Axe 3 : Processus, procdure, Logiciels

Les processus sont dsormais pour la plupart trs fortement dpendants

des outils informatiques. Dans le meilleur des cas, ils sappuient sur un
systme informatique rpondant leurs besoins. Souvent, ils sappuient
au fil de leur droulement sur des outils disparates, conus dans une
logique dorganisation et leur imposant des ruptures de charges. Ainsi, la
performance dun processus est intimement lie lalignement et la
qualit des systmes informatiques.
Dans une organisation pratiquant le pilotage par les processus, les projets
informatiques devraient tre penss nativement dans une logique de
processus.
Laudit dun processus doit donc inclure un audit des outils informatiques
sur lesquels il sappuie. Cet audit doit inclure lexamen des donnes et
informations manipules au cours du droulement du processus, y compris
celles provenant dautres processus, des applications qui servent ou
automatisent tout ou partie des tches ou procdures qui le composent, et
des infrastructures informatiques de traitement et communication quil
utilise.

Description
Processus
1. Les instances de gouvernance qui pilotent ce
processus sont-elles comptentes pour pouvoir
orienter les SI y concourant ?
2. Existe-t-il une cohrence entre les outils
informatiques et les processus quils servent ?
3. La scurit physique et logique des donnes,
informations, applications et infrastructures estelle en cohrence avec lanalyse des risques de
ce processus ?
4. Existe-t-il un dispositif de contrle interne
destin matriser ce processus ? Est-il
pertinent ? Les outils informatiques y
contribuent-ils de manire efficace et efficiente ?
5. L'organisation du traitement des donnes
prvoit-elle une sparation adquate des
fonctions ?
Logiciels et applications informatiques

La hirarchie suprieure (ou hautes

instances) de l'organisation audite dfinit-elle
un budget dtaill ddi l'informatique, au
dbut de chaque anne ?
-Si la rponse est ngative, sur quelle base se
fait l'engagement des dpenses
informatiques ?
-Si la rponse est positive, ce budget, est-il
tabli en rfrence aux actions prvues dans le
plan informatique ?

Quelle est la procdure pour

ltablissement du budget informatique ?
Lister les principales rubriques du budget
fonctionnel et dinvestissement ?

6. Existe-t-il des procdures de contrle des

slections, de test et dacceptation des logiciels
emballs ?
7. Existe-t-il une fiche signaltique pour tous les
logiciels acquis ?

OUI

NON

N/A

8. Les garanties fournisseurs sont-elles toujours

valables ?
9. Les logiciels acquis sont-ils dtenus par des
tiers ?
10. Les copies et les sauvegardes des manuels
des oprations sont-elles gardes hors du site ?
11. Existe-t-il une codification des logiciels
acquis ?
12. Lentreprise dispose-t-elle des duplicatas des
logiciels acquis ? (En cas de disfonctionnement
des logiciels principales)
13. Existe-t-il un inventaire des configurations
des logiciels ?

Parmi ces applications, faire la distinction

entre les applications qui ont
t dveloppes en interne, et celles qui ont
t acquises ?

Comment est opr le choix de l'une ou

l'autre option et quels sont les critres qui
sont pris en compte ?

Pour les applications dveloppes en

interne, a-t-il t labor un cahier des
charges dfinissant les besoins fonctionnels
des utilisateurs ?

Dcrire la procdure suivie pour

l'acquisition de solutions informatiques.

Dans les cas o la solution informatique a

t acquise, existe-t-il un contrat de service ?
Les utilisateurs ont-ils t forms au produit
et ont-ils t assists pour son paramtrage ?
Le paramtrage a-t-il t ralis dans les rgles
de l'art ?

Existe-t-il, pour chaque application, un

document dcrivant l'analyse
fonctionnelle et les besoins des utilisateurs ?
Dcrire, pour chaque application informatique,
les principales fonctionnalits et leur degr de
rponse aux besoins des utilisateurs ?


Pour chaque application informatique,
existe-t-il une documentation
utilisateur, un dossier d'exploitation, et un
dossier de maintenance ? Ces
documentations sont-elles rgulirement
mises jour en cas de changement de
versements et sont-elles conserves en lieu
sr ?

Cette documentation est-elle

communique aux utilisateurs concerns ?

Cette documentation est-elle de

qualit et est-elle facilement
comprhensible ?
Cette documentation prvoit-elle des
illustrations des diffrents crans de saisies et
crans de sorties ? Toutes les rubriques sontelles bien expliques ?
Schma logiciel
Cette architecture rpond elle aux besoins des
utilisateurs ?
Quels sont les domaines dactivit couverts par
linformatique ?
Pour chaque sous systme dinformation,
-Quels sont les inputs de chaque sous systme
dinformation ?
-Quels sont les outputs de chaque sous
systme dinformation ?
Ces outputs sont-ils adapts et rpondent-ils
aux besoins et attentes des utilisateurs ?
-Si la rponse cette question est ngative,
dcrire les besoins des utilisateurs en termes
doutput ?
-Quels sont les moyens techniques mis la
disposition du systme dinformation?
-Quels sont les acteurs du systme
dinformation ?
Quel est le niveau d`automatisation du Systme
d`Information?
Quels sont les traitements automatiss du
systme dinformation ?
Recenser les applications informatiques et
leurs fonctionnalits ? Ces
applications informatiques sont-elles intgres.
Quels sont les traitements non automatiss du
system dinformation (les procdures et les
rgles de gestion sont-elles formalises) ?

