Audit des systèmes informatisés.

[pic 1]

AUDIT DES SYSTEMES INFORMATISES

PROGRAMME

Chapitre I  -           L’AUDIT INFORMATIQUE

Chapitre II  -           L’AUDIT DES APPLICATIONS

Chapitre III  -          LES TECHNIQUES DE L’AUDIT INFORMATIQUE

Chapitre IV -          LA CONDUITE DE LA MISSION

BIBLIOGRAPHIE

1 – HUGUES ANGOT ; Audit comptable, Audit Informatique

2 – M. THORIN ; L’Audit informatique ; Edité par Hermès-Lavoisier

3 – James E. HUNTON ; Concepts de base d’Audit de Système Informatique  

Chapitre I  -   L’AUDIT INFORMATIQUE

La fonction d’audit informatique a pris naissance dans les grands cabinets d’audit internationaux. Issue de l’interrogation des auditeurs sur la fiabilité des traitements informatiques dans le domaine comptable, cette nouvelle fonction a maintenant élargi son champ d’investigation à l’ensemble des activités informatiques.

La mission d’un auditeur informatique s’articule autour de deux axes :

• la sécurité est-elle assurée ?
• la fiabilité des résultats est-elle garantie ?

Les réponses à ces questions n’étant évidemment pas tranchées dans l’absolu, mais dans le respect des contraintes de coût et de délai.

On distingue l’audit interne et l’audit externe. Le premier, assuré par les membres de l’entreprise ou du groupe, a un rôle permanent de contrôle. Le second, effectué par un cabinet extérieur, est recommandé dans certaines circonstances (fusion, réorganisation…) ou lorsque l’entreprise n’a pas la taille suffisante pour avoir son propre service d’audit.

Mais, qu’il soit interne ou externe, l’audit poursuit les mêmes buts et à recours aux mêmes techniques que nous allons maintenant décrire.

1. LES DIFFERENTS STADES DE L’ETUDE

1. L’organisation des services

Le but est de définir les tâches de chacun. Les points cruciaux sont :

• séparation de la fonction d’étude et de celle d’exploitation ;
• indépendance des services informatiques par rapport aux utilisateurs ;
• lien avec la direction générale.

1. L’accès aux fichiers

• L’accès physique

Le contrôle est plus aisé car cet accès suppose des manipulations dans la bibliothèque des fichiers. Néanmoins, il est bon que certains fichiers sensibles soient mis dans des coffres et que les titulaires des clés soient soigneusement recensés.

• L’accès par les terminaux

La méthode traditionnelle du mot de passe est peu apte à protéger les fichiers confidentiels. Le terminal à badge personnalisé, bien que plus coûteux, est plus satisfaisant. Néanmoins, ces méthodes utiles pour les usagers courants, peuvent être inefficaces vis-à-vis du personnel du centre informatique. Sans d’ailleurs que soit mise en cause la conscience professionnelle des informaticiens, mais tout simplement parce que des raisons de commodité occultent souvent les impératifs de sécurité. Une modification dans un programme qui se ‘’plante’’, une consultation de fichier pour un usager dont le terminal est en panne, des mots de passe affichés au mur…. Toutes ces anomalies, et bien d’autres doivent être relevées par l’auditeur. Mais celui-ci doit proposer des remèdes réalistes, acceptables pour les usagers sinon son rapport risque d’être identique lors de sa prochaine visite….

1. Le suivi de l’exploitation

La vérification des performances doit être faite suivant les normes généralement admises dans les organisations comparables. Il sera porté une attention toute particulière aux délais d’obtention des résultats. Le point de vue étant, ici, celui de la mise à disposition du document auprès du destinataire, et non, celui de la sortie du centre.

1. la sécurité physique du centre

L’auditeur doit évaluer les procédures prévues en cas d’accident majeur :

• indisponibilité de l’ordinateur, du réseau de communication ;
• panne électrique ; panne du conditionneur d’air ;
• arrêt de livraison de certains fournisseurs (en saisie des données, par exemple) ;
• destruction ou vol de fichiers.

Les solutions doivent être analysées en fonction de leur coût. Il est peut-être inutile de transformer le centre de traitement en place forte, alors qu’une sécurité incendie correcte doublée d’une copie des principaux fichiers dans un lieu distinct assurent une bonne protection, à moindre coût.

Ne pas oublier le service des études dont les documentations, indispensables à la maintenance des applications, sur support papier, sont autant, si ce n’est plus, vulnérable que le centre lui-même.

L’étude des contrats d’assurance doit être effectuée dans la même optique.

1. Les procédures de maintenance des applications

Une application, une fois réalisée, subit des modifications au rythme de l’évolution des besoins des utilisateurs. Maintenir une application est donc un impératif pour adapter l’outil informatique à la réalité de l’entreprise.

Il faut à ce sujet souligner que l’activité de maintenance des logiciels est de plus en plus importante, la plupart des entreprises ayant dépassé le stade de la première information.

Dans ce domaine, le respect de procédures strictes doit être vérifié :

• demande écrite de modifications par le service utilisateur,
• approbation et calendrier de réalisation par le service des études,
• tests et validation par le responsable du projet,
• passage en exploitation

Le dossier d’application devra conserver trace de toutes ces étapes, permettant à l’auditeur d’en valider le cheminement.

1. L’évaluation du contrôle des saisies

Le contrôle de validité des informations, lors des saisies, est en général prévu (zone numérique, zone alphabétique, utilisation de tables) ; mais il est plus rare de rencontrer un contrôle de vraisemblance (le prix facturé, la date de naissance, sont-ils vraisemblables par rapport à un minimum et/ou un maximum fixé ?). De même les clés de contrôle sont trop rarement utilisées.

...