Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Rapport Si

    Hochgeladen von

    med
    37 Ansichten10 Seiten

    Originaltitel

    rapport si.docx

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    DOCX, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    © All Rights Reserved
    Als DOCX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    37 Ansichten10 Seiten

    Rapport Si

    Hochgeladen von

    med

    Copyright:

    © All Rights Reserved
    Als DOCX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 10

    MASTER Conseil et Audit des Organisations

    Module : Conseil et Audit des systèmes d’informations

    Sujet : Audit informatique

    Préparé par :

    ITAHRIOUAN SAAD

    OUALHAJ MOHAMMED

    MARINI IMAD

    TALEA HAMZA
    I. Année Universitaire : 2019 – 2020
    Introduction :

    Le parc informatique est un atout au succès des activités d’une entreprise. Il faut qu’il soit constamment
    opérationnel. Mais cette infrastructure complexe qui réunit des équipements, des logiciels et de nombreux
    matériels connectés entre eux est souvent sujette à divers problèmes techniques. Pour mieux faire face à ces  
    soucis et surtout pour les anticiper, l’établissement d’un audit informatique est recommandé.

    II. Définition de l’audit informatique

    - L’audit informatique (aussi appelé Audit technologique) consiste à une intervention réalisée par une personne
    indépendante et extérieure au service audité, qui permet d’analyser tout ou une partie d’une organisation
    informatique, d’établir un constat des points forts et des points faibles et dégager ainsi les recommandations
    d’amélioration. Autrement dit, L'audit informatique peut aussi être défini l'évaluation des risques des activités
    informatiques, dans le but d'apporter une diminution de ceux-ci et d'améliorer la maîtrise des systèmes
    d'information.
    - Il permet de s’assurer que les activités informatiques d’une entreprise se déroulent correctement quant aux
    règles et aux usages concernant les bonnes pratiques.
    - L'audit informatique a pour objectif d’identifier et d’évaluer les risques associés aux activités informatiques
    d'une entreprise ou d'une administration.

    III. Les types d’audit informatique


    frm itS
    jlD
    p
    q
    ti
    a d
    u
    AIe
    so
    é
    n
    c
    g

    - L’audit de données : est une méthode permettant de faire une analyse complète des informations maintenues
    dans une ou plusieurs bases de données. L’objectif d’une telle analyse est d’obtenir une  vision claire de la
    qualité des données présentes en bases.

    - Un audit de sécurité informatique : Un audit de sécurité informatique est une démarche qui permet de
    connaître le niveau de sécurité global de son système d’information

    - Audit de la DSI : Une méthodologie rigoureuse et un cadre d’analyse adapté au contexte ont permis un audit
    objectif de l’efficacité de la fonction informatique en place et de sa qualité de service.

    - L'audit des projets informatiques : L'audit des projets informatiques est un audit dont le but est de s'assurer
    qu'il se déroule normalement et que l'enchaînement des opérations se fait de manière logique et efficace de
    façon qu'on ait de fortes chances d'arriver à la fin de la phase de développement à une application qui sera
    performante et opérationnelle.

    IV. Définition de système informatique au sien de l’E/se :

    • Le système informatique est le sous-système du système d’information, il est constitué de deux


    entités: le matériel et le logiciel.
    • L’objectif d’un système informatique est d’automatiser le traitement de l’information par
    des systèmes embarqués, des ordinateurs, des robots, des automates, etc.

    V. La fonction informatique au sien de l’E/se :

    Le schéma ci-dessous illustre l’importance de la fonction informatique dans la structure organisationnelle


    d’une grande entreprise disposant d’un système informatique sophistiqué. La direction informatique est
    attachée à la direction générale exactement comme les autres directions, ceci implique que les dirigeants
    s’appuient sur cette fonction afin de mieux réussir leurs missions. Ceci peut ne pas être le cas pour
    d’autres entreprises de petite taille, mais avec la complexité de l’environnement de l’entreprise la fonction
    informatique requiert une attention particulière, une prise de connaissance de l’informatique dans
    l’entreprise devient incontournable. La maturité de l’organisation informatique est un aspect
    organisationnel, fonctionnel et technologique fortement pris en considération par les auditeurs et les
    cabinets de conseil ainsi que par les experts comptables. La dimension organisationnelle de cette maturité
    dépend de la relation qui existe entre l’informatique et ses utilisateurs, il s’agit d’un «contrat de services»
    d’une part, et de la reconnaissance du rôle des directions des systèmes d’informatiques d’autre part. La
    dimension fonctionnelle et technologique représente le degré d’intégration et d’ouverture des systèmes
    d’information, ceci dépend de l’utilisation des nouvelles technologies par les partenaires.

