Audit informatique audit des systmes dinformation

Evaluer les risques informatiques, risques des systmes d'information

Introduction l'audit informatique

L'audit informatique, l'audit des systmes d'information value les risques d'un
environnement informatique ou d'une application, par exemple, les salaires ou la
facturation. Ces missions se font en choisissant avec le client les processus
mtiers valuer, de mme que les processus CobiT valuer parmi les 34
proposs.

L'audit d'un environnement informatique peut concerner l'valuation des risques

informatiques de la scurit physique, de la scurit logique, de la gestion des
changements, du plan de secours, etc. Ou bien un ensemble de processus
informatiques - ce qui est gnralement le cas - pour rpondre une demande
prcise du client. Par exemple, apprcier la disponibilit des informations et des
systmes. Le CobiT permet justement de rechercher quels processus
informatiques rpondent le plus efficacement une telle demande. Dans le cas
de la disponibilit : par exemple la gestion des performances et des capacits et
le plan de continuit.

Services offerts:

Approche gnrale

Audit de l'infrastructure informatique

Audit d'un systme - d'une application inforrmatique en cours de ralisation

Audit d'une application informatique

Audit de la partie informatique du SCI

Approche gnrale
Un audit informatique, audit des systmes d'information, se fait selon un schma
en 4 phases :

Dfinition prcise du plan de travail, rcolte d'information, recherche et

schmatisation des processus mtiers et/ou informatiques apprcier, dfinition
des rles et responsabilits, analyse des forces - faiblesses.

Analyse des processus importants, dfinition des risques, valuation

prliminaire des risques, de l'efficacit des contrles.

Tests des contrles.

Tests de matrialit.

Un audit informatique, audit des systmes d'information ne concerne pas

ncessairement la scurit. En effet, il peut servir valuer des aspects
stratgiques ou de qualit des systmes d'information. Par exemple, rpondre
la question suivante : Est-ce que les systmes d'information de l'entreprise
rpondent efficacement aux besoins des services mtiers ? La dmarche est trs
similaire, en choisissant et valuant les processus informatiques proposs par le
CobiT qui rpondent le mieux la demande et aux objectifs du client.

Audit de l'infrastructure informatique

Mission

Evaluer les risques des systmes d'information ncessaires au fonctionnement

des applications. Par exemple : Scurit physique, scurit logique, scurit des
rseaux, plan de secours.

Livrable

Rapport contenant les faiblesses releves, leur niveau de risque et les mesures
correctives proposes.

Audit d'un systme - d'une application informatique en cours de ralisation

Mission
Assister l'audit interne apprcier le projet en cours de ralisation dans les
phases suivantes:

Initialisation - Analyse,

Conception - Ralisation,

Tests - Installation,

ainsi que le processus de Gestion de projet.

Les interventions de l'audit interne durant le projet peuvent concerner:

Mthodes et standards,

Gestion de projet,

Suivi des budgets et des dlais,

Livrables,

Initialisation - Analyse,

Conception - Ralisation,

Tests - Installation,

Migration des donnes,

Revue post-installation.

Approche

Apprciation des processus et/ou enqutes l'aide de questionnaires.

Livrables

Mesures proposes de rduction et de contrle des risques importants relevs;

tableaux de bord et autres documents de contrle pour la DIrection.

Audit d'une application informatique

Mission

Apprcier une application informatique en production, par exemple une

application de gestion des salaires, une application financire, etc. Trs souvent
plusieurs domaines font partie d'un audit d'une application, en particulier:

les donnes oprationnelles,

les donnes de base,

les paramtres,

les interfaces entre l'application et d'autres applications,

la gestion des droits d'accs l'application.

Bien entendu, tout audit d'une application doit galement apprcier la scurit
de l'infrastructure informatique ncessaire au fonctionnement de l'application (cf.
ci-dessus).

Livrable

Rapport contenant les faiblesses releves, leur niveau de risque et les mesures
correctives proposes.
L'audit informatique (en anglais Information Technology Audit ou IT Audit) a pour
objectif didentifier et dvaluer les risques (oprationnels, financiers, de
rputation notamment) associs aux activits informatiques d'une entreprise ou
d'une administration. cette fin, laudit va se baser sur le cadre rglementaire du
secteur dactivit du pays concern (exemple le CRBF 97-02 pour une banque
franaise), sur les rfrentiels de bonnes pratiques existants (exemple le
rfrentiel CobiT), sur les benchmarks disposition et sur lexprience
professionnelle des auditeurs impliqus.

Il existe deux grandes catgories daudit. La premire comporte les audits

globaux d'entit durant lesquels toutes les activits ayant trait aux systmes
dinformations sont values. La seconde catgorie correspond aux audits
thmatiques, ayant pour objectif la revue dun thme informatique au sein dune
entit (la gestion de projet, la scurit logique par exemple).

Laudit nest pas confondre avec lactivit de conseil qui vise, de manire
gnrale, amliorer le fonctionnement et la performance d'une organisation
avec une ventuelle implication dans la mise en uvre de cette amlioration.
Ces deux activits, audit et conseil, ne peuvent tre exerces pour une entit
donne par les mmes acteurs afin de ne pas crer une situation favorable aux
conflits dintrts.

