Management des Systèmes d’information (SI)ma-formation-informatique.fr/.../2017/09/2017-S7-Synthese-S6-Audit.pdf · S6 - Audit et Gouvernance Module 1 : L’Audit des SI Yves MEISTERMANN

www.ma-formation-informatique.fr/forum-dscg-master-cca/ DSCG UE5 : Management des SI - Master CCA

Cogitem Formation [email protected]

DSCG - UE5

Management des Systèmes d’information (SI)

S6 - Audit et Gouvernance

Module 1 : L’Audit des SI

Yves MEISTERMANN

2016 / 2017 - Semestre 1&2



DSCG UE 5 - Bulletin officiel



Le plan de cours

2 modules

● Module 1 - Audit du SI

● Module 2 - Audit et référentiels

S6 - Audit et Gouvernance des SI



L’audit des SI● Le concept● Les différents types d’audit● L’audit interne● l’audit externe● La démarche d’audit● Le cadre légal et normatif

L’audit de la fonction SI● Présentation● La gouvernance SI● La gestion de projet● Les applications métiers / ERP● L’audit de la production informatique● L’audit de la sécurité informatique

TD1 : Audit EPICEA

S6 - Audit et gouvernance des SI

Module 1 : L’audit du SI

Non traité dans ce cours :● Le Contrôle interne● Le contrôle des comptes des entités ● L’audit assisté par ordinateur



● La gouvernance des SI consiste à fixer aux SI des objectifs liés à la stratégie de l'entreprise

○ Elle définit la manière dont le SI contribue à la création de valeur ○ Elle précise le rôle des différents acteurs (DSI, DG directions Métiers)

● Les SI représentent une partie significative de la valeur ajoutée créée par les entreprises et les administrations

○ Mondialement, cela représente un montant de l'ordre de 20 000 à 25 000 milliards de dollars"

● Une partie importante de ces dépenses est constituée par des investissements informatiques

○ qui permettent de développer la capacité de l'entreprise à créer de la valeur

○ qui fait que les métiers de l'entreprise sont directement impactés par la gouvernance des SI

L’audit du SI

Le concept



● La contre partie de ces investissements SI (massifs) est :

○ une demande de maîtrise accrue du risque au niveau du SI

■ à tous les niveaux de l’entreprise

● Cette maîtrise du risque SI passe souvent par des audits internes ou externes commandés par :

○ les actionnaires pour vérifier les informations fournies par les dirigeants

○ les dirigeants pour anticiper des contrôles fiscaux ou simplement gouverner le SI

○ les managers pour maîtriser leurs processus métiers

○ le contrôle interne de l’entreprise pour vérifier la conformité aux lois et aux règlements

○ Le commissaire aux comptes pour vérifier la sincérité des comptes○ ...

L’audit du SI

Le concept



Le concept d’audit informatique est apparu dans les années 70

Il peut être décomposé en 2 approches :

● l’audit de la fonction SI ou informatique

○ l’auditeur s’appuie sur les référentiels existants en matière de management des SI

■ principalement le COBIT pour la gouvernance

● l’audit de la composante SI des processus métiers de l’entreprise

○ l’auditeur s’appuie sur des programmes de travail spécifique

■ l’appréciation des risques généraux d’un processus

■ le degré d’informatisation du processus

■ le type d’outil Si utilisé

L’audit du SI

Le concept



Les différents types d’audit des SI

Les missions d’audit peuvent être de plusieurs types :

● interne

● externe

Elles se caractérisent également :

● par la nature du lien entre l’auditeur et l’audité

○ appartenance ou non appartenance à l’entité auditée

● par la nature du cadre juridique de l’audit

○ avec le respect d’obligations légales et de normes professionnelles

● par la qualité du mandataire de la mission et du contexte d’audit

○ expertise judiciaire

L’audit SI



L’audit interne

La mission d’audit est diligentée par la direction de l’entité concernée

Selon l’AFAI (Association française de l’audit et du conseil informatique) :

● activité indépendante et objective

○ qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations

○ qui lui apporte ses conseils pour les améliorer

○ qui contribue à la création de valeur ajoutée

● réalisée par le département

○ d’audit interne de l’entreprise

○ de contrôle interne

L’audit SI



L’audit externe

La mission d’audit est réalisée par des personnes extérieures à l’organisation :

● commissaires aux comptes

● cabinets d’experts comptables

● cabinets d’audit

● professionnels spécialisés dans un domaine du SI

○ sécurité SI○ ...