    Figure 1 : Les principales fonctions d’une direction informatique


    VI. Les objectifs d’audit de la fonction informatique

     Vérifier le rôle des directions fonctionnelles et opérationnelles dans le pilotage informatique et


    notamment l'existence d'un comité de pilotage de l'informatique,
     Contrôler la mise en œuvre de politiques, de normes et de procédures spécifiques à la fonction,
     Contrôler la définition des responsabilités respectives de la fonction informatique et des unités
    utilisatrices concernant les traitements, la maintenance, la sécurité, les investissements, les
    développements.

    VII. La Démarche d’audit de la fonction informatique :

    Une mission d’audit informatique se prépare. Il est pour cela conseillé d’effectuer au préalable un pré-
    diagnostic afin de préciser les questions que cet audit va traiter. Cela se traduit par l’établissement d’une
    lettre de mission détaillant les principaux points à auditer.

    Pour mener à bien l’audit informatique il est recommandé de suivre cinq étapes suivantes :

    1) l’établissement de la lettre de mission. Ce document est rédigé et signé par le demandeur d’audit
    et permet de mandater l’auditeur. Il sert à identifier la liste des questions que se pose le
    demandeur d’audit. Très souvent l’auditeur participe à sa rédaction.
    2) la planification de la mission permet de définir la démarche détaillée qui sera suivie. Elle va se
    traduire par un plan d’audit ou une proposition commerciale. Ce document est rédigé par
    l’auditeur et il est soumis à la validation du demandeur d’audit,
    3) la collecte des faits, la réalisation de tests, … Dans la plupart des audits c’est une partie importante
    du travail effectué par les auditeurs. Il est important d’arriver à dégager un certain nombre de faits
    indiscutables,
    4) les entretiens avec les audités permettent de compléter les faits collectés grâce à la prise en
    compte des informations détenues par les opérationnels. Cependant, souvent ceux-ci font plutôt
    part de leurs opinions plus que d’apporter les faits recherchés,
    5) la rédaction du rapport d’audit est un long travail qui permet de mettre en avant des constatations
    faites par l’auditeur et les recommandations qu’il propose,

    Il peut arriver qu’à la suite de la mission d’audit il soit demandé à l’auditeur d’établir le plan d’action et
    éventuellement de mettre en place un suivi des recommandations.

    VIII. Les référentiels d'audit informatique :

    Il existe différents référentiels comme :

     CobiT : Control Objectives for Information and related Technology. C'est le principal référentiel
    des auditeurs informatiques. un Framework pour le développement, l’implémentation, la supervision
    et l’amélioration des pratiques de gouvernance et d’administration des systèmes d’information.

    De par son utilisation, COBIT permet aux SI :

     de s’aligner sur le métier de l’entreprise

     d’apporter un plus aux métiers

     de gérer au mieux ses ressources

     de gérer les risques de façon efficace

     Norme ISA 401 :

    -Norme ISA 401 traite de l’audit réalisé dans un environnement informatique.


    -L’absence ou l’insuffisance de séparation des fonctions
    -L’absence de documentation des applications et aux erreurs dans le développement
    -La maintenance des applications
    -La possibilité d’accès non autorisés induits par l’utilisation d’un ordinateur
    la directive 1001 :
    Préconise la mise en place d’un certain nombre de mesures de sécurité telles que :

    - La protection de l’ordinateur et des supports de stockage contre les risques de vol ou d’accès non
    autorisés

    - La protection des données et programmes contre les risques d’altération ou d’utilisation de logiciels
    sans licence

    - La continuité des opérations.

    La directive 1002  vise :

    - A assurer l’intégrité des informations produite et l’absence d’infection de l’entreprise par des virus.

    - La mise en place de mots de passes pour l’accès aux logiciels d’application.

    - La mise en place de verrouillages du terminal en cas d’inactivité au-delà d’un certain temps.

    - La tenue d’un journal de suivi des transactions.

    - Et un pare-feu au cas où l’entreprise est connectée à internet .

     Risk IT : RISK IT fait partie des risques informatiques, en particulier le risque associé à :

    -L'utilisation,

    -La propriété,

    -L'exploitation,

    -La participation,

    -L'influence et L'adoption de l'informatique au sein d'une entreprise.


    Il s'agit d’une démarche liée à l'informatique susceptible d'avoir un impact sur l'entreprise. Cela peut se
    produire à la fois avec une fréquence et une amplitude incertaine, et cela crée des défis pour atteindre les buts
    et objectifs stratégiques.

    RISK IT dans l’entreprise est une composante essentielle de l'administration responsable du système
    d’informations.
    En raison de l'importance de l'informatique pour l'activité globale, le risque informatique doit être traité
    comme les autres risques clés dans l’entreprise.

    Les cadres informatiques des risques expliquent les risques informatiques et permet aux utilisateurs de :

     Intégrer la gestion des risques informatiques au sein de l’entreprise.

     Comprendre comment gérer ces risques informatiques et donner des recommandations.