Sommaire

1 Les concepts de base de l'audit informatique

2 Diffrents types d'audit informatique

2.1 Audit de la fonction informatique

2.2 Audit des tudes informatiques

2.3 Audit de l'exploitation

2.4 Audit des projets informatiques

2.5 Audit des applications oprationnelles

2.6 Audit de la scurit informatique

3 Dmarche d'audit informatique

4 Les rfrentiels d'audit informatique

 5 La certification des auditeurs informatiques

6 Notes et rfrences

7 Voir aussi

7.1 Articles connexes

7.2 Liens externes

7.3 Bibliographie

Les concepts de base de l'audit informatique

La notion de contrle est au cur de la dmarche d'audit informatique. L'objectif

est de mettre en place des dispositifs de contrle efficaces et performants
permettant de matriser efficacement l'activit informatique. Le contrle interne
est un processus mis en uvre l'initiative des dirigeants de l'entreprise et
destin fournir une assurance raisonnable quant la ralisation des trois
objectifs suivants :

la conformit aux lois et aux rglements,

la fiabilit des informations financires,

la ralisation et l'optimisation des oprations....

Il est vident que l'audit informatique s'intresse surtout au troisime objectif.

La dmarche d'audit informatique se dfinit partir des proccupations du

demandeur d'audit qui peut tre le directeur gnral, le directeur informatique, le
directeur financier, Il va pour cela mandater l'auditeur pour rpondre une liste
de questions prcises qui font, plus ou moins implicitement, rfrence l'tat des
bonnes pratiques connues dans ce domaine. Cela se traduit par un document
important : la lettre de mission qui prcise le mandat excuter et qui donne les
pouvoirs ncessaires l'auditeur.

Celui-ci va ensuite s'attacher relever des faits puis il va mener des entretiens
avec les intresss concerns. Il va ensuite s'efforcer d'valuer ses observations
par rapport des rfrentiels largement reconnus. Sur cette base il va proposer
des recommandations.
L'auditeur informatique va se servir de rfrentiels d'audit informatique lui
donnant l'tat des bonnes pratiques dans ce domaine. Le rfrentiel de base est
CobiT: Control Objectives for Information and related Technology. Mais il va aussi
utiliser d'autres rfrentiels comme : CobiT, ISO 27002, CMMi, ITIL, Val IT, Risk IT

Diffrents types d'audit informatique

La dmarche d'audit informatique est gnrale et s'applique diffrents

domaines comme la fonction informatique, les tudes informatiques, les projets
informatiques, l'exploitation, la planification de l'informatique, les rseaux et les
tlcommunications, la scurit informatique, les achats informatiques,
l'informatique locale ou l'informatique dcentralise, la qualit de service,
l'externalisation, la gestion de parc, les applications oprationnelles Ci-dessous
une prsentation succincte des audits informatiques les plus frquents.

Audit de la fonction informatique

Le but de l'audit de la fonction informatique est de rpondre aux proccupations

de la direction gnrale ou de la direction informatique concernant l'organisation
de la fonction informatique, son pilotage, son positionnement dans la structure,
ses relations avec les utilisateurs, ses mthodes de travail

Pour effectuer un audit de la fonction informatique on se base sur les bonnes

pratiques connues en matire d'organisation de la fonction informatique. Elles
sont nombreuses et bien connues, parmi celles-ci on peut citer ::

la clart des structures et des responsabilits de l'quipe informatique,

la dfinition des relations entre la direction gnrale, les directions

fonctionnelles et oprationnelles et la fonction informatique,

l'existence de dispositifs de mesures de l'activit et notamment d'un tableau

de bord de la fonction informatique,

le niveau des comptences et des qualifications du personnel de la fonction.

Il existe de nombreuses autres bonnes pratiques concernant la fonction

informatique. L'audit de la fonction se base sur ces pratiques dans le but
d'identifier un certain nombre d'objectifs de contrle comme :
 le rle des directions fonctionnelles et oprationnelles dans le pilotage
informatique et notamment l'existence d'un comit de pilotage de l'informatique,

la mise en uvre de politiques, de normes et de procdures spcifiques la

fonction,

la dfinition des responsabilits respectives de la fonction informatique et des

units utilisatrices concernant les traitements, la maintenance, la scurit, les
investissements, les dveloppements,.

l'existence de mcanismes permettant de connatre et de suivre les cots

informatiques, soit l'aide d'une comptabilit analytique, soit, dfaut, grce
un mcanisme de refacturation,

le respect des dispositifs de contrle interne comme une valuation priodique

des risques, la mesure de l'impact de l'informatique sur les performances de
l'entreprise

Ces diffrents objectifs de contrle correspondent au processus PO 4 de CobiT :

"Dfinir les processus, l'organisation et les relations de travail".

Audit des tudes informatiques

L'audit des tudes informatiques est un sous-ensemble de l'audit de la fonction

informatique. Le but de cet audit est de s'assurer que son organisation et sa
structure sont efficaces, que son pilotage est adapt, que ses diffrentes activits
sont matrises, que ses relations avec les utilisateurs se droulent normalement,

Pour effectuer un audit des tudes informatiques on se base sur la connaissance

des bonnes pratiques recenses dans ce domaine. Elles sont nombreuses et
connues par tous les professionnels. Parmi celles-ci on peut citer :

l'organisation de la fonction tudes en quipes, le choix des personnes et leur

formation, leurs responsabilits ;

la mise en place d'outils et de mthodes adapts notamment une claire

identification des tches, des plannings, des budgets, des dispositifs de suivi des
tudes, un tableau de bord ;

le contrle des diffrentes activits qui ne peuvent pas tre planifies comme
les petits projets, les projets urgents ;
 la mise sous contrle de la maintenance des applications oprationnelles ;

le suivi des activits d'tudes partir de feuilles de temps.