L’audit SI



L’audit externe

La mission peut tenir à plusieurs raisons :

● soit elle relève les mêmes objectifs qu’une mission d’audit interne

○ mais absence d’un département audit interne dans l'entreprise

○ ou absence de compétences spécifiques dans le département d’audit interne

○ ou encore volonté de confier la mission à un tiers de confiance

● soit elle répond à d’autres objectifs et peut être diligentée par d’autres acteurs de l’entreprise

○ par exemple une mission réalisée par les commissaires aux comptes dans le cadre de leur mission d’audit

○ dans ce cas, le CAC cherche à se renseigner sur le niveau de controle interne pour se faire son opinion

L’audit SI



La démarche d’audit

Pour mener à bien l'audit SI il est recommandé de suivre six étapes suivantes :

1/ L'établissement de la lettre de mission

2/ La planification de la mission

3/ La collecte des faits

4/ Les entretiens avec les “audités”

5/ La rédaction du rapport d'audit

6/ La présentation et la discussion du rapport d'audit

L’audit SI





1/ L'établissement de la lettre de mission

● Document rédigé et signé par le demandeur d'audit

○ Il permet de mandater l'auditeur

○ Il sert à identifier la liste des questions que se posent le demandeur d'audit

○ l'auditeur participe normalement à sa rédaction

L’audit SI





2/ La planification de la mission

● Elle permet de définir la démarche détaillée qui sera suivi

○ Elle va se traduire par un plan d'audit ou une proposition commerciale

○ Ce document est rédigé par l'auditeur

■ il est soumis à la validation du demandeur d'audit

○ Une fois le consensus obtenu sur le contenu de la mission

■ il est possible de passer à la troisième étape

L’audit SI





3/ La collecte des faits

● un audit doit être factuel c’est à dire reposé sur des faits

● Dans la plupart des audits :

○ c'est une partie importante du travail effectué par les auditeurs○ Il est important d'arriver à dégager un certain nombre de faits indiscutables○ et d’avoir accès à tous les documents

● Il faut donc récupérer un maximum de documentations○ Organigramme○ Méthode de travail○ Ordre du jour et Compte rendu de réunion , de comité de pilotage, de comité de projet○ Documentation sur les livrables○ Mails○ ...

L’audit SI




Pour mener à bien l'audit informatique il est recommandé de suivre six étapes suivantes :

4/ Les entretiens avec les “audités”

● Ils permettent de compléter les faits collectés

○ grâce à la prise en compte des informations détenues

■ par les responsables

■ par les opérationnels

● Cette étape peut être délicate et compliquée

○ les informations collectés auprès des opérationnels peuvent plus ressembler à des opinions

○ qu'à un apport sur les faits recherchés

L’audit SI




Pour mener à bien l'audit informatique il est recommandé de suivre six étapes suivantes :

5/ La rédaction du rapport d'audit

● Long travail qui permet de mettre en avant

○ des constatations faites par l'auditeur

○ des recommandations qu'il propose

6/ La présentation et la discussion du rapport d'audit

● Présentation au demandeur de l'audit

○ au management de l'entreprise

○ au management de la fonction SI.

L’audit SI




Quelques remarques générales sur l’audit

● Cette démarche est essentielle pour l'auditeur

○ elle apporte des éléments fondamentaux pour le déroulement de sa mission bénéfique pour l'organisation

○ les acteurs “audités” ne doivent pas être passifs mais :

■ avoir une réflexion sur leurs méthodes de travail

■ s'intéresser au travail des autres acteurs de l'entité

● Il peut agir en facteur positif

○ en cas de changement les acteurs seront moins réticents.