    IX. Etude de cas :

     La société Siban a fait appel à un cabinet d’audit informatique dont l’objectif de vérifier et d’auditer la
    fonction informatique au sien de son organisation, durant la première étape de la Compréhension de
    l’environnement informatique, l’auditeur informatique a dégagé les constats suivants :

     M. othman le directeur informatique de la société Siban, depuis 5 ans a quitté la société sans assurer
    sa succession M. mohamed, directeur financier, a repris la fonction de directeur informatique en
    attendant l’embauche d’un spécialiste, mais ne contrôle pas encore tous les processus

     Le schéma directeur informatique date de 5 ans et le plan d’évolution n’a pas été mis à jour alors que
    l’activité de la société est en pleine évolution.
    Le directeur informatique est parti sans laisser ses documents de travail et le P-DG ne s’est jamais
    impliqué dans ses travaux.

     L’ancien directeur informatique M. Othman est le seul à s’occuper de tous les aspects informatiques
    de la société Le P-DG, M. Ayoub, ne supervise pas son travail par manque de connaissance technique.

     La maintenance et le développement de l’ensemble des logiciels de la société Siban sont externalisés


    chez le prestataire Indigo. Cette société est propriétaire des programmes sources des applications
    développées.

     Solution :

    - Les risques détectés :


    - Risque de perte du contrôle de certains processus.

    - Risque de perte d’informations connues de l’ancien directeur informatique.

    - Risque de perte de cohérence dans l’évolution du système d’information si le plan d’évolution n’est
    pas tenu à jour.

    - Le schéma directeur, obsolète risque de ne plus être en adéquation avec les besoins de la société.

    - Trop de fonctions assurées par une même personne.


    Pas de supervision extérieure.

    - Dépendance trop importante vis-à-vis de la société d’externalisation. 


    Difficultés pour changer de prestataire en cas de mécontentement sur les prestations fournies ou de
    faillite du prestataire.

    - Recommandation :

    - Effectuer un état de l’existant, identifier l’ensemble des procédures existantes ou à mettre en place.

    - Mener une réflexion sur une évolution cohérente du système d’information.

    - Créer un nouveau schéma directeur avec une architecture informatique cible.

    - Définir le plan d’évolution pour les exercices à venir.

    - Affecter une ressource à la fonction informatique ou externalisation de la fonction développement


    chez un prestataire. (Résolution du risque= Trop de fonctions assurées par une même personne).

    - S’assurer de la fiabilité d’Indigo.

    - Etudier des solutions permettant d’assurer la continuité du système d’information en cas de


    défaillance d'Indigo.

    - Une matrice récapitule l’étude :

    Constats Risque détecté Recommandation

    Stratégie élaborée par le directeur -perte du contrôle de Effectuer un état de


    les entités informatique a quitté la certains processus. l’existant, identifier
    opérationnelles société sans assurer -Risque de perte l’ensemble des
    sa succession. d’informations connues procédures existantes
    de l’ancien directeur ou à mettre en place.
    informatique.

    Sensibilisation de la  le plan d’évolution n’a -perte de cohérence -Mener une réflexion sur
    direction pas été mis à jour alors dans l’évolution du une évolution cohérente
    que l’activité de la système d’information  du système
    société est en pleine d’information.
    évolution. -risque de ne plus être -Créer un nouveau
    en adéquation avec les schéma directeur avec
    besoins de la société. une architecture
    informatique cible.
    Définir le plan
    d’évolution pour les
    exercices à venir.

    Organisation Le directeur Trop de fonctions Affecter une ressource à


    informatique informatique est seul à assurées par une la fonction informatique
    Séparation des tâches s’occuper de tous les même personne. ou externalisation de la
    aspects informatiques Pas de supervision fonction développement
    de la société extérieure. chez un prestataire.

    Externalisation  La maintenance et le -Dépendance trop -S’assurer de la fiabilité


    développement de importante vis-à-vis de de Indigo.
    l’ensemble des la société -Etudier des solutions
    logiciels de Siban sont d’externalisation.  permettant d’assurer la
    externalisés chez le continuité du système
    prestataire Indigo. d’information en cas de
    défaillance d'Indigo

     Conclusion
    Pour conclure on peut dire que l'audit de la fonction informatique répond aux
    préoccupations de la direction générale ou de la direction informatique concernant
    l'organisation de la fonction informatique, son pilotage, son positionnement dans la
    structure et ses relations avec les utilisateurs.

    La bibliographie :
     L'audit informatique au service du contrôle interne Compte-rendu de la Rencontre
    Autour d’un verre du 11 octobre 2010; Conférence de Gina Gullà-Menez rapportée
    par Martine Otter.

     Livre blanc "Sécurité Financière et Système d'Information" - Jean-Yves Galley,


    Pierre Bernassau

     Information Technology Audits - Lynford Graham, Xenia Ley Parker– 2007 – ISACA

     Prise en compte de l’environnement informatique et incidence sur la démarche


    d’audit , Collection guide d’application; édition : Avril 2003;

    Das könnte Ihnen auch gefallen