Il existe de nombreuses autres bonnes pratiques concernant les tudes

informatiques. Pour l'auditer on va se baser sur ces bonnes pratiques afin de
dgager un certain nombre d'objectifs de contrle comme :

l'valuation de l'organisation de la fonction d'tudes informatiques et

notamment la manire dont sont planifies les diffrentes activits d'tudes ;

le respect de normes en matire de documentation des applications et

notamment la dfinition des documents fournir avec les diffrents livrables
prvues ;

le contrle de la sous-traitance notamment la qualit des contrats, le respect

des cots et des dlais, la qualit des livrables ;

l'valuation de la qualit des livrables fournis par les diffrentes activits

d'tudes qui doivent tre testables et vrifiables ;

Il existe de nombreux autres objectifs de contrle concernant les tudes

informatiques et ils sont choisis en fonctions des proccupations du demandeur
d'audit.

Audit de l'exploitation

L'audit de l'exploitation a pour but de s'assurer que le ou les diffrents centres de

production informatiques fonctionnent de manire efficace et qu'ils sont
correctement grs. Il est pour cela ncessaire de mettre en uvre des outils de
suivi de la production comme Openview d'HP, de Tivoli d'IBM, Il existe aussi un
systme Open Source de gestion de la production comme Nagios. Ce sont de
vritables systmes d'information ddis l'exploitation.

Pour effectuer un audit de l'exploitation on se base sur la connaissance des

bonnes pratiques concernant ce domaine comme :

la clart de l'organisation de la fonction notamment le dcoupage en quipes,

la dfinition des responsabilits,
 l'existence d'un systme d'information ddi l'exploitation notamment pour
suivre la gestion des incidents, la gestion des ressources, la planification des
travaux, les procdures d'exploitation,

la mesure de l'efficacit et de la qualit des services fournies par l'exploitation

informatique.

Il existe de nombreuses autres bonnes pratiques concernant l'exploitation

informatique. Pour effectuer cet audit on va se baser sur ces bonnes pratiques
afin de dgager un certain nombre d'objectifs de contrle comme :

la qualit de la planification de la production,

la gestion des ressources grce des outils de mesure de la charge, des

simulations, le suivi des performances,

l'existence de procdures permettant de faire fonctionner l'exploitation en

mode dgrad de faon faire face une indisponibilit totale ou partielle du
site central ou du rseau,

la gestion des incidents de faon les reprer et le cas chant d'empcher

qu'ils se renouvellent,

les procdures de scurit et de continuit de service qui doivent se traduire

par un plan de secours,

la matrise des cots de production grce une comptabilit analytique

permettant de calculer les cots complets des produits ou des services fournis.

Ces diffrents objectifs de contrle correspondent au processus DS 1, DS 3, DS 6,

DS 12 et DS 13 de CobiT : DS 1 "Dfinir et grer les niveaux de services", DS 3
"Grer la performance et la capacit", DS 6 "Identifier et imputer les cots", DS
12 "Grer l'environnement physique", DS 13 "Grer l'exploitation".

Audit des projets informatiques

L'audit des projets informatiques est un audit dont le but est de s'assurer qu'il se
droule normalement et que l'enchanement des oprations se fait de manire
logique et efficace de faon qu'on ait de fortes chances d'arriver la fin de la
phase de dveloppement une application qui sera performante et
oprationnelle. Comme on le voit un audit d'un projet informatique ne se confond
pas avec un audit des tudes informatiques.
Pour effectuer un audit d'un projet informatique on se base sur la connaissance
des bonnes pratiques connues en ce domaine. Elles sont nombreuses et connues
par tous les chefs de projets et de manire plus gnrale par tous professionnels
concerns. Parmi celles-ci on peut citer :

l'existence d'une mthodologie de conduite des projets,

la conduite des projets par tapes quel que soit le modle de gestion de
projets : cascade, V, W ou en spirale (processus itratif),

le respect des tapes et des phases du projet,

le pilotage du dveloppement et notamment les rles respectifs du chef de

projet et du comit de pilotage,

la conformit du projet aux objectifs gnraux de l'entreprise,

la mise en place d'une note de cadrage, d'un plan de management de projet

ou d'un plan de management de la qualit,

la qualit et la compltude des tudes amont : tude de faisabilit et analyse

fonctionnelle,

l'importance accorde aux tests, notamment aux tests faits par les utilisateurs.

Il existe de nombreuses autres bonnes pratiques concernant la gestion de projet.

Pour effectuer un audit d'un projet informatique on va se baser sur un certain
nombre d'objectifs de contrle comme :

la clart et l'efficacit du processus de dveloppement,

l'existence de procdures, de mthodes et de standards donnant des

instructions claires aux dveloppeurs et aux utilisateurs,

la vrification de l'application effective de la mthodologie,

la validation du primtre fonctionnel doit tre faite suffisamment tt dans le

processus de dveloppement,

la gestion des risques du projet. Une valuation des risques doit tre faite aux
tapes cls du projet.

Il existe de nombreux autres objectifs de contrle possibles concernant l'audit de

projet informatique qui sont choisis en fonction des proccupations et des
attentes du demandeur d'audit.
Ces diffrents objectifs de contrle correspondent aux processus PO 10, AI 1 et AI
2 de CobiT : PO 10 "Grer le projet" mais aussi AI 1 "Trouver des solutions
informatiques" et AI 2 "Acqurir des applications et en assurer la maintenance".