L’audit SI




Quelques remarques générales sur l’audit

● A la suite de la mission d'audit il peut être demandé à l'auditeur :

○ d'établir le plan d'action

○ éventuellement de mettre en place un suivi des recommandations

● Mais il ne faut pas confondre l’audit et le conseil :

○ Ces deux activités, audit et conseil, ne peuvent être exercées pour une entité donnée par les mêmes acteurs afin de ne pas créer une situation favorable aux conflits d’intérêts

L’audit SI




Exemple La démarche d’audit retenue par le guide d’audit des SI de l’AFAI

L’audit SI



Le cadre légal et normatif

L’audit SI



L’organisation de référence pour l’audit informatique : L’AFAI et L’ISACA

L’audit SI

Le cadre légal et normatif



Cet audit regroupe différentes missions :

● l’audit de la gouvernance des SI

● l’audit de la gestion de projets

● l’audit des applications

○ Métiers / ERP

● l’audit de la production informatique

● l’audit de sécurité SI

L’audit de la fonction SIPrésentation



La mission d’audit vise à vérifier les 5 piliers de la gouvernance des SI :

L’audit de la fonction SIL’audit de la gouvernance des SI



La mission d’audit vise à vérifier les 5 piliers de la gouvernance des SI et notamment :

● L’organisation de la fonction SI de l'entreprise

○ vérifier l’existence d’un organigramme de la fonction SI

■ la clarté des structures et des responsabilités de l'équipe informatique

○ vérifier le respect du principe de séparation des tâches dans l’activité de la DSI

■ Direction des études / Direction de l’exploitation

○ vérifier le positionnement de la fonction SI dans l’entreprise

■ rattachement hiérarchique du DSI

○ vérifier le niveau de dépendance de l'entreprise vis à vis des prestataires externes

■ existence de contrat d’externalisation■ existence de SLA ■ existence d’indicateurs de suivi des SLA





● La stratégie SI de l’entreprise

○ vérifier l’existence d’un plan stratégique SI ou schéma directeur■ la fréquence de la mise à jour de ce plan

○ vérifier l’implication des Directions métiers dans le plan stratégique SI■ validation par un CODIR■ validation par la DG

○ vérifier l’alignement stratégique du SI / stratégie métiers■ la prise en compte des stratégies/besoins métiers




La mission d’audit vise à vérifier les 5 piliers de la gouvernance des SI et notamment

● La maturité des relations entre la DSI et les utilisateurs

○ vérifier la sensibilisation de la Direction à la fonction SI■ le DSI est il au CODIR ?■ la DG est-elle sensibilisée à la transformation numérique ?

○ vérifier l’implication des Directions métiers dans la conception du SI■ existence d’une équipe MOA■ existence de comité de pilotage pour les projets■ composition des équipes projets : mixité MOA/MOE

○ analyser les relations entre la DG, les Directions Métiers et la fonction informatique





● Les processus internes de la DSI

○ vérifier l’utilisation de référentiels, de normes et de procédures spécifiques à la fonction

■ Cobit, itil, CMMI, …

○ évaluer les compétences internes de la DSI

■ niveau de compétences

■ taux de rotation des équipes (turn over)

■ charge de travail

○ ...





● La mesure de la performance des SI

○ vérifier l'existence de mécanismes permettant de connaître et de suivre les coûts informatiques

■ une comptabilité analytique, un mécanisme de refacturation interne■ la mesure de l'impact de l'informatique sur les performances de l'entreprise

○ vérifier l’existence de tableaux de bord pour le suivi de l’activité de la DSI

■ exemple IT scorecard

○ vérifier la satisfaction des utilisateurs




La mission d’audit vise à s'assurer que le projet se déroule normalement et que l'enchaînement des opérations se fait de manière logique et efficace

Se baser sur la connaissance des bonnes pratiques connues en ce domaine :

