Mission D'audit Des SI
Mission D'audit Des SI
Mission D'audit Des SI
Foudhaili Aymen
Mastére GP2
Partie I: Notion de systèmes
d’information
Qu’est-ce qu’un SI ?
• Accessibilité :
– Dans le temps : actualité
– Dans l’espace : forme et facilité d’accès (retrieval)
• Crédibilité
Approche hiérarchique des SI
Rôle des SI hiérarchiques
22/10/15 10/34
Définitions
système d’information :
22/10/15 11/34
Définitions
La sécurité du système d’information :
ensemble de méthodes, techniques et outils chargés de protéger les
ressources d’un système informatique afin d’assurer :
22/10/15 12/34
Définitions
La sécurité informatique
La science qui permet de s’assurer que celui qui consulte ou modifie des données
du système en a l’autorisation
22/10/15 13/34
Les raisons
• Voici quelques exemples de questions susceptibles d'être formulée par
le Top management :
– Le système d'information de l'entreprise contribue-t-il à améliorer sa
profitabilité?
– La mise en place d'une nouvelle application, a-t-elle amélioré la
productivité et le service client ?
– La stratégie informatique est-elle conforme à la stratégie de l'entreprise ?
– Peut-on diminuer les coûts des fonctions administratives en dépensant
plus en informatique ?
• Entrainent le besoin de :
– de contrôler les Systèmes d'Information ;
– d'accroître la Sécurité des S.I.
– d'optimiser les S.I.
22/10/15 14
Définition d’audit des SI
22/10/15 15
Objectifs de l’audit des SI
22/10/15 16
Périmètre de l’audit des SI (1/2)
22/10/15 17
Périmètre de l’audit des SI (2/2)
• Auditer les systèmes d’information revient à auditer les composantes qui
le constituent, à savoir:
L’examen de l'organisation de la structure en charge des systèmes
d’information,
L’examen des procédures liées au développement,
L’examen des procédures liées à l’exploitation des applications
informatiques
L’examen des fonctions techniques,
L’examen des activités de contrôle sur la protection et la confidentialité
des données.
22/10/15 18
Evaluation des risques liés au SI
22/10/15 19
Documentation nécessaire pour l’audit des SI
22/10/15 20
Partie III: Mener une mission
d’audit des systèmes d’information
22/10/15 21/34
Acteurs d’une mission
• L’auditeur :
– Professionnel compétent et indépendant
– Doit respecter les normes et les standards
– Peut être interne et externe
• L’audité :
– Entreprise
– Filiale
– Département
– service
• Le prescripteur :
– Personne qui commande et assure le règlement de la mission d’Audit
22/10/15 22
Démarche d’audit des SI
22/10/15 23
Démarche de l’Audit des SI
25%
Programme
Programmede de
travail
travail(ou
(ouplan
plan 50%
d’audit)
d’audit)
24
1- La phase de préparation
22/10/15 25
1- La phase de préparation
22/10/15 26
1 - La phase d ’étude : Connaître le process
• L ’étude de l’environnement :
– Il s ’agit de la première étape de la phase de prise de connaissance
Guides – Étape théoriquement facilitée par la mise à disposition de guides de
Guidesde de
contrôle
contrôle contrôle interne :
interne
interne • les objectifs et les buts de l’activité
• les indicateurs de performance et les valeurs cibles adossés
Manuels
Manuelsdede • les règles, plans, procédures, lois, réglementations, contrats et
procédures
procédures conventions qui peuvent avoir un impact significatif sur les
opérations, et les rapports.
• d’éventuelles problématiques importantes
• la littérature technique (normes, bonnes pratiques, directives
techniques…) faisant autorité pour l'activité concernée
22/10/15 27
1 - La phase d ’étude : Connaître le process
22/10/15 28
1 - La phase d ’étude : Connaître le process
Procédure
Etape N
Etape 1
Etape 2
Etape 3
…
22/10/15 29
1 - La phase d ’étude : Connaître le process
22/10/15 30
1 - La phase d ’étude : Connaître le process
22/10/15 31
1 - La phase d ’étude : Connaître le process
• Cartographie des risques : l ’auditeur indique le risque inhérent, c’est à dire avant
contrôle interne à chaque objet auditable du process.