Audit des applications oprationnelles

Les audits prcdents sont des audits informatiques, alors que l'audit
d'applications oprationnelles couvre un domaine plus large et s'intresse au
systme d'information de l'entreprise. Ce sont des audits du systme
d'information. Ce peut tre l'audit de l'application comptable, de la paie, de la
facturation,. Mais, de plus en plus souvent, on s'intresse l'audit d'un
processus global de l'entreprise comme les ventes, la production, les achats, la
logistique,

Il est conseill d'auditer une application de gestion tous les deux ou trois ans de
faon s'assurer qu'elle fonctionne correctement et, le cas chant pouvoir
apporter les amliorations souhaitable cette application ou ce processus.
L'auditeur va notamment s'assurer du respect et de l'application des rgles de
contrle interne. Il va en particulier vrifier que :

les contrles en place sont oprationnels et sont suffisants,

les donnes saisies, stockes ou produites par les traitements sont de bonnes
qualits,

les traitements sont efficaces et donnent les rsultats attendus,

l'application est correctement documente,

les procdures mises en uvre dans le cadre de l'application sont jour et

adaptes,

l'exploitation informatique de l'application se fait dans de bonnes conditions,

la fonction ou le processus couvert par l'application est efficace et productif,

Le but de l'audit d'une application oprationnelle est de donner au management

une assurance raisonnable sur son fonctionnement. Ces contrles sont, par
exemple, raliss par le Commissaire aux Comptes dans le cadre de sa mission
lgale d'valuation des comptes d'une entreprise : est-ce que le logiciel utilis est
sr, efficace et adapt ?
Pour effectuer l'audit d'une application oprationnelle on va recourir aux objectifs
de contrle les plus courants :

le contrle de la conformit de l'application oprationnelle par rapport la

documentation utilisateur, par rapport au cahier des charges d'origine, par
rapport aux besoins actuels des utilisateurs,

la vrification des dispositifs de contrle en place. Il doit exister des contrles

suffisants sur les donnes entres, les donnes stockes, les sorties, les
traitements, L'auditeur doit s'assurer qu'ils sont en place et donnent les
rsultats attendus,

l'valuation de la fiabilit des traitements se fait grce l'analyse des erreurs

ou des anomalies qui surviennent dans le cadre des oprations courantes. Pour
aller plus loin l'auditeur peut aussi tre amen constituer des jeux d'essais pour
s'assurer de la qualit des traitements. Il est aussi possible d'effectuer des
analyses sur le contenu des principales bases de donnes afin de dtecter
d'ventuelles anomalies,

la mesure des performances de l'application pour s'assurer que les temps de

rponse sont satisfaisants mme en priode de forte charge. L'auditeur va aussi
s'intresser au nombre d'oprations effectues par le personnel dans des
conditions normales d'utilisation.

Trs souvent on demande l'auditeur d'valuer la rgularit, la conformit, la

productivit, la prennit de l'application oprationnelle. Ce sont des questions
dlicates poses par le management l'auditeur.

Audit de la scurit informatique

L'audit de la scurit informatique a pour but de donner au management une

assurance raisonnable du niveau de risque de l'entreprise li des dfauts de
scurit informatique. En effet, l'observation montre que l'informatique
reprsente souvent un niveau lev de risque pour l'entreprise. On constate
actuellement une augmentation de ces risques lie au dveloppement d'Internet.
Ils sont lis la conjonction de quatre notions fondamentales :

en permanence il existe des menaces significative concernant la scurit

informatique de l'entreprise et notamment ses biens immatriels,

le facteur de risque est une cause de vulnrabilit due une faiblesse de

l'organisation, des mthodes, des techniques ou du systme de contrle,
 la manifestation du risque. Tt ou tard le risque se manifeste. Il peut tre
physique (incendie, inondation) mais la plupart du temps il est invisible et se
traduit notamment par la destruction des donnes, dtournement de trafic,..

la matrise du risque. Il s'agit de mettre en place des mesures permettant de

diminuer le niveau des risques notamment en renforant les contrle d'accs,
l'authentification des utilisateurs,

Pour effectuer un audit de scurit informatique il est ncessaire de se baser sur

quelques objectifs de contrle. Les plus courants sont :

reprer les actifs informationnels de l'entreprise. Ce sont des matriels

informatiques, des logiciels et des bases de donnes. Il est pour cela ncessaire
d'avoir des procdures de gestion efficaces et adaptes,

identifier les risques. Il doit exister des dispositifs de gestion adapts

permettant de surveiller les domaines risque. Cette surveillance doit tre
assure par un RSSI, un responsable de la scurit informatique,

valuer les menaces. Le RSSI a la responsabilit de reprer les principaux

risques lis aux diffrents domaines du systme d'information. Un document doit
recenser les principales menaces,

mesures les impacts. Le RSSI doit tablir une cartographie des risques associs
au systme d'information. Il est alors envisageable de construire des scnarios
d'agression et d'valuer les points de vulnrabilit,

dfinir les parades. Pour diminuer le niveau des risques il est ncessaire de
prvoir les dispositifs comme des contrles d'accs, le cryptage des donnes, le
plan de secours,

Il existe de nombreux autres objectifs de contrle concernant l'audit de la

scurit informatique qui sont choisis en fonction des proccupations et des
attentes du demandeur d'audit.

