Audit Informatique

INTRODUCTION
   

Linformatique est omniprsente et indispensable Dveloppement des SI = accroissement des risques Le SI est le systme nerveux de lentreprise Laudit est un moyen prventif bien quutilis trop souvent titre curatif (58% des cas)

 

Laudit informatique simpose, il y a une prise de conscience A vu le jour dans les 60s aux USA

PLAN
I- Gnralits A- Objectifs B- Dmarche gnrale C- Conduite de la mission II- Les outils de lauditeur A- Normes B- Mthodes C- Critres de choix

gnralits

gnralits
Laudit correspond au besoin de faire faire un diagnostic par un expert indpendant pour tablir un tat des lieux, dfinir des points amliorer et obtenir des recommandations pour faire face aux faiblesses de lentreprise. Lauditeur intervient en tant que mesureur des risques, il identifie faiblesses, impacts, solutions et les risques si les mesures ne sont pas prises.

Gnralits (SUITE)
Laudit Informatique est un terme largement utilis, il couvre donc des ralits souvent diffrentes, et certaines prestations ralises sous le terme d Audit Informatique sont en fait des missions de Conseil. Le champ daction principal de lAudit Informatique doit rester loutil informatique au sens large, en y incluant la bureautique (application, matriels ) et de plus en plus les outils lis lusage des technologies de lInternet

objectifs
En termes de fiabilit de lenvironnement informatique
a) Lintrt dun contrle interne b) Les acteurs de laudit informatique c) Composantes dun audit de lactivit informatique d) Mthodes daudit de lactivit informatique

objectifs
a) Lintrt dun contrle interne
Selon lOEC, le contrle interne est:  lensemble des scurits contribuant la matrise de lentreprise.  Il a pour but: - dassurer la protection, la sauvegarde du patrimoine et la qualit de linformation - lapplication des instructions de la direction et favoriser lamlioration des performances.  Il se manifeste par lorganisation, les mthodes et procdures de chacune des activits de lentreprise pour maintenir sa prennit

objectifs
 bonne

organisation densemble de lactivit informatique  existence de procdures  existence de mthodes

Finalit
 rduire

les risques de malveillance  des procdures formalises bien comprises  amlioration de lefficacit de lactivit informatique.

objectifs
b) Les acteurs de laudit informatique
 direction

de lentreprise informatique

 responsable  contrleurs

externes (commissaires aux comptes, administration fiscale, banques )

objectifs
c) Composantes dun audit de lactivit informatique
 examen  examen

de lorganisation gnrale du service, des procdures lies au dveloppement

et la maintenance des applications,

 examen

des procdures lies lexploitation des

chanes de traitement,
 examen

des fonctions techniques.

objectifs
d) Mthodes daudit de lactivit informatique
 entretiens

avec le personnel du service informatique et les utilisateurs du service de documents ou dtats

 contrles  outils

commercialiss (progiciel) (COBIT, MEHARI )

 mthodes

objectifs
En termes defficacit et de performances
 mise

en place dun plan de secours  tude approfondie de la performance et du dimensionnement des machines  adquation aux besoins des logiciels systme En dautres termes laudit defficacit, constitue une mission mandate soit par la direction gnrale, afin de sinterroger sur le cot de son informatique, soit par le responsable du service, de manire vrifier la pertinence de sa configuration .

objectifs
En termes de fiabilit dune application informatique
 Objectif

premier: Se prononcer sur la qualit dune application donne . de contrle:

 Types

 Contrle  Contrle

de la fiabilit dune application, ou son utilisation de ladquation des logiciels dvelopps aux spcifications fonctionnelles  Recherche de fraude ou erreurs  Contrle de la qualit des mthodes de dveloppement des logiciels ou contrle de la qualit des procdures dexploitation

DEMARCHE GENERALE
La comptence technique de lauditeur est un point fondamental pour la russite de la mission, il implique aussi de disposer de certaines qualits humaines, relationnelles, et des qualits de gestionnaire et dorganisateur.

1) Intervenants 2) Plan pluriannuel daudit

DEMARCHE GENERALE
1) Intervenants
a) Auditeur externe contractuel
 socit

spcialise en ingnierie et services informatique(SSII)  free-lance Leurs missions

 examen de contrle interne de la fonction informatique,  audit de la scurit physique du centre de traitement,  audit de la confidentialit daccs  audit des performances

Domaine
Scurit logique Conduite de projets Revue environnement informatique ERP / Revue d'application Production Maitrise d'ouvrage et Cahier des charges Analyse de donnes Dveloppement et rle des tudes Recettes Qualit du code et ralisation Autre

Pourcentage
80% 68% 66% 58% 54% 54% 50% 46% 42% 30% 20%

Domaines dans lesquels les auditeurs informatiques sont les plus frquemment sollicits
Source: enqute AFAI 2003

DEMARCHE GENERALE
b) Auditeur interne
 Les

missions susceptibles dtre confies lauditeur informatique interne sont a priori les mmes que celles susceptibles dtre confies lauditeur externe. lauditeur interne qui dpend soit de la direction informatique ou dun service daudit, se trouve confront un problme dlicat : Comment couvrir dans un dlai raisonnable lensemble des risques informatiques ?