● la conformité du projet aux objectifs généraux de l'entreprise

● l'existence d'une méthodologie de conduite des projets,○ la conduite des projets par phases ○ modèle de gestion de projets : cascade, V, W ou en spirale (processus itératif)○ le respect des étapes et des phases du projet

● le pilotage du projet ○ l’organisation du projet○ les rôles respectifs du chef de projet et du comité de pilotage○ la mise en place d'une note de cadrage, d'un plan de de projet ou d'un plan de la qualité○ la complétude des études amont : étude de faisabilité et cahier des charges (analyse fonctionnelle)

● l'importance accordée aux tests○ notamment à l’homologation fonctionnelle faite par les utilisateurs.

L’audit de la fonction SIL’audit de la gestion de projet



Identifier un certain nombre d'objectifs de contrôle

Ces différents objectifs de contrôle correspondent aux processus de CobiT :

● PO 10 "Gérer le projet"

● AI 1 "Trouver des solutions informatiques"

● AI 2 "Acquérir des applications et en assurer la maintenance"

Par exemple :

● la clarté et l'efficacité du processus de développement,

● l'existence de procédures, de méthodes et de standards donnant des instructions claires aux développeurs et aux utilisateurs

● la vérification de l'application effective de la méthodologie

● la validation du périmètre fonctionnel doit être faite suffisamment tôt dans le processus de développement

● la gestion des risques du projet

○ Une évaluation des risques doit être faite aux étapes clés du projet.

L’audit de la fonction SIL’audit de la gestion de projet



La mission d'audit d'une application métier (ou d’un ERP ) est de donner au management une assurance raisonnable sur son fonctionnement.

● audit de l'application comptable, de la paie, de la facturation,….

● audit d'un processus global de l'entreprise comme les ventes, la production, les achats, la logistique,…

Il est conseillé d'auditer une application de gestion tous les deux ou trois ans :

● s'assurer qu'elle fonctionne correctement

● pouvoir apporter les améliorations souhaitables à cette application ou à ce processus.

L’audit de la fonction SI

L’audit des applications Métiers ou ERP



L'auditeur va notamment s'assurer du respect et de l'application des règles de contrôle interne :

● les contrôles en place sont opérationnels et sont suffisants

● les données saisies, stockées ou produites par les traitements sont de bonnes qualités

● les traitements sont efficaces et donnent les résultats attendus

● l'application est correctement documentée

● les procédures mises en œuvre dans le cadre de l'application sont à jour et adaptées

● l'exploitation informatique de l'application se fait dans de bonnes conditions

● la fonction ou le processus couvert par l'application est efficace et productif

Ces contrôles sont, par exemple, réalisés par le Commissaire aux Comptes dans le cadre de sa mission légale d'évaluation des comptes d'une entreprise

● est-ce que le logiciel utilisé est sûr, efficace et adapté ?





Identifier les objectifs de contrôle les plus courants :

● le contrôle de la conformité de l'application opérationnelle par rapport

○ à la documentation utilisateur

○ au cahier des charges d'origine

○ aux besoins actuels des utilisateurs

● la vérification des dispositifs de contrôle en place

○ sur les données entrées, les données stockées, les sorties, les traitements,…

● L'auditeur doit s'assurer qu'ils sont en place et donnent les résultats attendus,





● L'évaluation de la fiabilité des traitements

○ Analyse des erreurs ou des anomalies qui surviennent dans le cadre des opérations courantes

○ l'auditeur peut aussi être amené à constituer des jeux d'essais pour s'assurer de la qualité des traitements

○ Analyses sur le contenu des principales bases de données afin de détecter d'éventuelles anomalies

○ Mesure des performances de l'application

■ pour s'assurer que les temps de réponse sont satisfaisants même en période de forte charge

■ Nombre d'opérations effectuées par le personnel dans des conditions normales d'utilisation.

L’auditeur doit aussi pouvoir évaluer la régularité, la conformité, la productivité, la pérennité de l'application opérationnelle.

● Ce sont des questions délicates posées par le management à l'auditeur.





