrust Admin nest pas adapte aux besoins du client.
Cest un outil trs puissant capable dadministrer de grandes quantits dutilisateurs selon des
profils dfinis lavance dans de multiples systmes (par exemple un compte Windows et un
compte Unix en mme temps). Il est surtout utilis par de grands groupes franais pour grer
les comptes utilisateurs. Sa gestion des flux dalimentation est plus que rduite, du moins dans
la version qui nous a t prsente, puisque le seul flux possible est la saisie de donnes par
une premire personne suivie de n validations successives par des managers, suivies elles-
mmes dun certain nombre de passages successifs entre les mains de divers administrateurs
chargs de raliser les oprations. Bref, une organisation linaire.
36/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
propose en outre un module pour implmenter des flux dalimentation qui convient trs bien
au modle prcdemment expos.
Je suis donc charg de cette implmentation en vue de raliser la maquette destine au choix
entre les solutions, le cabinet nayant ni lorganisation ni la structure pour devenir diteur.
Limplmentation du flux se droule sans problme, car un environnement graphique permet
dtre trs proche de la modlisation :
On dfinit aussi de manire simple quels attributs sont en lecture seule, en modification ou
obligatoirement remplis chaque tape, puis on compile lapplication ce qui gnre la fois
les formulaires web, le moteur du flux et la base XML ncessaire au stockage des
informations temporaires. Toutefois, rien nest fait automatiquement pour programmer
lcriture dans lannuaire quelque moment que ce soit. Il faut pour cela crire des
mthodes en java qui sont excutes lorsquune tape est valide. Ces mthodes utilisent les
interfaces de programmation de Calendra afin daccder lannuaire sous-jacent, en
loccurrence Active Directory. Cette interface avec Active Directory est sensible car Active
Directory nimplmente pas le protocole LDAP parfaitement et CDM na pas t
spcialement conu pour fonctionner avec. Cest pourquoi, aprs une semaine deffort et de
tests, je ne suis parvenu crire dans Active Directory partir de CDM que de rares fois et
nous avons d nous rabattre sur un flux beaucoup plus simple pour la dmonstration. Cela
nous a permis de comprendre que ladaptation du progiciel une situation donne ncessitait
lintervention de dveloppeurs forms CDM.
37/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
2.3.1.Objectifs et moyens
A la suite de longues ngociations internes, un protocole de mission a t sign entre le ple
service TSRS et lassoci commissaire au compte de lentreprise audite. Ce protocole
prvoyait la mise jour de la cartographie du systme dinformation et lanalyse des
tats de stocks. Fort heureusement, le primtre tait ds le dpart restreint au module de
gestion des stocks du progiciel en place : SAP MM (Material Management).
Une manager, dont le rle devait en thorie se limiter une supervision de la mission,
lencadrement oprationnel tant assur par le manager de lquipe daudit financier.
Le budget allou tait confortable. Cela permit la manager de travailler activement sur le
dossier. Cela fut dautant plus utile que la mission initiale ne devait durer quune semaine,
alors quil en fallut une deuxime pour exploiter les rsultats.
38/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
39/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
40/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
MM
Rception ferraille GP/GF
PAF Donnes relles
Gestion des stocks production Gestion production
Suivi prlvement Ferrailles, consommables, Suivi stocks MP,
en quantit et par pices rechange, MP encours et PF
Consommation
nature en quantit
ferrailles
Qts
CO
Quantits
Gestion du budget Macros Excel
GPAO
Gestion Valorisation MP
Gestion production
prodution Donnes relles production Calcul des carts
Suivi conso. ferraille sur cots de production (mtal) au standard
quantit PF + expd. entre rel et budget
Excel
carts budgtaires
Facture
Valo. MP avec
Quantits FI Acirie
carts achats mtal
critures
Excel critures comptables de stocks DBase
Valorisation stocks Ventes Valorisation encours
Produits finis et PF au standard
Facture
Mtal -sur la base des prix
standards des PF critures de stocks
carts budgtaires
- puis avec intgration SD Excel
carts achat mtal + critures de stocks Valo.encours et PF
Facturation client
carts budgtaires au rel
Expditions clients
Base tarifaire
(prix de vente et prix de Expditions clients
ERP Flux automatique Document revient budgt)
Application de gestion de papier
Flux semi-automatique
la production
Autres applications Flux manuel Lgende
2.3.3.Anomalies trouves.
