Audit Informatique : Guide Complet et Bonnes Pratiques

Classified in Informatique

Written at on français with a size of 25,39 KB.

Qu'est-ce qu'un Audit Informatique ?

Définition de l'Audit

1. Audit : Un examen critique visant à évaluer l'efficience et l'efficacité d'un site et à déterminer les actions correctives pour améliorer et atteindre les objectifs fixés.

Définition de l'Audit Informatique

2. Audit Informatique : Examen et évaluation des contrôles, des systèmes et procédures informatiques, du matériel informatique, de son utilisation, de l'efficacité et de la sécurité de l'organisation impliquée dans le traitement des informations. L'objectif est de proposer des actions correctives pour obtenir une information plus efficace, fiable et sécurisée qui aide à la prise de décision appropriée.

Le Contrôle Interne en Audit Informatique

3. Le Contrôle Interne : Inclut le plan d'organisation et toutes les méthodes et procédures coordonnées dans une entreprise afin de protéger ses actifs, de vérifier la plausibilité et la fiabilité de l'information financière, de promouvoir l'efficacité opérationnelle et l'adhésion aux politiques prescrites par l'administration.

Objectifs du Contrôle Interne

  • Protection des actifs de l'entreprise.
  • Obtention d'informations financières précises, fiables et en temps opportun.
  • Promotion de l'efficacité dans les opérations commerciales.
  • Assurer que la mise en œuvre des opérations répond aux politiques établies par la direction de l'entreprise.

Objectifs Généraux du Contrôle Interne

  • Autorisation.
  • Traitement et classification des transactions.
  • Garanties physiques.
  • Suivi et évaluation.

Évaluation du Département Informatique

4. Le Département Informatique sera évalué conformément aux :

  • Objectifs, plans, politiques et procédures.
  • Organisation.
  • Structure organisationnelle.
  • Fonctions et niveaux d'autorité et de responsabilité.

Techniques Avancées d'Audit

5. Techniques Avancées d'Audit :

  • Tests complets : Traitement de données fictives, en comparant ces résultats avec des résultats réels.
  • Simulation : Élaboration de programmes d'application pour des tests spécifiques et comparaison des résultats de la simulation avec l'application réelle.
  • Examen d'accès : L'ordinateur tient un registre de tous les accès à certains fichiers avec les informations d'identification du terminal et de l'utilisateur.
  • Opérations en parallèle : Pour vérifier l'exactitude de l'information sur les résultats produits par un nouveau système remplaçant un système déjà vérifié.
  • Registres étendus : Ajout d'un champ de contrôle à un dossier particulier, comme un champ distinct à un registre supplémentaire, qui peut inclure des données pour tous les programmes d'application.

Objectifs de l'Audit des Systèmes d'Information

6. Objectifs de l'Audit des Systèmes d'Information :

  • Fonctionnement de la gestion informatique.
  • Analyse de l'efficacité des Systèmes d'Information et des Technologies de l'Information.
  • Vérification de la conformité au Règlement général de l'Organisation.
  • Vérification des plans, programmes et budgets des systèmes d'information.
  • Examen de la gestion efficace des ressources humaines, matérielles et logicielles.
  • Examen et vérification des contrôles généraux et techniques d'interopérabilité.
  • Examen et vérification de la sécurité : respect des réglementations et des normes, des systèmes d'exploitation, des logiciels de sécurité, de la sécurité des télécommunications, de la sécurité des bases de données, de la sécurité des processus, de la sécurité des applications, de la sécurité physique, de l'approvisionnement et du réapprovisionnement, et des plans d'urgence.
  • Résultats des analyses de contrôle.
  • Analyse de vérification et exposition des faiblesses et des lacunes.

Phases de l'Audit Informatique

7. Phases de l'Audit :

  • Planification : Élaboration du plan d'audit, définition des objectifs, des programmes de travail d'audit, et rapport d'activités pour comprendre et répondre à l'entité contrôlée.
  • Exécution : Examen et évaluation de l'information, collecte, analyse, interprétation et documentation de l'information pour soutenir les résultats d'audit (questionnaires, entretiens, analyse de documents, tabulation des données).
  • Préparation et publication du rapport : Rapport préliminaire, rapport final. Préparation (écriture) et présentation (commentaire) à l'administration. La capacité d'expression doit être soignée.
  • Suivi : Vérification de la conformité, préparation et présentation (complété ou non, ce qui devait être fait a été fait, etc.).

