L’audit Informatique et la Qualité Bennani Samir Ecole Mohammadia d’Ingénieurs [email protected] Qu'est-ce que l'audit informatique ? Pour Directeur général : voir plus clair dans l'activité d'un service clé Pour Directeur informatique : conseil en organisation par des spécialistes Pour Directeur financier : apprécier la fiabilité des applications mardi 17 février 2004 Samir Bennani OBJECTIFS DE L'AUDIT INFORMATIQUE vérifier : la fiabilité de l'outil Informatique l'usage qui en est fait Difficile à atteindre !!! impossible à un auditeur, d'avoir la certitude de fiabilité mardi 17 février 2004 Samir Bennani Exemple : logiciel facturation dans une entreprise – – – écriture des programmes claire et performante documentation précise et détaillée, procédures d'exploitation sans défaut, Mais peut receler des lacunes graves. A l'inverse, – logiciel mal documenté, peu accessible, – exploité dans des conditions déplorables... peut se révéler à l'usage parfaitement fiable mardi 17 février 2004 Samir Bennani aucun logiciel n'est parfait Les bons sont des logiciels sans fautes «graves» L'auditeur, ne peut être spécialiste de chacun des domaines fonctionnels qu'il contrôle L’audit informatique est-il utile dès lors qu'aucun travail, ne peut fournir une certitude quant à la fiabilité des logiciels ? présomptions sur la fiabilité !!! mardi 17 février 2004 Samir Bennani LA FIABILITE DE L'ENVIRONNEMENT INFORMATIQUE a) L'intérêt d'un bon contrôle interne Une bonne organisation d'ensemble, L’existence de procédures et de méthodes satisfaisantes une présomption de la fiabilité et de la pérennité des logiciels développés mardi 17 février 2004 Samir Bennani Exemples … Absence de politique de sauvegarde Absence de Méthode normalisée de programmation A contrario Existence de procédures de contrôle et d'autorisation mardi 17 février 2004 Samir Bennani b) Les demandeurs d'un audit de l'activité informatique La Direction de l'entreprise Pour vérifier le respect des orientations qu'il a définies Le responsable informatique l'opinion motivée de spécialistes sur sa propre organisation Les contrôleurs externes S’intéressent à la qualité de l'environnement informatique mardi 17 février 2004 Samir Bennani c) Les composantes d'un audit de l'activité informatique L’examen de l'organisation du service, L’examen des procédures liées au développement, l'examen des procédures liées à l'exploitation, l'examen des fonctions techniques, les contrôles sur la protection et la confidentialité des données mardi 17 février 2004 Samir Bennani d) Les méthodes d'audit de l'activité informatique Le contrôle de la fiabilité, se base sur – des entretiens avec le personnel informatique & certains utilisateurs – des contrôles de documents ou d'états, pour validation des réponses. outils commerciaux – bâtis autour d'un questionnaire d'audit, et d’un logiciel d’exploitation mardi 17 février 2004 Samir Bennani Des Questions est-il possible de valider les résultats fondés sur les seules réponses fournies lors des entretiens ? peut-on avoir confiance dans des méthodes basées sur une auto- évaluation par les informaticiens et par les utilisateurs de leurs propres forces et faiblesses ? la sécurité informatique ne constituant pas une science exacte, n'est - il pas dès lors subjectif de vouloir quantifier à tout prix des informations qualitatives ? mardi 17 février 2004 Samir Bennani LA FIABILITÉ D'UNE APPLICATION INFORMATISÉE se prononcer sur la qualité d'une application donnée : Contrôle de fiabilité du logiciel ou de l'utilisation qui en est faite ?? fiabilité d'une application, conjoncture: Un bon logiciel et une utilisation satisfaisante mardi 17 février 2004 Samir Bennani Adéquation du logiciel aux spécifications ou adéquation des spécifications fonctionnelles aux objectifs Recherche de fraudes ou recherche d'erreurs C'est la recherche d'erreur qui sera généralement privilégiée par l'auditeur mardi 17 février 2004 Samir Bennani qualité des méthodes ou qualité des procédures d’exploitation La qualité des procédures de conception et de réalisation des applications constitue une présomption de fiabilité Contrôle de fiabilité des logiciels et contrôle de leur pérennité – Qualité de conception, opposée à de mauvaises procédures d'exploitation – Un logiciel fiable mais mal documenté, aura une faible espérance de vie mardi 17 février 2004 Samir Bennani méthodes d'audit d'une application Les jeux d'essai rarement utilisés dans l’audit – lourdeur de mise en œuvre – teste logiciels, mais pas le contenu des fichiers; – manque d’exhaustivité ; – Décèle rarement des opérations frauduleuses mardi 17 février 2004 Samir Bennani méthodes d'audit d'une application (suite) L'examen du contrôle de l’environnement – les procédures de développement et de maintenance; – les procédures d'exploitation; – les fonctions techniques; – l'organisation du service et du projet; mardi 17 février 2004 Samir Bennani méthodes d'audit d'une application (suite) L'examen du contrôle interne de la fonction traitée Une application ne peut être considérée comme fiable si, en dépit de logiciels de qualité, elle est utilisée en dépit de bon sens mardi 17 février 2004 Samir Bennani méthodes d'audit d'une application (suite) réalisation par les utilisateurs de contrôles de cohérence L'existence de contrôles hiérarchiques L'existence d'une bonne séparation des fonctions Procédures d'autorisation d’accès valables La compétence et l'intégrité du personnel La continuité du chemin de révision validations régulières du contenu des fichiers mardi 17 février 2004 Samir Bennani AUDIT DE L’ACTIVITE INFORMATIQUE Comment s'assurer de la qualité de l'environnement informatique ? l'organisation générale du service, les procédures de développement et de maintenance, L’environnement de production, les fonctions techniques, la protection et la confidentialité des données. mardi 17 février 2004 Samir Bennani