Audit informatique - NGAMY - 2013.docx

Cours d’audit et informatique 2013

Partie 1 : Les outils informatiques

Chapitre 1 : Rappels sur les bases de données

1.1. Définitions

Une base de données est relatives à un sujet ou à un sujet particulier et organisées de manière pouvoir permettre de définir des objets faisant partie du sujet de la base de données.

Un système de gestion de bases de données (SGBD) est un logiciel ou programme informatique qui permet de gérer les bases de données. Ce logiciel permet donc de créer, modifier ou supprimer des informations structurées relatives à un ou plusieurs sujets à partir d’un ordinateur.

Un système de gestion de bases de données relationnel (SGBD-R) est un SGBD dans lequel les relations entre différents objets du sujet sont définis ou peuvent être définis par l’utilisateur.

1.2. Structure des SGBD

En informatique, pour représenter les bases de données, on utilise les propriétés ou notions suivantes :

a) La tableC’est une représentation informatique d’un objet de la BD. Propriétés :

i. Les champs

ii. Le code

Le code permet de repérer chaque enregistrement de manière unique dans la BD.

b) Les occurrencesLa notion d’occurrence fait appel au fait qu’un objet de la base de données n’apparait pas de manière unique dans cette dernière. La notion d’occurrence fait référence au nombre de fois qu’un objet apparaît dans une base de données. Il peut exister plusieurs occurrences de cet objet dans la base de données qui constituent autant d’enregistrement de la table représentant cet objet ;

1 Par Daniel TANGMO NGAMY

Chanteur 1

Code Nom Prénom Date naissance Nom d’artiste

Chanteur 2

Chanteur 3


c) Les relationsLa relation est un moyen de rassembler des informations. La relation lie deux tables ayant une caractéristique commune (champ), afin que chaque fois qu’un enregistrement d’une table est pointé, on puisse se référer à l’enregistrement correspondant dans la table liée.

Une fois la relation « chante » établie, le risque de ne confondre les chanteurs de même nom pour association au morceau est annulé.

d) Formalisme de représentation d’un SGBDGlobalement, pour représenter un SGBD, on utilise des tables.


Chante

Morceau

Code Nom de titre Durée Nom du chanteur

Chanteur 1

Code Nom Prénom Date naissance Nom d’artiste

Morceau

Code titre

Chanteur

Code chanteur Album

Code album

Chante

Comprend


1.3. Les méthodes de connexion aux SGBD

e) L’accès au SGBDL’une des méthodes pouvant être utilisées aujourd’hui par les auditeurs pour l’analyse de la performance des systèmes de gestion de l’entreprise est la connexion aux bases d’information. Cette connexion permet à l’auditeur de disposer d’informations relatives à la gestion de l’entreprise pour alimenter ses propres modèles d’analyse et d’en tirer des résultats conséquents. Les SGBD modernes permettent de tirer des données soit manuellement, soit par un système d’utilisateurs. Aujourd’hui, on fait de nettes distinctions entre les bases d’information (bases de données) et les applications elles-mêmes qui sont en fait des méthodes de traitement qui permettent soit de tirer des informations de la BD, soit de mettre à jour la BD avec les résultats de traitement. L’utilisateur ou le programme accède aux données du SGBD à travers une requête qu’il construit.

Alors, pour accéder aux informations (BD) en entreprise, l’auditeur doit construire une requête.

f) Méthodes d’accès à un SGBD

i. L’application

C’est un programme informatique qui se sert des informations de la BD pour effectuer un ou plusieurs traitements et en tirer les résultats conséquents. L’application se sert de l’outil de requête pour construire une requête en direction de la BD. Un outil de requête est un programme informatique qui permet de construire des requêtes vers une base de données. Les outils de requête les plus connus sont :

Seagate Crystal Report ; Microsoft Query.

ii. La requête

Une requête est une série d’informations élaborée dans un langage que comprend la BD ; c’est la requête qui permet d’extraire des informations de cette dernière. Il existe plusieurs langages (informatiques) de requête sur la BD. Cependant, le langage le plus répandu est le SQL (Structured Query Langage) c'est-à-dire Langage de Requête Structuré.