Responsabilités de l'Auditeur Interne

8. L'Auditeur Interne doit veiller à ce que :

  • Les auditeurs soient correctement supervisés.
  • Les rapports d'audit soient exacts, objectifs, clairs, concis, constructifs et opportuns.
  • Les objectifs de l'audit soient atteints.
  • L'audit soit bien documenté et que les preuves appropriées de surveillance soient conservées.
  • Les auditeurs se conforment aux normes de conduite professionnelle.
  • Les auditeurs informatiques possèdent les connaissances, l'expérience et les compétences essentielles à la conduite des audits.

Connaissances et Expérience de l'Auditeur Interne

9. Connaissances et Expérience de l'Auditeur Interne :

  • Expertise dans la mise en œuvre des normes, procédures et techniques d'audit interne pour le développement des révisions.
  • Capacité à appliquer des connaissances larges à des situations qui se présenteront, en reconnaissant les situations importantes et en effectuant des recherches pour trouver des solutions raisonnables.

Contenu d'un Programme de Travail d'Audit

10. Contenu d'un Programme de Travail d'Audit :

Usage général, objet, portée, calendrier et programme. Pour chaque audit spécifique, un programme d'audit doit être élaboré, comprenant les procédures à mettre en œuvre, son champ d'application et le personnel désigné pour exécuter l'audit.

Tests de Fond et Tests de Conformité

11. Définition des Tests de Fond et des Tests de Conformité :

  • Test de Fond : Ces tests vérifient les procédures pour déterminer si les résultats obtenus par le système sont corrects (par exemple, les opérations simples telles que l'addition, la soustraction, la division ou la multiplication).
  • Test de Conformité : Procédures d'audit visant à vérifier si le système est appliqué selon les règles (comment il est décrit par l'auditeur et selon les intentions de la direction). Si, après vérification, les contrôles semblent fonctionner efficacement, l'auditeur sera en mesure de justifier la confiance dans le système et de réduire ainsi ses tests de fond.

Types de Tests de Conformité

  • Tests pour assurer la qualité des données.
  • Tests pour identifier les incohérences dans les données.
  • Tests de comparaison avec les données physiques.
  • Tests pour confirmer une bonne communication.
  • Tests pour détecter les failles de sécurité.

Évaluation des Systèmes dans le Cycle de Vie du Logiciel

12. Systèmes dans le Cycle de Vie du Logiciel :

Au cours du cycle de vie, les points suivants doivent être évalués :

  • Installation.
  • Maintenance.
  • Opérations.

Installation et Maintenance

La première phase du cycle de vie du logiciel dans laquelle l'auditeur examine les points suivants :

  • Procédures d'ouverture, tests et approbation des modifications apportées aux logiciels.
  • Comment créer et modifier le logiciel.
  • Procédures utilisées pour exécuter le logiciel et maintenance du dictionnaire de données.
  • Procédures d'urgence utilisées pour fournir des solutions aux problèmes spécifiques de logiciels.
  • Maintenance et contenu des journaux d'audit de tous les SGBD et modifications du dictionnaire de données.
  • Journal des paramètres du logiciel et des phrases dans la langue des applications exécutées.
  • Accès aux bibliothèques de programmes.

Fonctionnement

Dans la deuxième phase du cycle de vie du logiciel, les points suivants seront examinés :

  • Contrôle d'accès pour les programmes, les bibliothèques, les paramètres, les articles ou les fichiers des logiciels associés.
  • Procédures visant à assurer que le système n'est pas installé (procédure de chargement initial) sans le logiciel d'origine, créant une procédure de sécurité.
  • Disponibilité et commandes de contrôle d'accès qui peuvent être utilisées pour désactiver le logiciel.
  • Responsabilité de surveillance de l'air pour le logiciel, le fonctionnement et la cohérence de l'accessibilité.
  • Heures pendant lesquelles le logiciel est disponible.
  • Contrôle d'accès sur les consoles et terminaux maîtres.
  • Comment enregistrer une fin normale ou une erreur, ce qui pourrait indiquer des problèmes dans l'intégrité des logiciels et documenter les résultats des programmes de sécurité.
  • Accès des contrôles sur les scripts et les programmes de gestion de bibliothèques d'applications.
  • Activités de vérification de logiciels.
  • Unité d'autres logiciels pour continuer à fonctionner, ou confiance dans les délais des opérations automatisées.