Ces procdures et rgles de gestion sont-elles

diffuses et communiques lensemble des
acteurs concerns ?
13. Les indicateurs de capacit rseau, CPU et
mdia de stockage ainsi que de temps de
rponse, couvrent-ils les consommations
moyennes et les pics dactivit ?
14. Les budgets refltent-ils des investissements
ncessaires laugmentation de la capacit de
traitement des architectures existantes ?
15. Lvolutivit des architectures prsentes estelle satisfaisante ?
16. La scalabilit, la modularit ; des
architectures et le niveau de
maturit/obsolescence des architectures
opres (date de fin de maintenance des
systmes et progiciels, versions des
langages, ...) sont-ils pris en compte ?
17. Le dimensionnement des architectures
actuelles permet-il de rpondre aux
engagements de services ?
18. Les infrastructures sont-ils
surdimensionnes en regard des besoins actuels
et prvisibles ?
19. Les systmes de disques ou de stockage
dinformation (SAN, ) prmunissent-ils contre
des pertes dinformation ?
20. Les sauvegardes, leur primtre, et les
temps de restauration sont-ils adapts et en
ligne avec les engagements de la production ?
21. les accs rseaux et les architectures sontils doubls ?

Exigences lgales
22. Lentreprise dispose-t-elle de tous les droits
daccs relatifs chaque logiciel ?
23. Les prescriptions et les exigences lgales
concernant les logiciels sont-elles respectes ?

24. Ces exigences sont-elles documentes au

niveau de lorganisation ?
25. Des actions de sensibilisation et de
formation sur les risques qui peuvent tre
encourues par lorganisation- sont-elles
organises au profit du personnel de
lorganisation audite ?
24. La loi sur la fraude informatique est-elle
connue ? Des mesures prventives ont-elles t
prises ?
25. La loi sur la proprit intellectuelle / logiciel
pirate est-elle connue ? Est-elle
rigoureusement respecte ?
Maintenance
27. Existe-t-il des normes pour la maintenance ?
28. Ces normes sont-elles appliques et
respectes ?
29. Ces normes sont-elles examines et
approuves ?
30. Existe-t-il des procdures qui assurent
lindpendance de la maintenance de chaque
programme ?
31. Le changement des programmes est-il
approuv ?
32. Les changement initis par la DSI est-il
communiqu et approuv par les utilisateurs ?
33. Les tests dacceptation du systme et les
tests sur les donnes sont-ils documents ?
Scurit
La politique de scurit informatique (physique et logique) est-elle formalise
au
niveau de l'organisation ?
La structure en charge de l'informatique et des systmes d'information a-telle labor un document officiel ou charte sur la scurit qui dcline cette
politique en actions et procdures concrtes ?
Est-il dsign, pour des raisons d'efficacit au niveau de l'organisation
audite, un correspondant de la scurit informatique qui a une vision globale
(aspects physiques et aspects logiques) de l'organisation ainsi que de
l'environnement informatique, afin :
- de pouvoir dtecter des incohrences notoires, et donc de proposer si
ncessaire des volutions,
-de veiller, en relation avec les autres administrateurs l'application des
rgles,
-pouvoir coordonner les actions de riposte en cas d'incident,

 Cette charte ou document officiel sur la scurit informatique a-t-elle t

entrine
par l'ensemble des instances de l'organisation audite ?
Cette charte ou document officiel sur la scurit est-elle diffuse
tous les utilisateurs de l'informatique ? est-elle respecte et applique
?
Des sances de formation et/ou de sensibilisation sont-elles organises
dans ce cadre ?
Cette charte prvoit-elle des mesures de sanctions l'gard des
personnes qui l'enfreignent ?
Scurit physique et accs aux locaux informatiques
Est-il procd une identification de l'ensemble des risques et menaces en
relation avec la scurit physique des donnes et quipements informatiques
(accs aux locaux d'exploitation, protection physique des quipements,
mesures de scurit contre les intempries, incendies.) ?
Cette liste des risques et menaces est-elle connue par tous les
utilisateurs de l'informatique et des systmes d'information ?
Pour faire face, a-t-il t tabli une matrice des solutions et actions
entreprendre pour contrer chacun des risques identifis (Plan de reprise en
cas d'incident)?
Y a-t-il des risques qui ne sont pas couverts ?
Si la rponse cette question est positive, tablissez la liste de ces
risques non couverts et argumenter pourquoi il n'a pas t identifis
pour eux des solutions et/ou actions entreprendre pour les contrer ou
les rduire ?