Les rsultats obtenus sont lchelle de la difficult de la tche de lauditeur. En effet, outre
les difficults de comprendre le systme, analyser les donnes des tats de stocks ncessite de
pouvoir raliser des extractions des systmes correspondants. Or, seules les pices de
rechange et les consommables ainsi que les ferrailles sont gres de manire centralise
dans le progiciel de gestion SAP. Le reste des matires premires ainsi que les produits
semi-finis et finis sont grs dans des systmes spcifiques chaque usine. Cest pourquoi
nous avons d nous restreindre analyser les donnes issues de SAP, ce qui tait fort
heureusement en accord avec le protocole sign, mme si on pensait lpoque que tous les
stocks taient grs dans SAP.
Parmi les anomalies releves dans le rapport daudit, les plus intressantes concernaient les
stocks de pices de rechange rpares. En effet, il est difficile de les valoriser. La rgle de la
firme est de leur attribuer une valeur comptable nulle, mais cette rgle pourrait bien tre
remise en cause. Les enjeux ne sont pas ngligeables car la valeur des objets quivalents neufs
est suprieure 2 millions deuros. Nous avons aussi pu relever une application diffrente
des rgles de dprciation des stocks peu utiliss entre les diffrentes usines, en dsaccord
avec la rgle de la firme.
41/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
2.4.1.Sources de progrs
Mdiatise depuis quelques annes par les attaques russies de pirates informatiques, la
scurit des systmes dinformation fait lobjet dune rflexion de la part des entreprises. Elle
se dfinit comme lassurance que chacun puisse avoir accs aux donnes auxquelles il doit
avoir accs (disponibilit et intgrit) sans avoir accs aux autres (confidentialit).
Au-del de cette norme, pour valuer la scurit des entreprises, Ernst & Young possde une
structure capable de raliser des audits de scurit. Ceux-ci peuvent consister en une visite
de lentreprise et une srie dentretiens, mais ils peuvent aussi tre raliss par le biais de tests
dintrusions. Dans tous les cas, il faut obtenir des preuves daudit. Les tests dintrusions
peuvent tre logiques. Dans ce cas, des auditeurs sont charger dattaquer une entreprise par
son accs Internet, son rseau Wifi ou des modems rests allums. Les tests peuvent aussi tre
physiques, avec des intrusions suivis du piratage du rseau depuis lintrieur de lentreprise.
Les techniques dites de social engineering sont aussi pratiques. Elles consistent par
exemple obtenir des renseignements en tlphonant des collaborateurs de lentreprise.
Dans le but de raliser ses missions et de montrer son expertise, le cabinet possde Paris un
laboratoire de scurit dont lorganisation reprend les bonnes pratiques de la norme ISO. On
y trouve deux sous-ensembles. Dun cot, ceux qui conoivent les solutions de scurit
possdent des serveurs des fins de maquettage. Cest dans cette quipe que je me suis
trouv. De lautre, ceux qui attaquent les clients possdent un ensemble de machines dattaque
plac sur un rseau indpendant du reste de la firme et sur lequel le trafic est enregistr des
fins lgales prouver que les auditeurs ne sont pas sortis de leur mandat et surtout que les
disfonctionnements des rseaux des clients ne sont pas dus aux attaques.
42/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
A la suite dun audit, des recommandations sont faites. Elles peuvent tre issues de bonnes
pratiques mettre en place comme de vulnrabilits identifies lors de tests. Elles sont
souvent assez nombreuses, ce qui oblige mettre en place une organisation pour les suivre.