Étude de Faisabilité et son Importance

13. Étude de Faisabilité et son Importance :

Réalisation d'une étude de faisabilité concernant la disponibilité des ressources nécessaires pour atteindre les objectifs, la mise en œuvre et la mise en service d'un système. Son importance réside dans le fait que cette recherche détermine le rapport coût/bénéfice du système, l'élaboration du modèle logique, et permet de prendre la décision de le produire ou de le rejeter. L'étude de faisabilité technique et les recommandations sont incluses.

Objectifs de la Sécurité de l'Information

14. Objectifs de la Sécurité de l'Information :

  1. Protéger l'intégrité, l'exactitude et la confidentialité des informations.
  2. Protéger les biens contre les catastrophes causées par l'homme ou par des actes hostiles.
  3. Protéger l'organisation contre les situations externes telles que le sabotage.
  4. En cas de catastrophe, disposer de plans d'intervention et de politiques pour un prompt rétablissement.
  5. Avoir une assurance suffisante pour couvrir les pertes économiques en cas de catastrophe.

Principes de la Sécurité de l'Information

15. Principes de la Sécurité de l'Information :

  • Intégrité : Assurer l'exactitude et l'exhaustivité des informations et des méthodes de traitement de l'information.
  • Confidentialité : Assurer que l'information est accessible uniquement aux personnes autorisées à y accéder.
  • Disponibilité : Assurer que les utilisateurs autorisés ont accès aux informations et aux actifs connexes lorsqu'ils en ont besoin.

Étapes du Plan d'Urgence

16. Étapes du Plan d'Urgence :

  1. Analyse de l'impact sur l'organisation : Identifier les processus critiques ou essentiels, et leur impact s'ils ne sont pas en cours d'exécution.
  2. Sélection de la stratégie : En cas de catastrophe, chercher à travailler sur les systèmes en fonction de leurs priorités et non pas comme cela a toujours été fait.
  3. Préparation du plan : Le plan doit être conçu et testé. La participation du personnel est nécessaire afin de s'assurer qu'il est disponible lorsqu'il est mis en pratique.
  4. Test du plan : Destiné à veiller à ce qu'il fonctionne efficacement.
  5. Maintenance : S'assurer qu'après la création du plan, une surveillance et un entretien régulier sont effectués afin de refléter les changements organisationnels ou les modifications pour adapter les procédures.

Importance du Contrôle de la Sécurité de l'Information

17. Importance du Contrôle de la Sécurité de l'Information (SSI) aujourd'hui :

Dans le domaine de la sécurité de l'information, le vol ou la fuite d'informations de l'intérieur représente 80% des incidents. Il existe des facteurs internes à l'entreprise qui favorisent la fuite d'informations, ce qui crée un environnement à risque. Il est important de contrôler la sécurité de l'information car elle représente un outil stratégique majeur. Les entreprises doivent allouer un budget à la sécurité interne, car c'est là que la plupart des problèmes surviennent, qu'ils soient malveillants ou non, et peuvent causer de grandes pertes économiques et financières. Il est également important de créer une culture organisationnelle et personnelle sur les employés, car ils jouent le rôle le plus important pour la sécurité de l'information et la prise de décisions en temps opportun.

Travail de l'Auditeur

18. Travail de l'Auditeur :

Déterminer de manière constante et dynamique s'il existe des pratiques et des procédures pour assurer la qualité et la fiabilité des informations, mesurer le degré de conformité avec les objectifs et l'utilisation appropriée des ressources.

Importance d'un Plan Directeur ou Stratégique des TI

19. Importance d'un Plan Directeur ou Stratégique des TI :

Le plan stratégique des TI fournit un outil pour accompagner les cadres supérieurs dans le processus décisionnel, tant dans les investissements réalisés par chaque étape stratégique dans l'entreprise pour faciliter la circulation des informations par des réseaux de communication, que pour connaître l'impact des décisions d'affaires concernant les nouvelles technologies qui présentent un avantage concurrentiel pour l'entreprise. Il permet d'avoir une idée claire des avantages tangibles et intangibles à obtenir, ainsi qu'une estimation des coûts et du temps pour chaque orientation dans le matériel et les logiciels de la société ou l'évolution interne des systèmes. Tout est basé sur quelque chose de solide qui aidera l'entreprise, en éliminant l'improvisation.