Ces diffrents objectifs de contrle correspondent aux processus de CobiT DS 5 :

"Assurer la scurit des systmes" et PO 9 "Evaluer et grer les risques". Il existe
un rfrentiel spcifique la scurit informatique : ISO 27002. C'est un code des
bonnes pratiques concernant le management de la scurit des systmes
d'information. Il est complt par la norme ISO 27001 concernant la mise en
place d'un Systme de Management de la scurit de l'Information.
Voir audit de scurit

Dmarche d'audit informatique

Une mission d'audit informatique se prpare. Il convient de dterminer un

domaine d'tudes pour dlimiter le champ d'investigation. En ce sens il est
conseill d'effectuer un pr-diagnostic afin de prciser les questions dont l'audit
va traiter. Cela se traduit par l'tablissement d'une lettre de mission dtaillant les
principaux points auditer.

Pour mener bien l'audit informatique il est recommand de suivre six tapes
suivantes :

l'tablissement de la lettre de mission. Ce document est rdig et sign par le

demandeur d'audit et permet de mandater l'auditeur. Il sert identifier la liste
des questions que se posent le demandeur d'audit. Trs souvent l'auditeur
participe sa rdaction.

la planification de la mission permet de dfinir la dmarche dtaille qui sera

suivie. Elle va se traduire par un plan d'audit ou une proposition commerciale. Ce
document est rdig par l'auditeur et il est soumis la validation du demandeur
d'audit. Une fois le consensus obtenu il est possible de passer la troisime
tape,

la collecte des faits, la ralisation de tests, Dans la plupart des audits c'est
une partie importante du travail effectu par les auditeurs. Il est important
d'arriver dgager un certain nombre de faits indiscutables,

les entretiens avec les audits permettent de complter les faits collects
grce la prise en compte des informations dtenues par les oprationnels.
Cette tape peut tre dlicate et complique. Souvent, les informations
collectes auprs des oprationnels ressemblent plus des opinions qu' un
apport sur les faits recherchs,

la rdaction du rapport d'audit est un long travail qui permet de mettre en

avant des constatations faites par l'auditeur et les recommandations qu'il
propose,

la prsentation et la discussion du rapport d'audit au demandeur d'audit, au

management de l'entreprise ou au management de la fonction informatique.

Il peut arriver qu' la suite de la mission d'audit il soit demand l'auditeur

d'tablir le plan d'action et ventuellement de mettre en place un suivi des
recommandations.
Le non-respect de cette dmarche peut entrainer une mauvaise ralisation et
mise en place d'outils qui ne sont pas conformes aux rels besoins de
l'entreprise.

Cette dmarche est essentielle pour l'auditeur car il lui apporte des lments
fondamentaux pour le droulement de sa mission mais celle-ci est encore plus
bnfique pour l'organisation. En effet, les acteurs audits ne sont pas passifs. Ils
sont amens porter une rflexion sur leurs mthodes de travail et s'interesser
au travail des autres acteurs de l'entit. Cela conduit une cohsion d'quipe et
un apprentissage organisationnel. Il s'agit d'un facteur positif car en cas de
changement les acteurs seront moins rticents.

Les rfrentiels d'audit informatique

Il existe diffrents rfrentiels comme :

CobiT : Control Objectives for Information and related Technology. C'est le

principal rfrentiel des auditeurs informatiques,

Val IT permet d'valuer la cration de valeur par projet ou par portefeuille de

projets,

Risk IT a pour but d'amliorer la matrise des risques lis l'informatique (Voir
page en anglais Risk IT),

CobiT and Applications Controls.

L'ISACA (Information Systems Audit & Control Association) qui est l'association
internationale des auditeurs informatiques (notamment pour son corpus normatif
et son knowledge center) et l'AFAI (Association Franaise de l'Audit et du conseil
Informatique), qui est le chapitre franais de l'ISACA, fournissent de nombreux
supports.

Mais on peut aussi utiliser d'autres rfrentiels comme :

ISO 27002 qui est un code des bonnes pratiques en matire de management
de la scurit des systmes d'information,
 CMMi : Capability Maturity Model integration qui est une dmarche
d'valuation de la qualit de la gestion de projet informatique,

ITIL qui est un recueil des bonnes pratiques concernant les niveaux et de
support des services informatiques.

La certification des auditeurs informatiques

On pourrait imaginer une certification des directions informatique ou des

applications informatiques. Cela n'existe pas. Il existe par contre une certification
de la qualit des projets informatiques : CMMI. En matire de qualit de service
fournie par l'exploitation il y a la certification sur la norme ISO 20000 qui est un
sous-ensemble d'ITIL.

Il existe par contre une procdure de certification des outsourceurs : SAS 70,
Statement on Auditing Standards n70. Cette norme a t cre par l'American
Institute of Certified Public Accountants (AICPA) pour viter ces organismes de
devoir supporter successivement plusieurs audits informatiques sur des sujets
voisins. Ce sont des audits raliss par des tiers et vont s'assurer que les
processus mis en uvre offrent la qualit du service attendue.

La norme SAS 70 a t remplace depuis par la norme ISAE 3402 (International

Standards for Assurance Engagement) entre en vigueur le 15 juin 2011. Il s'agit
d'une extension de SAS 70 qui dfinit les standards qu'un auditeur doit suivre
pour valuer les contrles internes contractuels d'un organisme de service.