– Le tableau ci-dessous présente un modèle de cartographie. L ’auditeur, à ce stade, va
renseigner les quatre premières colonnes : Procédure, Étape, Objet auditable et
Risque Inhérent
22/10/15 33
2 - La phase du Terrain : Evaluer le
dispositif du CI
22/10/15 34
2 - La phase du Terrain : Evaluer le
dispositif du CI
– S ’agissant de l ’informatique :
– Sécurités physiques :
• Protection des locaux ( accès sécurisé, salle fermée … )
• Protection des matériels ( incendie, humidité, … )
• Modalité de stockages des supports d ’information ( disques, disquettes -->
armoire ignifuge, stockage externe … )
– Sécurités logiques
• Habilitations / délégations
• Procédures de sauvegardes ( modalités, fréquence, suivi formalisé …. )
• Procédures de restauration des données ( simulations d ’incidents, … )
– Contrôles spécifiques
• Traçabilité des opérations de modification des données ( liste, journal des
modifications … ).
22/10/15 35
2 - La phase du Terrain : Evaluer les
risques
• L ’auditeur doit évaluer le niveau du risque en mesurant sa probabilité et
son impact
• Pour chaque étape de la procédure, les risques inhérents listés sont
qualifiés :
Bas
Moyen
Élevé
• Ce travail d ’évaluation est réalisé en fonction des éléments recueillis lors
de la prise de connaissance ( Étape 1 ), mais aussi lors de l ’évaluation du
dispositif de contrôle interne ( Étape 2 )
• L ’évaluation des risques doit être commentée par l ’auditeur qui doit
formaliser les choix réalisés.
22/10/15 36
2 - La phase du Terrain : Evaluer les
risques
• Pour chaque objet auditable de la procédure, les risques inhérents listés sont qualifiés
– La cartographie pré remplie à la fin de la phase 1, est complétée. La cotation se fait en évaluant le
poids ( Impact X Probabilité ) de chacun des risques généraux selon l ’évaluation suivante :
0 Faible
1 Moyen
2 Élevé
4 Maximum
Procédure Etape Objet Risque Cotation Niveau Cequi doit Commentaire
Auditable inhérent Risque Comptable du être fait pour sur le niveau
Risque Opérationnel
Risque Patrimonial
Risque Juridique
Risque de Fraude
risque maîtriser le du risque
Inhérent risque inhérent
inhérent
22/10/15 37
• Pour les risques élevés, l ’auditeur indique les contrôles qui doivent être
réalisés, pour permettre leur maîtrise. L ’auditeur indique « ce qui doit être
fait », pour ensuite comparer avec « ce qui est fait » !
Risque Comptable
Risque Opérationnel
Risque Patrimonial
Risque Juridique
Risque de Fraude
risque maîtriser le du risque
Inhérent risque inhérent
inhérent
22/10/15 38
2 - La phase du Terrain : Evaluer les
risques
22/10/15 39
2 - La phase du Terrain :
22/10/15 40
FEUILLE DE REVELATION ET D'ANALYSE DE PROBLEME
papiers de travail : FRAP n° : mmm
Problème : …………………………………………………….
……………………………………………………………………
Faits :
-
-
Causes :
-
-
Conséquences :
-
-
Amélioration proposée :
…………………………………………………………
…………………………………………………………….
.
Établie par : Revue par : Soumise à avis de l’audité
le : le : Nom : le :
Les outils de l’audit
22/10/15 42
3- La phase de restitution
22/10/15 43
3- La phase de restitution
• Le rapport d ’audit :
– Une synthèse : Points Forts / Points Faible et principales
recommandations
– Un Rapport, qui par objectif de la procédure est articulé de la façon
suivante :
• constats: points forts / points faibles
• analyse des risques
• recommandations
– Des annexes constituées des FRAP.
22/10/15 44
3- La phase de restitution
Plan d'action
Personne responsable de la
Recommandat ions Dat e limit e de réalisat ion I ndicat eur
mise en œuvre
N° 1
N° 2
N° n
22/10/15 45
3- La phase de restitution
22/10/15 46
3- La phase de restitution
• La réunion de clôture :
– Présenter les résultats de l ’audit
– Présenter les recommandations et les actions à mettre en œuvre
– Obtenir l ’adhésion.
22/10/15 47