SGBD

Table requête

RequêteOutil de requête

Application/utilisateur


La requête se sert d’un outil de connexion pour envoyer des instructions à la BD afin que celle-ci puisse les exécuter. Un outil de connexion est un programme informatique qui permet d’envoyer de manière locale ou distante des commandes à une BD pour lui permettre de les exécuter. Chaque SGBD possède son propre outil de connexion. Les méthodes les plus connues pour se connecter à une BD sont :

ODBC (Online Database Connectivity) OLEDB (Object Linking and Embedding Database)

Ainsi, chaque SGBD possède son propre driver (pilote) ODBC ou OLEDB. Par exemple il faut, pour utiliser la BD de SAGE, avoir son pilote OBDC ou OLEDB.

Le SGBD répond à la requête en mettant à la disposition de l’application ou de l’utilisateur une table requête qui ne contient que les informations (réponse à la requête) dont a besoin l’application ou l’utilisateur pour effectuer ses traitements.

iii. Elaboration de requêtes pratique

Un fichier Microsoft Access est disponible. L’étudiant peut l’enregistrer où il veut. Considérons que dans le cas présent, nous l’avons enregistré sur le bureau. Nous travaillons dans le tableur Excel 2010.

Etape 1. Ouvrir un classeur Microsoft Excel vierge.Etape 2. Données > Données externes > Autres sources > Provenance : Microsoft QueryEtape 3. Sélectionner « MS Access database », okEtape 4. Chercher le dossier où le fichier Access est enregistré, ici Users > User > DesktopEtape 5. Sélectionner le fichier « Comptabilité.mdb », ok



Partie 2 : Audit informatique

Chapitre 1. Définitions, objectifs, règles et principe de l’audit

1.1. Définitions

a. Définition de l’auditAuditer, c’est expliciter les finalités puis en déduire les moyens nécessaires pour atteindre ces finalités. En d’autres termes, c’est mesurer l’adéquation entre la finalité et les moyens mis en œuvre pour les atteindre ou plus simplement mesurer la différence entre l’essence et l’existence c'est-à-dire entre ce qui devrait être et ce qui est.

b. Système d’information

i. Définition

La systémique (science qui étudie les systèmes) définie le système d’information comme l’ensemble des règles, des méthodes, des moyens humains, matériels et financiers utilisés dans l’entreprise pour assurer son pilotage. Le système d’information est donc l’interface entre le système opérant et le système décisionnel.

La systémique définit l’entreprise structurellement en trois parties :

Partie 1. Le système opérant : des tâches de fabrication des biens (produit fini ou service).

Partie 2. Le système décisionnel (système de pilotage) : prend les décisions.

Partie 3. Le système d’information.


Système de pilotage

Système d'information

Système opérant




1.2. Les objets constitutifs du SI

Le système d’information est constitué de trois types d’objet :

─ Les objets conceptuels : objets qui relèvent de la constitution du SI. Ce sont par exemple la politique informatique, le schéma directeur informatique et le plan directeur informatique ;

─ Les objets nécessaires à l’existence du SI : objets qui font que le système existe, vive. Ce sont d’abord les moyens (matériels, locaux, logiciels, ressources humaines, moyens financiers), les règles (procédures, méthodes de travail, bonnes pratiques), les actions (installation, maintenance, mise en place, exploitation, en fait tout ce que l’on fait pour que le SI fonctionne) ;

─ Les objets qui visent au contrôle du SI : l’audit.

1.3. Les aspects d’un SI

Les aspects d’un SI, en se référant sur le principe de management, sont:

─ D’abord la faisabilité : s’assurer au préalable de l’existence de moyens et actions nécessaires à la réalisation des finalités ;

─ Ensuite, la compréhensibilité : s’assurer qu’un contrôle est toujours faisable dans un délai raisonnable ;

─ Enfin, l’adaptabilité : s’assurer de la conformité du SI par rapport à son environnement.