Éléments du Plan d'Audit

20. Éléments du Plan d'Audit :

  • Définition des objectifs et de la portée des travaux.
  • Obtention d'informations générales sur les activités à auditer.
  • Identification des ressources nécessaires pour exécuter l'audit.
  • Établissement de la communication nécessaire avec tous les acteurs de l'audit.
  • Élaboration d'un programme ou d'un processus de planification.
  • Inspection physique.
  • Utilisation de techniques spécifiques.
  • Rapport final des résultats.

Principaux Contrôles

21. Principaux Contrôles :

  • Contrôles Préliminaires.
  • Contrôle de la documentation.
  • Structure organisationnelle des systèmes informatiques.
  • Contrôle des opérations.
  • Contrôles pour le développement des systèmes.
  • Contrôle des contrats.

Classification des Contrôles

22. Classification des Contrôles :

  • Préventifs : Déclenchent une alerte avant l'événement (par exemple, alimentation de secours, procédures de redondance des équipements périphériques, disques en miroir, UPS).
  • Détectifs : Déclenchent une alerte lorsque l'événement est détecté (par exemple, entrée de numéro de compte erroné, tentatives d'accès infructueuses, détecteurs de fumée, alarmes de validation).
  • Correctifs : Déclenchent une correction après l'événement (par exemple, retransmission de données en cas de panne du système, restauration de sauvegardes de données, conversion de données, correctifs).

Types de Plans d'Audit

23. Types de Plans d'Audit :

  • Plan Stratégique : Définit une orientation claire à long terme (5 ans) pour le matériel, les logiciels, le développement de systèmes, les nouvelles technologies et les réseaux. Il est de la responsabilité de tous et élimine l'improvisation.
  • Plan Opérationnel : Traduit la vision stratégique en activités à court terme (1 an). Il doit être étroitement lié au plan stratégique, coordonné avec les secteurs utilisateurs et évalué pour sa conformité aux objectifs.
  • Planification des Projets de TI : Utilisation d'outils de gestion de projet (PMBOCK) pour la surveillance et le suivi des étapes : conception, initiation, activités de développement, ressources, livrables, risques, changements, coûts, dates, clôture. Utilisation de diagrammes de GANTT et PERT-CPM.
  • Plan de Formation : La gestion des TI doit proposer des plans pour mettre à jour le personnel et les utilisateurs dans les nouvelles technologies, en raison de l'évolution technologique et de la formation continue.
  • Plan d'Achat : Achat de logiciels et de matériel qui répond aux besoins changeants. Évaluation des plans pour éviter l'obsolescence technologique.
  • Plan de Conversion : Changement de serveur central, de périphériques, de mémoire, de disques, de processeurs, de versions de logiciels (système d'exploitation, base de données, applications). Utilisation de la gestion de projet, de la planification, de la sauvegarde, des tests, de l'information des utilisateurs et des gestionnaires.
  • Plan de Continuité : Identification des activités susceptibles d'arrêter le fonctionnement quotidien, hiérarchisation des activités essentielles. Les plans de continuité doivent être testés ou simulés.

Contenu d'un Rapport d'Audit Détaillé

24. Contenu d'un Rapport d'Audit Détaillé :

  1. Problèmes identifiés.
  2. Causes possibles, problèmes et défaillances qui ont conduit à la situation présentée.
  3. Impact que peuvent avoir les problèmes détectés.
  4. Solutions possibles.
  5. Commentaires et observations des informations d'adresse et des utilisateurs sur les solutions proposées.

Exigences Techniques et Problèmes Fréquents

25. Exigences Techniques et Problèmes Fréquents :

Une exigence est un besoin qu'un système d'information doit satisfaire. Ce sont des descriptions de la manière dont le système d'information doit se comporter.

Techniques :

  • Entretiens.
  • Questionnaires.
  • Examen des registres.
  • Observation.
  • Avis d'experts.
  • Brainstorming.
  • Analyse du marché/de la concurrence.

Problèmes :

  • Systèmes non installés.
  • Dépassement des prévisions budgétaires.
  • Systèmes ne correspondant pas aux besoins réels des utilisateurs.

Évaluation des Niveaux de la Pyramide pour la Mise en Œuvre d'un Système d'Information

26. Évaluation des Niveaux de la Pyramide pour la Mise en Œuvre d'un Système d'Information :

  1. Niveau Stratégique : Systèmes d'aide à la décision, utilisés par la haute direction. Contient un ensemble complexe de systèmes qui ont une incidence majeure sur la prise de décision.
  2. Niveau Tactique : Systèmes de gestion, utilisés par les cadres intermédiaires. Plus spécifiques, ils permettent la prise de décision.
  3. Niveau Opérationnel : Systèmes transactionnels, traitant un volume élevé d'entrées d'informations. Les rapports peuvent être générés à partir de ce niveau.