En matire d'audit informatique on certifie les auditeurs informatiques. La

certification de rfrence est le CISA, Certified Information Systems Auditor. C'est
une certification professionnelle internationale. Elle est organise par l'ISACA
depuis 1978. En France elle est passe depuis 1989. ce jour dans le monde 75
000 personnes ont le CISA dont plus de 1 000 en France. L'examen peut tre
pass trois fois par an : en juin, en septembre et en dcembre, dans 11 langues
diffrentes et dans 200 villes dans le monde. Il faut rpondre 200 questions
choix multiples en 4 heures portant sur l'audit et l'informatique. L'examen porte
sur 6 domaines :

les processus d'audit des systmes d'information,

la gouvernance IT,
 la gestion du cycle de vie des systmes et de l'infrastructure,

la fourniture et le support des services,

la protection des avoirs informatiques,

le plan de continuit et le plan de secours informatique

Il existe aussi une deuxime certification des auditeurs informatiques de

rfrence depuis 2003. il s'agit d'une certification professionnelle pour les
managers en scurit de l'information : le CISM (Certified Information Security
Manager) dlivre galement par l'ISACA.

Le programme de la certification est compos de 5 chapitres de la scurit de

l'information :

La gouvernance de la scurit de l'information

La gestion des risques de l'information

L'implmentation d'un programme de scurit de l'information

La gestion d'un programme de scurit de l'information

La gestion des incidents de scurit de l'information.

ces certifications proposes par l'ISACA, d'autres certifications peuvent

s'ajouter la panoplie de l'auditeur informatique, notamment le CISSP sur la
scurit informatique, la certification ISO27001 lead auditor, les certifications sur
ITIL, Prince2, CobIT, etc. Enfin, l'obtention du CISA permet de bnficier d'un
module de la certification CIA de l'Institute of Internal Auditors (IIA), administre
en France par l'IFACI.

Orientation et planification de la mission

Description du systme dinformation de lentreprise

La norme CNCC 2-302 prcise dans le paragraphe .07 - que dans un
environnement informatique utilisant des systmes importants et complexes, le
commissaire aux comptes acquiert galement la connaissance de cet
environnement et dtermine si celui-ci peut influencer lvaluation du risque
inhrent et lvaluation du risque li au contrle .

La description du systme dinformation de lentreprise consiste :

formaliser la cartographie des applications,

apprcier le degr de complexit du systme dinformation,

identifier les processus analyser, utiles aux objectifs de laudit.

Cartographie gnrale des applications

Objectif

La ralisation dune cartographie gnrale des applications permet de

comprendre et de documenter les composantes du systme dinformation. Elle
permet en outre de mettre en vidence les risques potentiels lis cette
architecture.

Travaux raliser
Ltablissement de la cartographie du systme dinformation ncessite
lidentification des principales applications et interfaces.

Identification des principales applications informatiques

Lidentification des applications informatiques concerne le recensement des

applications qui composent le systme dinformation de lentreprise. Pour
chacune delles, il est ncessaire de connatre :

le type (progiciel avec indication de lditeur/dveloppement spcifique),

la date de mise en place,

lenvironnement technique : UNIX, Windows, AS400...,

le mode de traitement (diffr ou temps rel),

le nom de lditeur ou du prestataire,

la date de la dernire modification,

les principales fonctionnalits,

la nature des sorties,

une estimation du volume trait.

Identification des principales interfaces

Lidentification des principales interfaces concerne les liens qui existent entre les
diffrentes applications. Ces liens peuvent tre automatiques, semi-automatiques
ou manuels. Pour chaque interface identifie, il est ncessaire de connatre :

le type dinterface : automatique, semi-automatique, manuel,

les applications en amont / en aval,

la nature des flux : ventes, stocks, clients,

la frquence : quotidienne, hebdomadaire, mensuelle,

les tats danomalies.

Rsultat

La reprsentation graphique des diffrentes applications et des liens existant

entre elles constitue la cartographie gnrale des applications. Elle permet de
visualiser de faon synthtique un systme dinformation complexe et sert en
outre de support de communication pluridisciplinaire (culture comptable, culture
informatique) dans lidentification des risques potentiels.

Pour les systmes trs simples (2 3 applications), la cartographie pourra se

limiter la formalisation de tableaux dinventaire tablis par le commissaire aux
comptes, alors que pour les systmes dinformation trs complexes,
lintervention dun expert informatique peut tre ncessaire.

La cartographie des applications peut tre complte avec une description de

linfrastructure technique : matriels et rseaux.

Exemples

Des exemples de cartographies avec description de linfrastructure technique

sont disponibles dans Les supports oprationnels : description du systme
dinformation de lentreprise .

Apprciation de la complexit du systme dinformation

Objectif

La complexit du systme dinformation est un lment important prendre en

compte lors de ltablissement du plan de mission.

Son apprciation permet de dcider si des comptences informatiques

particulires sont ncessaires pour raliser la mission et sil convient que le
commissaire aux comptes se fasse assister dun expert.

Travaux raliser

Lapprciation de la complexit du systme dinformation concerne lensemble

des applications et seffectue au travers de lanalyse de la cartographie en
prenant en compte les critres suivants :

existence de progiciel intgr ou de nombreuses applications spcifiques,

technologie utilise : systme central, client serveur, Internet,

paramtrage : complexit, tendue, paramtres standards ou dfinis par

lentreprise,

nombre dinterfaces,

existence dinterfaces manuelles entre les systmes,

dpendance des traitements entre les systmes.

Modalits pratiques
La complexit du systme dinformation de lentreprise va pouvoir tre apprcie
partir de la cartographie ralise prcdemment et de la documentation fournie
(cette dernire na pas dincidence sur la complexit du systme, mais son
existence et sa qualit permettent une analyse plus fine).