1.4. L’objectif de l’audit informatique

L’audit informatique a pour objectif de s’assurer que les différents objets constitutifs du SI présentent les aspects énumérés ci-dessus (supra). En fonction de l’objectif de la mission, on peut classer les différents audits suivant les catégories ci-après :

─ La faisabilité (audit de la faisabilité d’un système d'information) : ce type d’audit concerne généralement les SI qui ne sont pas encore mis en place et que l’on veut mettre en place ;

─ L’évolutivité (audit de l’évolutivité) : Le système d'information existe et on veut savoir s’il est évolutif c'est-à-dire qu’il peut évoluer suivant les objectifs l’entreprise, qui elle-même évolue suivant l’environnement ou alors le système d'information est obsolète et a besoin d’être actualisé ;

─ La fiabilité (audit de la fiabilité) : le système d'information existe et on veut savoir s’il est fiable, si on peut lui faire confiance, si les résultats issus de ses traitements représentent la réalité ;

─ La cohérence (audit de la cohérence) : on veut vérifier l’homogénéité du système d'information, savoir ses objets forment un ensemble cohérent ;



─ La conformité (audit de la cohérence) : on veut vérifier que le système d'information est conforme à ce qui était attendu au départ ;

─ La sécurité (audit de la sécurité) : la sécurité est de plus en plus une préoccupation pour les organisations.

1.4. Quelques règles et principes de l’audit informatique

a. Les règles

Règle n°1. L’auditeur du système d'information doit comparer l’observation d’un ou plusieurs objets selon un ou plusieurs aspects. Il doit formuler un jugement et des recommandations.

Règle n°2. L’audit informatique est toujours faisable.

Règle n°3. L’auditeur doit se doter des moyens nécessaires à l’objet de sa mission de manière exclusive mais pas exhaustivement au sujet de l’audit, par exemple pour une mission de jugement de l’évolutivité d’un système d'information, il faut se doter des moyens de l’évolutivité, mais les utiliser aussi pour vérifier l’adaptabilité ou même la sécurité si l’on juge que ces aspects ont des problèmes.

b. Les principes

Principe n°1. Interdiction de cumuler audit et conseil1 sur un même sujet.

Principe n°2. L’auditeur doit garantir, par lui-même ou par une équipe sous sa responsabilité, qu’il a les compétences nécessaires (pour l’exécution d’une mission).

Principe n°3. L’auditeur doit s’intéresser au système d'information dans son ensemble, et non seulement aux éléments automatisés2.

Principe n°4. L’auditeur doit fournir des conclusions motivées et utiles sur les objets, les aspects ainsi que la période de temps qui ont été les éléments de sa mission.

1.5. Les bonnes pratiques en matière d’audit des systèmes d'information

Il n’existe pas de normes en matière d’audit informatique. Par contre, il existe des entreprises qui ont développé des bonnes pratiques qui sont utilisés comme des standards d’audit informatique. L’un des standards les plus réputés est le COBIT (Control of Business objectives for Information Technology, c’est le contrôle qui permet de vérifier l’alignement stratégique des systèmes

1 Je veux informatiser ma comptabilité. Je vais vois un conseil qui me montrent quels ordinateurs acheter, quels logiciels, etc. Mais je me rends compte que ce système d'information ne me satisfait pas. Je vais donc voir un auditeur pour régler mon problème, il va venir mesurer la différence entre ce que je voulais et ce que j’ai eu.2 Le système informatique n’est qu’une partie du système d'information. Par exemple, on audite le système d'information comptable d’une société, le système informatique est bon, mais la pré-comptabilisation est encore manuelle. Du coup, les erreurs issues de cette étape peuvent en pâtir sur les résultats du système d'information.



d'information) développé par un organisme que l’on appelle l’ISACA. La certification ISACA (Information System Audit and Control Association) s’appelle le CISA.



Chapitre 2 : Méthode et déroulement de l’audit

2.1. Rappels des règles d’audit

Rappel n°1. Un système d’information est un ensemble de collecte, de stockage, de traitement et de production d’information qui peuvent être plus ou moins automatisés.

Rappel n°2. L’audit informatique est l’examen d’un système d'information, en tout ou en partie, pour porter un jugement sur celui-ci. L’auditeur porte un jugement sur un ou plusieurs objets du système. Chaque objet comprend généralement des parties automatisées et d’autres qui n’en sont pas. L’audit informatique ne considère que des aspects bien définis, chacun isolément mais dont l’ensemble constitue la totalité des critères de qualité possibles.