Symptômes de la Nécessité d'un Audit des Systèmes

27. Symptômes de la Nécessité d'un Audit des Systèmes :

  1. Manque de coordination et désorganisation : Non-concordance des objectifs informatiques avec ceux de l'entreprise, baisse de la productivité, obsolescence technologique des systèmes, faible implication des TI dans la planification des projets.
  2. Mauvaise image et insatisfaction des utilisateurs : Non-réponse aux demandes de modifications des utilisateurs, non-réparation des défauts matériels dans un délai raisonnable, défaillances constantes du système, manque d'attention aux systèmes critiques, sentiment d'abandon de l'utilisateur.
  3. Faiblesses économiques et financières : Augmentation excessive des coûts d'exploitation, manque de crédibilité des investissements en TI, dépassement du temps et du coût des projets de TI.
  4. Insécurité : Insécurité physique, insécurité logique, insécurité dans la fiabilité des données, insécurité dans l'utilisation des ressources et des approvisionnements.

Rôles et Fonctions dans l'Administration des TI

28. Rôles et Fonctions dans l'Administration des TI :

  1. Directeur Utilisateur : Responsable de l'exploitation des systèmes, en particulier pendant la période d'essai. Il doit également veiller au respect des dispositions concernant l'utilisateur.
  2. Directeur Exécutif : Principal responsable de l'entreprise, il prend les décisions.
  3. Directeur des TI : Participe aux différents projets informatiques avec son personnel.

Outils de Vérification et Liste de Contrôle de Gamme

29. Outils de Vérification et Liste de Contrôle de Gamme :

La liste de contrôle de gamme est utilisée lorsque l'on souhaite évaluer une liste de tâches. Exemples d'outils :

  • Entretien.
  • Questionnaire.
  • Vérification.

Politique de Sécurité Physique et Logique

30. Politique de Sécurité Physique et Logique :

  1. Holistique : La sécurité doit être considérée dans son ensemble, et non par parties.
  2. Réaliste : Les mesures de sécurité doivent être réalisables.
  3. Continue : La politique de sécurité doit être mise à jour régulièrement et ne pas être oubliée.

Ressources pour la Conduite d'un Audit

31. Ressources pour la Conduite d'un Audit :

  1. Ressources Logicielles : Systèmes de surveillance ou logiciels spécifiques.
  2. Ressources Matérielles : Matériel informatique.
  3. Ressources Humaines : Personnel, experts en réseaux, systèmes de communication.

Domaines de COBIT 4

32. Domaines de COBIT 4 :

  1. Planification et Préparation : Responsable de la planification et de la définition des objectifs, de la portée et des ressources à utiliser.
  2. Acquisition et Information : Détermine comment l'audit sera acquis, soit par des développeurs locaux (internes) soit par sous-traitance. La mise en œuvre est également discutée ici.
  3. Livraison et Support : Livraison à l'utilisateur de la demande dûment remplie et analyse des aspects de support.
  4. Suivi : Surveillance de toutes les activités et du processus.

Composants de l'Audit des TI

33. Composants de l'Audit des TI :

  1. Administratif : Organisation, fonctions, structure, réalisation des objectifs, ressources humaines, règles et politiques, formation.
  2. Systèmes : Évaluation et étapes d'analyse, évaluation de la conception logique du système, évaluation du développement physique, facilité de développement des systèmes, contrôle des projets.
  3. Environnement d'exploitation des équipements : Acquisition, études de faisabilité et de rentabilité, capacités, emploi, normalisation, contrôles, projets d'approvisionnement, stockage.
  4. Traitement des données : Contrôle de la gestion et des chiffres des données sources, contrôle de l'opération, contrôle de la sortie, contrôle des processus mathématiques, contrôle des supports de stockage de masse, contrôle des médias.
  5. Sécurité : Sécurité physique et logique, protection des données, support, personnel de sécurité, assurance, sécurité dans l'utilisation des équipements, plan d'urgence, restauration des équipements et des systèmes.
Karma: -30%
Visits: 0

Entradas relacionadas:

Tags:
COBIT conformité planification systèmes d'information contrôle interne questionnaire audit interne sécurité informatique gestion des risques audit informatique