Axe 4 : Donnes
Les donnes, surtout lorsquelles sont suffisamment importantes pour susciter un
audit, sont parmi les actifs les plus prcieux dune organisation. La qualit des
donnes est gnralement indispensable au bon droulement des processus. Elle
porte souvent un enjeu financier (rfrences fournisseurs, lments de calcul de
la paie, etc.), parfois vital (sagissant par exemple des dossiers mdicaux
informatiss).

La qualit de la donne est duale : elle est interne , sagissant par exemple de
lexactitude de la donne, mais aussi externe , notamment les mtadonnes
sy rapportant. En effet, la catgorisation dune donne (identification de
donnes comme tant sensibles, telle des coordonnes bancaires ou des
critures comptables, des donnes personnelles, ou relevant du secret industriel,
mdical, de la dfense nationale, etc. devant ce titre tre protges), qui
conditionne le rgime qui lui est applicable (droits daccs et de modification),
peut tre aussi importante que la donne elle-mme.

De mme, la qualit des libells en plein texte ou le renseignement des mots cl

associs aux documents peuvent tre indispensables au bon fonctionnement des
fonctions de tri et des algorithmes de recherche automatique.

De nombreux acteurs et processus produisent de la donne, et de nombreux

acteurs et processus peuvent tre impliqus dans la cration, la mise jour et la
destruction dune donne particulire ou de ses mtadonnes. Cest pourquoi,
toute donne devrait avoir un propritaire explicitement dsign dans
lorganisation, responsable sinon de sa cration, de son entretien, de sa
suppression, de sa protection, de son intgrit, de sa disponibilit et de sa
localisation, du moins de la dfinition des droits et rgles applicables la totalit
de ces dimensions et de la vrification de leur attribution et de leur respect.
Par ailleurs, pour le fonctionnement dune organisation, la non duplication (par
exemple dans des fichiers bureautiques locaux) est un enjeu au moins aussi
important que la qualit interne ou externe dune donne. En effet, une donne
prime conserve localement peut tre utilise en lieu et place de la donne
actualise conserve dans la base de donnes adquate, et il est trs probable
que la copie ne bnficiera pas des rgles de gestion applicables loriginale.

Au-del de la vrification ponctuelle de la qualit interne dun ensemble de

donnes, lauditeur doit donc examiner leur qualit externe. Il devra sintresser
aux processus aboutissant une opration sur les donnes, aux responsabilits
relatives la dfinition des rgles applicables en la matire et au respect de leur
mise en uvre.

Description
L'accs aux locaux abritant le matriel informatique (serveurs et autres) est-il
limit
aux seuls administrateurs du systme informatique ?
La procdure de scurit logique des donnes est-elle formalise,
connue et applique par tous les acteurs concerns de l'organisation ?
Dcrire succinctement les grandes lignes de cette procdure ?
Cette procdure de scurit logique des donnes permet-elle de couvrir les
trois objectifs suivants
-L'intgrit des donnes,
-La confidentialit, consistant assurer que seules les
personnes autorises ont accs aux ressources,
-La disponibilit, permettant de maintenir le bon
fonctionnement du systme informatique
Si cette procdure n'est pas formalise, essayer de dgager au vu des
entretiens avec le responsables informatique les modalits de gestion de la
scurit des donnes informatiques.
Est-il tabli une liste des risques et menaces relatives la gestion des
donnes, encourus par l'organisation ?
Est-il tabli une matrice des solutions et actions entreprendre pour
contrer ces risques et menaces ?
Les procdures dautorisation aux ressources dont Internet sont-elles
limites et contrles ?
Des sessions de formation et de sensibilisation sont-elles organises au profit
personnel dans ce cadre ?
Comment est gre la protection des donnes ?
Est-il formalise une procdure dIdentification / Authentification pour
protger les donnes contre des accs frauduleux ou malveillants aux
ordinateurs de lorganisation
Est-il formalise une procdure de Sauvegarde / Restauration pour
conserver les donnes sensibles en scurit afin de les restaurer en
cas de sinistre (erreur humaine, incendie, virus, etc.) procdure de
contrle des accs, procdures de sauvegarde et de restauration des
donnes ?
Le systme de stockage et de sauvegarde des donnes est-il volutif ?

Politique de sauvegarde

Equipment (ordinateurs et accessoires)

Existe-t-il un entretien prventif rgulier?
Existe-t-il un accord formel entrele fabricant pour
l'installation de la sauvegarde ?
Temps d'ordinateur est-il suffisant pour le back-up?
Test du back-up est-il effectu rgulirement ?
Fournisseurs extrieurs (non continuation /
catastrophe)
(Par exemple, les fournisseurs d'quipements, temps

OUI

NON

N/A

d'ordinateur, logiciel)
Une documentation adquate et scurise / back-up
des donnes et des programmes
Les copies de sauvegarde et la documentation du
systme sont-elles conserves dans un endroit sr?
le transport de fichiers est-il sous protection physique
adequate.
les fichiers de sauvegarde sont-ils tests
priodiquement
Au moins trois gnrations de fichiers de bandes
importantes sont-elles retenues?
Des copies de toutes les transactions de mise jour
sont-elles gardes ?

Description

Oui

Non

N/A