Rappel n°3. L’audit informatique porte sur le passé, le présent et l’avenir.

2.2. Méthode d’audit

L’audit doit être découpé en trois phases :

Phase n°1. La définition des objectifs

Dans la définition des objectifs, l’auditeur doit énoncer clairement les objectifs de sa mission. Pour cela, il doit :

─ Déterminer les finalités de sa mission et la portée des conclusions ;

─ Enumérer l’éventail des activités en rapport avec les finalités (pour chaque finalité) ;

─ Proposer certaines précautions concernant l’avenir et mettre en évidence les points faibles ou rechercher les causes d’anomalies passées : c’est ce qu’on appelle l’analyse des risques.

Phase n°2. L’exécution

Cette phase est celle qui concerne le déroulement de l’audit proprement dit. Pour cela, l’auditeur doit élaborer :

─ Un plan de collecte d’information : comporte généralement formulaires de collecte d’information, calendrier d’interviews et des réunions, plan de synthèse de la collecte d’information ;

─ Les méthodes de contrôle, d’analyse et de synthèse ;

─ Le plan du rapport final.



Phase n°3. Le suivi

Cette phase suit la phase d’exécution et concerne la mise en œuvre des conclusions de l’audit. A ce titre, l’auditeur doit suggérer :

─ Une méthode d’information des services ;

─ Un plan de vérification de la mise en œuvre des recommandations.

2.3. Le plan de travail

Après la prise de connaissance générale, l’auditeur doit élaborer un plan de travail selon la nature et le volume des tâches. Ce plan de travail doit comprendre :

─ Un découpage du travail en étapes successives ayant chacune une sous-finalité dont les conclusions fragmentaires ou partielles ont déjà un intérêt ;

─ Un budget (chaque étape) exprimé soit en jours, soit directement en termes monétaires (FCFA). Il est conseillé de proposer une enveloppe en prenant une marge sécuritaire de 20% car les délais ne peuvent jamais être figés ;

─ Un découpage temporel des différentes étapes de l’audit ;

─ La liste des intervenants internes (ceux de l’entreprise) et externes (ceux de l’auditeur), leur rôle et leur qualification à chaque étape ;

─ La liste des lieux (où se trouvent les systèmes concernés) à visiter et des systèmes à examiner.

2.4. Les ressources de l’auditeur

Les ressources de l’auditeur sont constituées :

─ Les résultats des traitements (par exemple, pour un système comptable, c’est la balance, le grand livre, etc.) ;

─ La documentation existante (même exemple, manuel de l’utilisateur, plan comptable) ;

─ Les résultats des audits précédents ;

─ Les machines et systèmes dont il doit disposer à des jours et des heures convenus d’avance pour ne pas gêner l’exploitation quotidienne : dans un calendrier, convenu avec leurs utilisateurs ;

─ Les ressources humaines (qui travaillent sur les systèmes) de l’entreprise qui obéissent aux conditions que ci-dessus.



2.5. Le rapport

Le rapport et la présentation du rapport sont logiquement placés en fin des travaux ; le rapport est généralement rédigé en deux temps : il y a d’abord le projet de rapport et le rapport définitif. Généralement un rapport d’audit comprend trois parties :

Partie 1. C’est la partie introductive. Elle comprend :

─ La lettre d’intention ou de mission ;

─ La liste des documents remis ;

─ La liste des personnes rencontrées ;

─ La liste des collaborateurs ayant fait partie de la mission ;

─ Les difficultés éventuellement rencontrées.

Partie 2. C’est le corps du rapport, qui comprend :

─ Le problème posé ;

─ La démarche adoptée ;

─ Le travail effectué ;

─ Le résultat des analyses effectué sur chaque point.

Partie 3. Ce sont les recommandations. Elles doivent rédigées de manière compréhensible, suffisamment bien argumentées et être économiquement acceptables. Il est conseillé, pour chaque recommandation, d’exprimer schématiquement le sens (pour que ce soit compris par les néophytes) et en écrire le détail (financier, etc.) qui sera apprécié par les spécialistes.


Documents

Audit informatique - NGAMY - 2013.docx