2018/2019

Rapport
Audit des systèmes d’informations

Travail préparé
par :

 BGHIEL ABDELJALIL
Taha
 BONJOUM Maha
 BOUCHIBTI Faiza
 BOURZIQ Ismail
 TAKKI Khalil
Sous l’encadrement de Monsieur
Mohammed Achraf Nafzaoui

Audit
0
du système d’information : Les normes
1
 Sommaire

Remerciement……………………………………………………………..…..3

Abréviations……………………………………………………………………4
Introduction………………………………………………………………….…5

Le système d’information …………………………………………………...7

Le système d’information : Définition ………………………………….…..7

Ressources en système d’informations ………………………………………..8

Audit d’un système d’informations ……………………………………..….8

Les objectifs de l’audit de système d’information ……………………………….9

La norme iso 19011: Audit du système de management ………………...10

La norme iso 27000 : Management de sécurité d’information …….……11

Système de management de la sécurité de l’information ou SMSI ………………11

Objectifs de la norme …………………………………………………………12

Les méthodes d’analyse des risques ……………………………………………12

Les enjeux de la sécurité des S.I…………………………………………….…13

La famille iso 27000 en résumé ……………………………………………….14

La norme iso 31000 : Management du risque ………………………….…15

Les objectifs d’ISO 31000 …………………………………………………….16

Domaine d'application ……………………………………………………….16

Conclusion…………………………………………………………………….18

Webographie………………………………………………………………....19

2
 Remerciement

Nous tenons à exprimer notre

reconnaissance, notre plus grand respect et nos
vifs remerciements à Monsieur Mohamed
Achraf NAFZAOUI, notre cher professeur
encadrant de L’audit des systèmes
d’informations, d’avoir assuré l’encadrement de
ce projet.

Nous le remercions pour l’opportunité qui

nous a donné et qui a fait paraitre d’autres
compétences et qualités qui ont été ignorées par
nous-mêmes. Au nom de toute la promotion 2019
notre groupe vous remercie pour votre suivi
quotidien, votre excellente orientation, et vos
conseils judicieux que vous n’avez jamais cessé
de nous prodiguer tout au long du déroulement
du projet.

3
 Abréviations

R.S.I : Responsables des Systèmes d'Information

SI : Système d’Information

ISACA : Information System Audit and Control Association

ISO : International Organization for Standardization

ERP : Enterprise Resource Planning

PDCA : Plan, Do, Check, Act

SMSI : Système de Management de la Sécurité d’Information

4
 Introduction

De nos jours le fait d’assurer un fonctionnement continu et la prévention d'un

Système d'Information n'est plus considéré comme un simple exploit mais c'est une
nécessité. Parmi toutes les tâches confiées aux Responsables des Systèmes
d'Information (R.S.I) dans les organisations privées ou publiques, celle qui consiste à
bâtir une politique cohérente prenant en compte les aspects humains, organisationnels
et juridiques est certainement la plus difficile. Une telle politique doit se baser sur une
norme bien spécifique. En effet, il existe de nombreuses normes et méthodes sur
lesquelles se basent les missions d'audit des systèmes informatiques.

Le développement et la promulgation de normes d’audit des SI sont des pierres

angulaires de la contribution de l’ISACA à la communauté des auditeurs. Les normes
d’audit et d’assurance des systèmes d’information (SI) définissent les obligations en
matière d’audit et de rapports et informent : Les professionnels de l’audit et de
l’assurance des SI sur le niveau minimum de performances requis pour satisfaire aux
responsabilités stipulées dans le Code d’éthique professionnelle de l’ISACA .Ainsi que
les dirigeants d’entreprise et les autres parties intéressées sur les attentes de la
profession concernant le travail des praticiens

Une norme de type organisationnelle ou technique a toujours un objet très vaste

et s'appuie généralement sur des concepts ou des notions générales. Le champ
d'application de chaque concept doit alors être précisé, pour que la norme puisse être
appliquée efficacement.

L’ISO en l’occurrence établit des documents qui définissent des exigences, des
spécifications, des lignes directrices ou des caractéristiques à utiliser
systématiquement pour assurer l'aptitude à l'emploi des matériaux, produits,
processus et services. En effet L’ISO (Organisation internationale de normalisation)
est une organisation internationale non gouvernementale, indépendante, dont les 162
membres sont les organismes nationaux de normalisation. Par ses membres,
l’Organisation réunit des experts pour élaborer des Normes internationales
d’application volontaire, fondées sur le consensus et pertinentes pour le marché.

5
Ces Normes internationales sont des rouages indispensables. Elles établissent des
spécifications de premier ordre pour les produits, les services et les systèmes dans
une optique de qualité, de sécurité et d’efficacité.