 Cependant,

DEMARCHE GENERALE
c) Commissaire au comptes
o

Rle Le commissaire au compte a pour rle de vrifier que les comptes prsents sont rguliers et sincres, et quils donnent une image fidle de la situation de lentreprise. Leur prsence est obligatoire dans la plupart des socits commerciales.

DEMARCHE GENERALE
o

Approche en environnement informatique

Source:

CRCC de Paris

DEMARCHE GENERALE
2) Plan pluriannuel daudit
 Un

plan annuel est dfinit sur une priode de 3 4 ans, pour couvrir lensemble des composantes du risque informatique, par les auditeurs internes qui vont fixer des programmes annuels de travail dtaills. programme de travail annuel reprend, en prcisant les dates et modalits dintervention, les missions prvues au plan pluriannuel.

 Le

DEMARCHE GENERALE
Exemple de plan pluriannuel

Conduite de la mission
Dmarche
a) la lettre de mission
 Objectifs de la mission  Primtre de la mission  Priode dintervention  Contraintes prvoir pour  Mthode  Constitution de lquipe  Documents prparatoires

les services audits

Conduite de la mission
b) Le programme de travail
 Structure

de lentreprise concerne fonctionnels informatiques

 Domaines

 Applications  Matriel

et rseaux

Conduite de la mission
c) Enqute pralable  dlimiter les besoins et analyser le systme dinformation de laudit  interroger en collaboration avec laudit, les utilisateurs et les entreprises qui participent au fonctionnement actuel du SI d) Runion de synthse  sassurer : - que les questions de lauditeur ont t bien comprises - que les rponses ont t bien interprtes

Conduite de la mission
e) Rapport daudit
 Le

rapport est ensuite rdig. Il doit tre clair et non port

sur la technique


mission dexpertise: il proposera un plan daction pour amliorer la performance

Conduite de la mission
Comment choisir un auditeur informatique ?
 Trois

critres majeurs sont donc retenir :

- lindpendance de lauditeur - professionnel du diagnostic - sa capacit remettre des recommandations.

Conduite de la mission
Que reprsente un audit en termes de cot et dconomies pour l'entreprise ?
 Cot:

Avec un prix moyen de la journe environ 1000 euros, le Groupement national des professionnels de linformatique (GPNI) estime le cot global de la procdure entre 500 et 3000 euros.
 Economies:

- Economies immdiates lors du constat de dpenses inutiles - Rduction des risques entrainant rduction de cot

Les outils de lauditeur

Les normes
o ISO
 

27002

Gnralits: Cre en 2000 (ISO 17799), Renomme en 2005 Objet: scurisation de linformation

=> Confidentialit, intgrit, disponibilit

 

Caractre facultatif => guide de recommandations 4 tapes dans la dmarche de scurisation:

- Liste des biens sensibles protger - Nature des menaces - Impacts sur le SI - Mesures de protection

Les normes
o ISO


27001

Gnralits: Cre en 2005  Objet: Politique du Management de la Scurit de lInformation => tablir un Systme de Management de la Scurit de lInformation : - Choix des mesures de scurit - Protection des actifs  Utilisation du modle PDCA

Les normes
6

domaines de processus :

- Dfinir une politique de scurit - Dfinir le primtre du SMSI - Evaluation des risques - Grer les risques identifis - Choisir et mettre en uvre les contrles - Rdiger Statement Of Applicability (charte du SMSI)
 Conditions

remplies => certification ISO 27001

Les mthodes
o
  

COBIT
Gnralits : Cre en 1996 par lISACA / AFAI Structure Contenu: - Synthse - Cadre de rfrence - Guide daudit - Guide de management - Outils de mise en oeuvre Intrts: - Lien entre les objectifs de lentreprise et ceux de technologies dinformation - Intgration des partenaires daffaires - Uniformisation des mthodes de travail - Scurit et contrle des services informatiques - Systme de gouvernance de lentreprise

Les mthodes
o
 

MEHARI
Gnralits : Cre en 1995 par le CLUSIF, remplaant MARION Structure:

Intrts: - Apprciation des risques aux regards des objectifs de scurit - Contrle et gestion de la scurit

Les mthodes
o
 

EBIOS
Gnralits : Cre en 1995 par la DCSSI Structure:

Intrts: - Construction dune politique de scurit base sur une analyse des risques - Lanalyse des risques repose sur lenvironnement et les vulnrabilits du SI

Les mthodes

LES Critres de choix

         

Origine gographique de la mthode Langue Existence de logiciels adapts Anciennet = capacit de recul, tmoignages Qualit de la documentation Facilit dutilisation Compatibilit avec les normes Le cot (matriel et humain) La popularit, la reconnaissance Gnralement, combinaison de mthodes lors dun audit

conclusion

Laudit informatique sest impos et sinscrit dans lavenir des entreprises

La normalisation est synonyme de dveloppement et de crdibilit

Le mtier dauditeur informatique recrute

sources
www.afai.fr www.journaldunet.com www.indexel.net www.aud-it.ch www.guideinformatique.com www.bpms.info Les techniques de laudit informatique, Yann Derrien