Cette tude peut tre complte par un entretien avec le responsable

informatique pour couvrir les points suivants :

existence ou non dune documentation,

degr de mise jour de la documentation en fonction des volutions du

systme dinformation,

dpendance des traitements entre les systmes.

Lanalyse de la complexit du systme dinformation dans le plan de mission

conduit dterminer des situations o le risque sur la fiabilit du systme
dinformation sera plus ou moins important.

Incidence sur la fiabilit du systme dinformation

Faible Modre Eleve

Intgration Systme entirement intgr utilisant des informations partages

entre les applications (existence de rfrentiels). Les fonctions dtats de
synthse et de tableaux de bord sont intgres dans le systme. Quelques
interfaces sont automatises. Des informations sont traites sur poste client
des fins dtats de synthse et de tableaux de bord. Systme fragment
ncessitant la saisie manuelle de nombreuses informations entre les systmes.
Donnes en doublons en raison de linexistence de rfrentiels. Pas de rgle de
gestion concernant la mise jour des donnes.

Documentation Existence dune documentation jour permettant davoir une

bonne comprhension du systme dinformation. Documentation partielle mais
couvrant les principales applications. Documentation faible ou non mise jour.
Difficult apprhender le systme et mesurer limpact dune modification.
Les risques potentiels lis aux systmes fortement intgrs sont nuancer avec
les connaissances que le commissaire aux comptes aura acquises sur
lorganisation informatique et les comptences du personnel informatique. En
effet, bien quune telle architecture minimise les risques compte tenu de
lutilisation de bases de donnes homognes et dinterfaces inter-modules,
lintgrit des informations est fortement soumise aux corrects paramtrage,
administration et utilisation du systme. Il conviendra donc de sassurer que ces
systmes sont matriss par le service informatique et les utilisateurs, avant de
considrer que les rsultats des traitements sont fiables.

Rsultat

La prise en compte des lments ci-dessus permet dapprcier la complexit du

systme dinformation.

Dans le cas dun systme trs complexe faisant appel aux nouvelles
technologies, le commissaire aux comptes pourra faire appel un expert afin
didentifier les zones de risques majeures.

Par la suite, lexpert pourra ventuellement apporter une assurance

complmentaire sur :

la fiabilit des informations gres au travers du systme dinformation,

le respect des procdures de contrle interne sur les flux oprationnels.

Exemple

Le systme dinformation reflte le dveloppement de lentreprise, ralis

principalement par croissance externe. En effet, il est constitu dun nombre
important dapplications htrognes lies les unes aux autres par de
nombreuses interfaces. Ces diffrentes applications se trouvent sur des plates-
formes techniques diffrentes gres par des quipes distinctes. La
documentation de ces systmes est partielle et de qualit ingale. Elle ne permet
pas dobtenir une vue synthtique des diffrents composants du systme
dinformation.

Incidence sur la fiabilit du systme dinformation : Eleve

Identification des processus analyser

Objectif

Lvaluation des risques nest pas seulement influence par les seules
applications informatiques. En effet, lincidence de lenvironnement informatique
sur le risque inhrent et le risque li au contrle ne peut tre apprcie sans
prendre en compte la notion de flux dinformation ou processus.

Un processus peut tre dfini comme un enchanement de tches, manuelles,

semi-automatiques, automatiques, concourant llaboration, la production ou
au traitement dinformations, de produits ou de services. Exemples : processus
de gestion des ventes, processus de gestion des impays, processus de
fabrication, processus dinventaire permanent, processus dtablissement des
comptes, etc..

Le commissaire aux comptes ne sintresse pas lensemble des processus

existant au sein de lentreprise, mais uniquement ceux contribuant directement
ou indirectement la production des comptes. Les processus tudis sont alors,
dans la majorit des cas, les suivants : achats, ventes, stocks, rglements, paie.
Seules les applications (et leurs inter-relations) qui interviennent dans ces
processus mritent de faire lobjet dune tude dans le cadre de la dmarche
daudit.

Travaux raliser

Pour chacun des processus concourant directement ou indirectement la

production des comptes, il est ncessaire de dterminer les applications qui
participent aux traitements des donnes. Cette dtermination seffectue partir
de la cartographie ralise prcdemment.

Selon limportance du rle jou par les applications et les interfaces dans chaque
processus, le commissaire aux comptes slectionne le ou les processus
analyser dans le cadre de son valuation des risques.

Ainsi, lanalyse dune application peut ncessiter lanalyse de plusieurs

processus, lorsquune mme application intervient dans plusieurs processus.

Rsultat

Le rsultat peut tre formalis sous forme du tableau suivant :

Appli. 1 Appli. 2 Appli. 3 Appli. 4 Appli. 5 Appli. 6

Appli. 7

Processus 1 X X X X X

Processus 2 X X X

Processus 3 X X X
Si lapplication 5 prsente des risques potentiels importants compte tenu de son
obsolescence, du nombre de fonctionnalits et de limportance des donnes
gres, on peut conclure que les processus 1 et 2 devront faire lobjet dune
analyse approfondie afin de pouvoir rduire le risque daudit un niveau faible
acceptable.