6
 Le systeme d’information
1) Le système d’information

 Ensemble structuré de ressources humaines, matérielles, logicielles, de données et

de réseaux qui recueille, transforme et diffuse de l’information dans une entreprise

Très concrètement le périmètre du terme Système d'Information peut être très différent
d'une organisation à une autre et peut recouvrir selon les cas tout ou partie des
éléments suivants :

- Bases de données de l'entreprise,

- Progiciel de gestion intégré (ERP),

- Outil de gestion de la relation client (Customer Relationship Management),

- Outil de gestion de la chaîne logistique

- Applications métiers,

- Infrastructure réseau,

- Serveurs de données et systèmes de stockage,

- Serveurs d'application,

- Dispositifs de sécurité.

7
 2) Ressources en système d’informations :

L’Audit d’un systeme d’informations :

Vue que le système d’information d’une entreprise tend de plus en plus à gérer
l’ensemble des processus (administratifs, processus de gestion, processus
commerciaux, marketing ou encore de processus métiers), la performance de ce
système d’information influe largement la capacité de l’entreprise à atteindre ses
objectifs.

Cependant, le système d’information n’est pas toujours parfaitement maîtrisé par

l’entreprise en question en interne. Qu’il s’agisse d’une mauvaise connaissance des
ressources informatiques utilisées, de budgets insuffisants, de technologies obsolètes
ou inadaptées, ou encore, de non respects législatifs (licences, protections des
données..) la liste des manquements pourraient être longue.

Il importe donc mettre en place une rationalisation de ce système d’information, à

travers différentes normes et procédures, ou encore, avec la réalisation d’un audit de
système d’information.

Un audit informatique, audit des systèmes d'information, se fait selon un schéma en 4

phases :

8
 1. Définition précise du plan de travail, récolte d'information, recherche et
schématisation des processus métiers et/ou informatiques à apprécier, définition des
rôles et responsabilités, analyse des forces - faiblesses.

2. Analyse des processus importants, définition des risques, évaluation

préliminaire des risques, de l'efficacité des contrôles.

3. Tests des contrôles.

4. Tests de matérialité.

Un audit informatique, audit des systèmes d'information ne concerne pas

nécessairement la sécurité. En effet, il peut servir à évaluer des aspects stratégiques
ou de qualité des systèmes d'information. Par exemple, répondre à la question
suivante : Est-ce que les systèmes d'information de l'entreprise répondent
efficacement aux besoins des services métiers ? La démarche est très similaire, en
choisissant et évaluant les processus informatiques proposés par le CobiT qui
répondent le mieux à la demande et aux objectifs du client.

1) Les objectifs de l’audit de système d’information

Ils peuvent être multiples :

 évaluer l’efficacité, la performance, la pérennité et la sécurité de l’information,

en comparaison avec les objectifs stratégique de l’entreprise
 effectuer des recommandations sur les projets informatiques en cours
 effectuer des recommandations sur l’évolution du système d’information

Ainsi, un audit d’information se concentre généralement sur un ou plusieurs des points

suivants :

 réduction des coûts non justifiés lié au système d’information

 conformité du système d’information avec les obligations légales
 optimisation du traitement des processus métiers de l’entreprise par le système
d’information
 optimisation de l’interopérabilité et de l’accessibilité du système d’information
 optimisation de la sécurité du système d’information
 efficience et pérennité du système d’information

9
La norme iso 19011: Audit du systeme
de management

La norme ISO 19011 fournit les lignes directrices sur l’audit interne ou externe d’un
système de management et l’évaluation des compétences des équipes d’audit.

Cette norme qui fournit les lignes directrices sur l’audit de systèmes de management,
elle comprend les principes de l’audit, le management d’un programme d’audit et la
réalisation d’audits de systèmes de management. Elle donne également des lignes
directrices sur l’évaluation de la compétence des personnes impliquées dans le
processus d’audit, y compris le ou la responsable du management du programme
d’audit, les auditeurs et les équipes d’audit.

Cette norme est applicable à tous les organismes qui doivent réaliser des audits
internes ou externes de systèmes de management ou manager un programme d’audit.

 le domaine d’application qui se limitait dans la version précédente à l’audit des

systèmes de management de la qualité et de management environnementa l,
concerne cette fois l’audit de tous les systèmes de management quels qu’ils
soient ;
 la relation entre la NF EN ISO 19011 et la NF EN ISO/CEI 17021 est clarifiée ;
 les méthodes d’audit à distance et le concept de risque sont introduits ;
 la confidentialité est ajoutée comme nouveau principe ;
 les Articles 5, 6 et 7 ont été réorganisés ;
 le processus de détermination et d’évaluation des compétences est renforcé ;
 une nouvelle Annexe A présente des exemples illustratifs des connaissances
et aptitudes spécifiques à la discipline.