De plus, un projet peut mettre en place plusieurs recommandations, et une recommandation
peut tre couverte par plusieurs projets. Enfin, la scurit dun systme tant celle de son
point le plus faible, il est important dtre exhaustif dans les rponses apportes. Cest
pourquoi, un outil de gestion des projets de scurit peut lui-mme tre intgr dans la
politique de scurit de lentreprise. Son utilisation sappuie sur une organisation dj
prsente, permettant notamment de valider la conformit des projets avec la politique de
scurit de lentreprise.
Toutefois, la gestion des projets de scurit nest pas de la gestion de projet. Le but nest pas
de crer un outil de gestion des plannings et des charges de travail. On se contentera dvaluer
la charge de travail et le cot des projets.
Loutil est organis de la manire suivante : A des faiblesses identifies chez le client ou des
bonnes pratiques non mises en place, on rattache une ou plusieurs recommandations sur
une organisation mettre en place ou des modifications apporter des systmes. Une
recommandation peut couvrir plusieurs faiblesses et rciproquement. Enfin, on cre des
projets qui peuvent recouvrir plusieurs recommandations afin de les mettre en place. Pour
une plus grande souplesse, les recommandations peuvent tre couvertes par plusieurs projets.
Ces projets se dcoupent eux-mmes en tapes chronologiques dcrivant leur mise en uvre.
Enfin, des tats permettent dobtenir de visualiser les recommandations non couvertes,
lavancement des projets ou la charge de travail par responsable de projet. Lorganisation
descendante de loutil est illustre par lcran daccueil du logiciel dont on peut voir une
capture dcran dans la figure 15.
Dans le cadre de ce projet, une rflexion a t mene afin dintgrer un outil, dvelopp dans
Excel permettant dvaluer la scurit du systme dinformation dune entreprise en attribuant
une note de ralisation chacune des bonnes pratiques dcrites dans la norme ISO 17799.
Finalement, cette solution na pas t retenue afin de ne pas trop compliquer loutil. De plus,
il est apparu souhaitable de ne pas automatiser le passage du diagnostic la
recommandation, car cest l que se situe la valeur ajoute de laudit. Par contre, les outils
permettant des audits de scurit automatiques sont toujours trs apprcis. Ils permettent par
exemple dexplorer des rseaux ou de gnrer automatiquement des rapports illustrant la
proportion de mots de passe dchiffrs. Ces outils ne sont toutefois utilisables que par des
spcialistes car il faut toujours sadapter dune manire ou dune autre lenvironnement du
client.
43/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
44/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Conclusion
En conclusion, au cours de ces cinq mois passs dans un cabinet daudit, jai abord une
varit de missions qui permettent daborder la vie active dun il nouveau. Ce stage est un
pont entre mes tudes et le monde du travail : il ma permis de commencer convertir les
annes de formation gnrale en comptences oprationnelles, par exemple dans le domaine
des annuaires dentreprises.
Grce lui, jai pris conscience de certains de mes atouts. Ainsi, jai fait preuve de capacit
dadaptation lors de la mission daudit des stocks qui a dur deux semaines. Il ma fallu
madapter et tre oprationnel trs rapidement dans un contexte totalement inconnu. Jai aussi
appris sur mes capacits apprhender des environnements complexes en ciblant
linformation dans une masse de la documentation, en particulier pour analyser les besoins en
matire dannuaire dentreprise du client. Enfin, jai montr un got prononc pour la
modlisation de problmes complexes, travers la formalisation UML utilise lors de la
conception du mme annuaire dentreprise.
45/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
46/45
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT
Remerciements
Je tiens remercier tout particulirement :
Marc Ayadi pour les encouragements dispenss tout au long du stage, et la relecture
attentive du rapport,
Patrice Kalfon et Olivier Meullemeestre, qui mont retenu aprs les entretiens de
slection, mais avaient dj quitt le navire mon arrive,
Et toutes les personnes avec lesquelles jai travaill durant ce stage pour leur bon
accueil.
47/45