Definition SI

Le systme d'information (SI) est un ensemble organis de ressources qui permet

de collecter, stocker, traiter et distribuer de l'information1 souvent grce un
ordinateur. Il s'agit d'un systme socio-technique compos de deux sous-
systmes, l'un social et l'autre technique. Le sous-systme social est compos de
la structure organisationnelle et des personnes lies au SI. Le sous-systme
technique est compos des technologies (hardware, software et quipements de
tlcommunication) et des processus d'affaires concerns par le SI2.
L'apport des nouvelles technologies de l'Information est l'origine du regain de la
notion de systme dinformation. L'utilisation combine de moyens
informatiques, lectroniques et de procds de tlcommunication permet
aujourd'hui, selon les besoins et les intentions exprims, d'accompagner,
d'automatiser et de dmatrialiser quasiment toutes les oprations incluses dans
les activits ou procdures d'entreprise.

Ces capacits de traitement de volumes importants de donnes, d'inter-

connexion de sites ou d'oprateurs gographiquement loigns, expliquent
qu'elles sont, aujourd'hui, largement utilises (par exemple, dans les activits
logistiques) pour traiter et rpartir l'information en temps rel, en lieu et place
des moyens classiques manuels - plus lents - tels que les formulaires sur papier
et le tlphone.

Ces capacits de traitement sont galement fortement apprcies par le fait

qu'elles renforcent le caractre systmique des donnes et traitements
raliss : la cohrence et la consolidation des activits lorsqu'elle est recherche
et bien conue permet d'accrotre la qualit du contrle interne de la gestion des
organisations, mme lorsque celles-ci sont dconcentres ou dcentralises.

Enjeux du systme d'information

Le systme d'information est le vhicule des entits de l'organisation. Sa

structure est constitue de l'ensemble des ressources (les personnels, le
matriel, les logiciels, les procdures) organises pour : collecter, stocker, traiter
et communiquer les informations. Le systme d'information coordonne, grce la
structuration des changes, les activits de l'organisation et lui permet ainsi,
d'atteindre ses objectifs.

relativement l'organisation et la direction du systme d'information, voir :

Management du systme d'information.

Un systme d'information se construit partir de l'analyse des processus

"mtier" de l'organisation et de leurs interactions/interrelations, et non
simplement autour de solutions informatiques plus ou moins standardises par le
march. Le systme d'information doit raliser l'alignement stratgique de la
stratgie d'entreprise par un management spcifique.

La gouvernance des systmes d'information ou gouvernance informatique (IT

gouvernance) renvoie aux moyens de gestion et de rgulation des systmes
d'information mis en place dans une organisation en vue d'atteindre ses objectifs
3. ce titre, la gouvernance du SI fait partie intgrante de la gouvernance de
l'organisation. Les mthodes ITIL (IT infrastructure library) et COBIT sont par
exemple, des supports permettant de mettre un SI sous contrle et de le faire
voluer en fonction de la stratgie de l'organisation.

Les diffrentes natures du systme d'information

Systme d'information et finalit de la chose

Le SI est n dans les domaines de l'informatique et des tlcommunications, le

concept de SI s'applique maintenant l'ensemble des organisations, prives ou
publiques. Le terme systme d'information (ou SI) possde les significations
suivantes :

un ensemble organis de ressources (personnel, donnes, procdures,

matriel, logiciel, etc.) permettant d'acqurir, de stocker, de structurer et de
communiquer des informations sous forme de textes, images, sons, ou de
donnes codes dans des organisations. Selon leur finalit principale, on
distingue des systmes d'information supports d'oprations (traitement de
transaction, contrle de processus industriels, supports d'oprations de bureau et
de communication) et des systmes d'information supports de gestion (aide la
production de rapports, aide la dcision, etc.)4.

Un systme ou sous-systme d'quipements, d'informatique ou de

tlcommunication, interconnects dans le but de l'acquisition, du stockage, de
la structuration, de la gestion, du dplacement, du contrle, de l'affichage, de
l'change (transmission ou rception) de donnes sous forme de textes,
d'images, de sons, et/ou, faisant intervenir du matriel et des logiciels.

Un SI est un rseau complexe de relations structures o interviennent

hommes, machines et procdures, qui a pour but dengendrer des flux ordonns
dinformations pertinentes provenant de diffrentes sources et destines servir
de base aux dcisions selon Hugues Angot.

Un SI est un ensemble d'lments matriels ou immatriels (hommes,

machines, mthodes, rgles) en interaction transformant en processus des
lments (les entres) en d'autres lments (les sorties).

Systme d'information et application informatique

On distingue gnralement deux grandes catgories de systmes, selon les types

d'application informatique :
 les systmes de conception : fonctionnent selon des techniques temps rel ;

les systmes d'information de gestion, qui emploient des techniques de

gestion.

Du point de vue de la valeur financire du patrimoine informatique, les systmes

d'information de gestion sont largement majoritaires.

Les langages informatiques employs diffrent souvent selon chacune de ces

catgories, et l'intrieur des catgories. Par exemple, les systmes
d'information de gestion emploient du Cobol, du langage C, du C++, du Java, du
Visual Basic.NET, du WinDev (WLangage), SQL, etc.

Aujourd'hui, la gnralisation des applications web rend possible une trs forte
interoprabilit des systmes, qui transcende ces catgories traditionnelles. Les
langages de balisage (HTML, XML, etc.) s'imposent comme des standards. Ces
langages sont souvent associs des frameworks. Le framework le plus
communment employ est actuellement RDF (Resource Description Framework).
RDF s'appuie sur des normes d'interoprabilit et l'utilisation massive de
mtadonnes, donnes lmentaires communes toutes les ressources et tous
les systmes quelles que soient leurs utilisations, qui facilitent les accs et les
changes.