10
La norme iso 27000 : Management de
securite d’information
La famille de normes ISO 27000 aide les organisations à assurer la sécurité de leurs
informations.

Ces normes vous faciliteront le management de la sécurité des informations,

notamment les données financières, les documents soumis à la propriété intellectuelle,
les informations relatives au personnel ou les données qui vous sont confiées par des
tiers.

1) Système de management de la sécurité de l’information ou

SMSI
S’appuie sur une approche par processus: exemple du PDCA, «Plan, Do, Check, Act» :

1) Phase Plan :
o Définir le champ du SMSI,
o Identifier et évaluer les risques,
o Produire le document (Statement of applicability, SOA) qui énumère les
mesures de sécurité à appliquer ;

11
 2) Phase Do :
o Affecter les ressources nécessaires,
o Rédiger la documentation,
o Former le personnel,
o Appliquer les mesures décidées,
o Identifier les risques résiduels ;
3) Phase Check : audit et revue périodiques du SMSI, qui produisent des constats
et permettent d’imaginer des corrections et des améliorations ;
4) Phase Act : ⋆ prendre les mesures qui permettent de réaliser les corrections et
les améliorations dont l’opportunité a été mise en lumière par la phase Check,
⋆ préparer une nouvelle itération de la phase Plan.

2) Objectifs de la norme

▷ Maintenir et d’améliorer la position de l’organisme qui le met en œuvre du point de

vue:

⋄ De la compétitivité,

⋄ De la profitabilité,

⋄ De la conformité aux lois et aux règlements,

⋄ De l’image de marque.

▷ Protéger les actifs «assets» de l’organisme, définis au sens large comme tout ce
qui compte pour lui.

3) Les méthodes d’analyse des risques

IS 27001 impose une analyse des risques, mais ne propose aucune méthode pour la
réaliser :

⋆ Liberté de choisir une méthode pour le SMSI, à condition que :

⋄ Elle soit documentée ;

⋄ Elle garantisse que les évaluations réalisées avec son aide produisent des
résultats comparables et reproductibles.

12
  Un risque identifié peut être :

⋄ Accepté,

⋄ Transféré à un tiers (assurance, prestataire),

⋄ Réduit à un niveau accepté.

4) Les enjeux de la sécurité des S.I.

• La sécurité a pour objectif de réduire les risques pesant sur le système d’information,
pour limiter leurs impacts sur le fonctionnement et les activités métiers des
organisations…

• La gestion de la sécurité au sein d’un système d’information n’a pas pour objectif de
faire de l’obstruction. Au contraire :

– Elle contribue à la qualité de service que les utilisateurs sont en droit d’attendre

– Elle garantit au personnel le niveau de protection qu’ils sont en droit d’attendre

13
 5) La famille iso 27000 en résumé
 ISO 27001 décrit les processus permettant le management de la sécurité de
l’information (SMSI)
 ISO 27002 présente un catalogue de bonnes pratiques de sécurité
 ISO 27003 décrit les différentes phases initiales à accomplir afin d’aboutir à un
système de Management tel que décrit dans la norme ISO 27001
 ISO 27004 permet de définir les contrôles de fonctionnement du SMSI
 ISO 27005 décrit les processus de la gestion des risques
 ISO 27006 décrit les exigences relatives aux organismes qui auditent et
certifient les SMSI des sociétés.

Les normes de la famille ISO 27000 permettent d’organiser et structurer la démarche

de la gestion de la sécurité des systèmes d’information. Le schéma ci-dessous
propose une représentation de la famille et leur positionnement :

14
La norme iso 31000: Management du
risque
Les pratiques et processus de management en cours dans nombre d'organismes
comportent des éléments de management du risque, et beaucoup d'organismes ont
déjà adopté un processus formalisé de management du risque pour des types
particuliers de risques ou de situations. Dans de tels cas, un organisme peut décider
de réaliser une revue critique de ses pratiques et processus existants à la lumière de
Dans la présente Norme internationale les expressions «management du risque» et
«gérer le risque» sont toutes deux utilisées. De façon générale, le «management du
risque» se réfère à la structure (principe, cadre organisationnel et processus)
permettant de gérer le risque avec efficacité, alors que «gérer le risque» se réfère à
l'application de cette structure aux risques particuliers.
La présente Norme internationale est destinée à répondre aux besoins pour :

a) les personnes responsables de l'élaboration d'une politique de management du

risque au sein de leur organisme,
b) les personnes chargées de s'assurer que ce risque est géré efficacement au
sein de l'organisme dans son ensemble ou dans un domaine, une activité ou un
projet spécifique,
c) les personnes chargées d'évaluer l'efficacité d'un organisme en matière de
management du risque.
d) les rédacteurs de normes, guides, procédures et bonnes pratiques qui, en
totalité ou en partie, déterminent la manière dont le risque doit être géré dans
le contexte spécifique de ces documents.

