Compte-rendu de séance du 13 mai 2014 Chloé ADAM Audit informatique et audit des techniques de l’information Par M. Elghoul Qu’est-ce que c’est que l’audit quand on est informaticien ? Quels sont les domaines audités ? Qu’est-ce qu’auditer un projet ? Si les choses se passent bien peut-on faire un audit ? Peut-on auditer un site web ? Telles sont les questions que l’on pourrait se poser lors de l’annonce du thème de l’intervention de Monsieur Elghoul. Les réponses à ces questions et bien d’autres informations se trouvent dans la suite du compte-rendu. L’audit, pourquoi ? Les principales raisons qui poussent aujourd’hui de plus en plus d’entreprises à l’audit : L’informatique coute cher L’informatique devient stratégique L’informatique coute de la valeur L’informatique est un outil d’Innovation La dématérialisation des processus (80% de l’entreprise reste de l’informationnel, l’approche physique se réduit au profit de l’information) Les systèmes d’informations sont distribués L’accès via le web aux applications de l’entreprise Les réseaux sociaux et leurs influences La concurrence, la compétition Les contraintes des Normes et les exigences juridiques Garantir la continuité des organisations (gestion de la continuité, vérifier le bon environnement pour éviter tout blocage qui signifierait non utilisation de l’entreprise) 1 Définitions de l’audit : 1) L’audit est généralement un diagnostic : Informatique Juridique Social Fiscal 2) Selon le Petit Robert : l’audit du latin auditus « entendu », se définit comme étant une procédure de contrôle de la comptabilité et de la gestion d’une entreprise et par extension une mission d’examen et de vérification de la conformité aux règles de droit, de gestion, d’une opération, d’une activité particulière ou de la situation générale de l’entreprise. 3) L’audit est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. 4) L’audit aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. Les types d’audit : La fonction informatique Les études informatiques Les projets informatiques L’exploitation La sécurité informatique L’alignement stratégique La planification de l’informatique Les réseaux et les télécommunications Les achats informatiques, la qualité des services l’externalisation Les applications opérationnelles Tout le monde s’accorde sur les domaines à auditer mais pas forcément sur la manière de faire. Prendre le temps de bien étudier en amont et à auditer pour ensuite proposer des meilleures solutions. Les activités de l’auditeur - Observer le domaine audité Analyser les faits observés de manière objective et avec un regard extérieur Ecouter les explications des audités 2 - Porter un jugement sur le domaine fonctionnel audité en se basant sur des référentiels largement reconnus Le commanditaire Il peut être : - Le directeur général Le directeur informatique Il va demander ce qu’il attend en fournissant un document important à l’auditeur, c’est la lettre de mission qui précise le mandat à exécuter et qui donne les attentes exactes de demandeur. L’audit informatique. Un audit de qualité doit atteindre les objectifs suivants : Déterminer la conformité des éléments du système aux exigences spécifiées Déterminer l’aptitude du système à atteindre les objectifs spécifiés Donner à une organisation la possibilité d’améliorer son système et son efficacité S’assurer que les activités informatiques d’une entreprise ou d’une administration se déroulent conformément aux règles et aux usages professionnels, appelés de manière traditionnelle les bonnes pratiques Estimer les risques technologiques susceptibles d’impacter les opérations de production Définir les points à améliorer Obtenir les recommandations pour faire face aux faiblesses de l’entreprise L’audit informatique consiste à évaluer le niveau de maturité de l’informatique de l’entreprise. Apports possibles d’un audit : Une mesure d’écart Une source d’amélioration Une source d’économie Une occasion de considérer son système de façon objective Une approche à la compréhension de son système Une implication concrète des acteurs dans le système 3 L’audit des projets informatiques. Objectif : S’assurer que le projet se déroule normalement et que l’enchaînement des opérations se fait de manière logique et efficace de façon qu’on ait de forte chance d’arriver à la fin de la phase de développement à une application qui sera performante et opérationnelle. Il y a trois moments pour faire un tel audit, dans les 3 étapes du cycle de vie du projet : En amont du projet Pendant le projet En aval du projet Quelles sont les informations à recueillir pour ce type d’audit ? Les bonnes pratiques : L’existence d’une méthodologie de conduite des projets La conduite des projets par étapes quel que soit le modèle de gestion de projets :cascade, V, W ou en spirale Le respect des étapes et des phases du projet Le pilotage de développement et notamment les rôles respectifs du chef de projet et du comité du pilotage L’audit des projets : La conformité du projet aux objectifs généraux de l’entreprise La mise en place d’une note de cadrage, d’un plan de management de projet ou d’un PLAN d’ASSURANCE QUALITE (PAQ) La qualité et la complétude des études amont : étude de faisabilité et analyse fonctionnelle L’importance accordée aux tests, notamment aux tests faits par les utilisateurs La clarté et l’efficacité du processus de développement L’existence de procédures, de méthodes et de standards donnant des instructions claires aux développeurs et utilisateurs La vérification de l’application effective de la méthodologie La validation du périmètre fonctionnel doit être faite suffisamment tôt dans le processus de développement La gestion des risques du projet. Une évolution des risques doit être faite aux étapes clés du projet. De plus en plus les entreprises de conseil recrutent dans divers spécialités comme la chimie ou encore la biologie alors qu’auparavant seuls les informaticiens étaient convoités. L’augmentation de la demande d’audit implique cet élargissement du recrutement au niveau des compétences. 4 L’audit des applications. L’audit d’applications opérationnelles couvre un domaine plus large et s’intéresse au système d’information de l’entreprise. Ce sont des audits du système d’information : Application comptable, paie, facturation… Vente, production, achats, logistique… Auditer une application de gestion de façon à s’assurer qu’elle fonctionne correctement et, lui apporter les améliorations souhaitables. L’auditeur va notamment s’assurer d respect et de l’application des règles de contrôle interne. Il va en particulier vérifier que : Les contrôles en place sont opérationnels et sont suffisants Les données saisies, stockées ou produites par les traitements sont de bonne qualité Les traitements sont efficaces et donnent les résultats attendus L’application est correctement documentée Les procédures mises en œuvre dans le cadre de l’application sont à jour et adaptées L’exploitation informatique de l’application se fait dans de bonnes conditions La fonction ou le processus couvert par l’application sont efficaces et productifs Le but de l’audit d’une application opérationnelle est de donner au management une assurance raisonnable sur son fonctionnement. Ces contrôles sont, par exemple, réalisés par le Commissaire aux Comptes dans le cadre de sa mission légale d’évaluation des comptes d’une entreprise. Pour effectuer l’audit d’une application opérationnelle on va recourir aux objectifs de contrôle les plus courants : La conformité de l’application opérationnelle par rapport à la documentation utilisateur, par rapport au cahier des charges d’origine, par rapport aux besoins actuels des utilisateurs, La vérification des dispositifs de contrôle en place. Il doit exister des contrôles suffisants sur les données entrées, les données stockées, les sorties, les traitements, etc. L’auditeur doit s’assurer qu’ils sont en place et donnent les résultats attendus. L’évaluation de la fiabilité des traitements en faisant des analyses d’erreurs. Enfin il faut absolument mesurer les performances de l’application pour s’assurer que les temps de réponse sont satisfaisants même en période de forte charge. L’auditeur va aussi s’intéresser au nombre d’opérations effectuées par le personnel dans les conditions normales d’utilisation. 5