La mission d’audit vise à s'assurer que les centres de production informatiques fonctionnent de manière efficace et qu'ils sont correctement gérés.

Se baser sur la connaissance des bonnes pratiques concernant ce domaine comme :

● la clarté de l'organisation de la fonction

○ notamment le découpage en équipes, la définition des responsabilités,…

● l'existence d'un système d'information dédié à l'exploitation

○ notamment pour suivre la gestion des incidents, la gestion des ressources, la planification des travaux, les procédures d'exploitation,…

● la mesure de l'efficacité et de la qualité des services fournies par l'exploitation informatique.


L’audit de la production ou exploitation informatique



Identifier un certain nombre d'objectifs de contrôle

Ces différents objectifs de contrôle correspondent au processus de CobiT : ● DS 1 "Définir et gérer les niveaux de services"● DS 3 "Gérer la performance et la capacité",● DS 6 "Identifier et imputer les coûts"● DS 12 "Gérer l'environnement physique"● DS 13 "Gérer l'exploitation".

Par exemple

● la qualité de la planification de la production● la gestion des ressources grâce à des outils de mesure de la charge, des simulations, le suivi des performances,…● l'existence de procédures permettant de faire fonctionner l'exploitation en mode dégradé de façon à faire face à une

indisponibilité totale ou partielle du site central ou du réseau● la gestion des incidents de façon à les repérer et le cas échéant d'empêcher qu'ils se renouvellent● les procédures de sécurité et de continuité de service qui doivent se traduire par un plan de secours● la maîtrise des coûts de production grâce à une comptabilité analytique permettant de calculer les coûts complets

des produits ou des services fournis.


L’audit de la production ou exploitation informatique



La mission d’audit vise à donner au management une assurance raisonnable du niveau de risque de l'entreprise lié à des défauts de sécurité SI.

● Le SI représente souvent un niveau élevé pour risque élevé de l'entreprise

● Le développement d'Internet apporte une augmentation de ces risques

Les risques sont liés à la conjonction de quatre notions fondamentales :

● Les menaces potentielles concernant la sécurité informatique de l'entreprise et notamment ses biens immatériels

● Les facteurs aggravants de risque ○ faiblesse de l'organisation, des méthodes, des techniques ou du système de contrôle

● La manifestation du risque○ physique (incendie, inondation) ou logique : destruction des données, détournement de trafic,..

● la maîtrise du risque. ○ mesures permettant de diminuer le niveau des risques ○ les contrôle d'accès, l'authentification des utilisateurs,…


L’audit de la sécurité SI



Identifier quelques objectifs de contrôle

Ces différents objectifs de contrôle correspondent aux processus de CobiT ● DS 5 : "Assurer la sécurité des systèmes" ● PO 9 "Evaluer et gérer les risques".

Par exemple

● repérer les actifs de l'entreprise (matériels informatiques, des logiciels et des bases de données…) ○ avoir des procédures de gestion efficaces et adaptées

● identifier les menaces et évaluer les risques○ mission assurée par un RSSI, un responsable de la sécurité des SI○ Il a la responsabilité de repérer les principaux risques liés aux différents domaines du système d'information ○ Il rédige un document qui doit définir la plitique de sécurité des SI, la PSSI

● mesurer les impacts○ le RSSI doit établir une cartographie des risques associés au système d'information. ○ Et ensuite construire des scénarios d'agression et d'évaluer les points de vulnérabilité

● définir les parades.○ prévoir les dispositifs comme des contrôles d'accès, le cryptage des données, le plan de secours,…


L’audit de la sécurité SI

Mais aussiISO 27001 et ISO 27002 : norme ISO pour la sécurité des SI



TD1 : le cas EPICIA

Travaux Dirigés

Documents

Management des Systèmes d’information (SI)ma-formation-informatique.fr/.../2017/09/2017-S7-Synthese-S6-Audit.pdf · S6 - Audit et Gouvernance Module 1 : L’Audit des SI Yves MEISTERMANN