15
 1) Les objectifs d’ISO 31000

ISO 31000: Cette norme concernant le management du risque vise à :

 d'améliorer la rédaction des rapports financiers,

 d'améliorer la gouvernance,
 d'accroître l'assurance et la confiance des parties prenantes,
 d'établir une base fiable pour la prise de décision et la planification,
 d'améliorer les moyens de maîtrise,
 d'allouer et d'utiliser efficacement les ressources pour le traitement du risque,
 d'améliorer l'efficacité et l'efficience opérationnelles,
 de renforcer les performances en matière de santé et de sécurité, ainsi que de
protection environnementale,
 d'améliorer la prévention des pertes et le management des incidents,
 de minimiser les pertes,
 d'améliorer l'apprentissage organisationnel, et
 d'améliorer la résilience organisationnelle.

2) Domaine d'application

 La présente Norme internationale fournit des principes et des lignes directrices

générales sur le management du risque.
 Elle peut être appliquée par tout public, toute entreprise publique ou privée,
collectivité, toute association, tout groupe ou individu. Par conséquent, la présente
Norme internationale n'est pas spécifique à une industrie ou un secteur donné.
 Pour plus de facilité, les différents utilisateurs de la présente Norme
internationale sont désignés par le terme général d'«organisme».
 La présente Norme internationale peut être appliquée tout au long de la vie d'un
organisme et à une large gamme d'activités, dont les stratégies et les prises de
décisions, les activités opérationnelles, les processus, les fonctions, les projets, les
produits, les services et les actifs.
 Elle peut s'appliquer à tout type de risque, quelle que soit sa nature, que ses
conséquences soient positives ou négatives.

16
 Il est prévu que la présente Norme internationale serve à harmoniser les processus
de management du risque dans les normes existantes et à venir. Elle offre une
approche commune à l'établissement des normes traitant de risques et/ou secteurs
spécifiques, sans toutefois remplacer ces normes.
 Elle n'a pas vocation à servir de base à une certification.

17
 Conclusion

Les systèmes d’informations sont devenues l’une des préoccupations majeures

des entreprises et ce, compte tenu des phénomènes de globalisation et de
libéralisation ainsi que l’émergence d’une nouvelle économie. Ils irriguent tous les
services des entreprises. Ils constituent des leviers stratégiques qui accompagnent
les entreprises dans leur mise à niveau et leur développement.

Cependant, la forte intégration des systèmes d’information dans le processus de

traitement des entreprises cause de nouveaux risques à celles-ci.

L’auditeur, qui est tenu de forger une opinion sur la fiabilité de l’information
comptable et financière issus directement de ces systèmes, se trouve alors confronté
à la complexité et la diversité des systèmes d’information.

Il en résulte que l’auditeur va éprouver de plus en plus de difficultés à forger son

opinion sans une approche approfondie des systèmes d’informations, il est donc
amené à apprécier la fiabilité du fonctionnement du système d’information dans
l’entreprise. Une nouvelle démarche d’audit comptable et financier doit donc être
proposée pour la compréhension et l’évaluation des systèmes d’informations.

Mais cette nouvelle démarche n’est pas sans soulever des problématiques
particulières, notamment en termes de formation et de sensibilisation des auditeurs
du cabinet, de documentation des travaux d’audit. C’est l’ensemble de l’organisation
de la mission de l’auditeur qui doit être repensé.

Heureusement, l’auditeur va pouvoir disposer lui aussi à l’avenir de moyens

performants pour vérifier le fonctionnement des systèmes d’information, en utilisant
les fonctions d’audit intégrées dans des logiciels et en employant des logiciels d’audit
spécialisés.

18
 Webographie

http://www.aud-it.ch/audit%20informatique.html

https://www.ivision.fr/audit-de-systeme-dinformation-4-bonnes-pratiques-de-
pilotage/

https://www.ansi.tn/fr/pages/audit/normes_audit.html

https://m.isaca.org/Knowledge-
Center/Standards/Documents/1201_std_French_1113.pdf

https://www.iso.org/fr/about-us.html

https://normalisation.afnor.org/management-et-services/la-norme-nf-en-iso-
19011-lignes-directrices-pour-laudit-de-systeme-de-management-disponible-
en-francais/

http://p-fb.net/fileadmin/SecuTIC/2015_2016/handout_methodologie_2015_2016.pdf

https://www.fidens.fr/articles/qu-est-ce-que-la-famille-iso-27000-54.html

19