Audit informatique

L'audit informatique (en anglais Information technology audit ou IT audit) a pour objectif de s'assurer que les activités informatiques d'une entreprise ou d'une administration se déroulent conformément aux règles et aux usages professionnels, appelés de manière traditionnelle les bonnes pratiques. On va pour cela s'intéresser aux différents processus informatiques comme la fonction informatique, les études informatiques, les projets informatiques, l'exploitation, la sécurité informatique,… L'audit informatique consiste à évaluer le niveau de maturité de l'informatique de l'entreprise en se basant sur un référentiel comme par exemple CobiT.

On peut vouloir aller plus loin et s'intéresser à l'évaluation des systèmes d'information et non plus seulement à l'informatique. C'est le domaine de l'audit des applications. Ainsi dans le cas d'une application comptable on va s'attacher à vérifier l'intégrité des données comptables, la disponibilité de l'application, s'assurer qu'elle répond aux besoins des comptables et que le système comptable s'interface efficacement avec les autres systèmes de gestion de l'entreprise.

Les concepts de base de l'audit informatique

La notion de contrôle est au coeur de la démarche d'audit informatique. L'objectif est de mettre en place des dispositifs de contrôle efficaces et performants permettant de maîtriser efficacement l'activité informatique. Le contrôle interne un processus mis en œuvre à l'initiative des dirigeants de l'entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :

1. la conformité aux lois et aux règlements,
2. la fiabilité des informations financières,
3. la réalisation et l'optimisation des opérations.

Il est évident que l'audit informatique s'intéresse surtout au troisième objectif.

La démarche d'audit informatique se définit à partir des préoccupations du demandeur d'audit qui peut être le directeur général, le directeur informatique, le directeur financier,… Il va pour cela mandater l'auditeur pour répondre à une liste de questions précises qui font, plus ou moins implicitement, référence à l'état des bonnes pratiques connues dans ce domaine. Cela se traduit par un document important : la lettre de mission qui précise le mandat à exécuter et qui donne les pouvoirs nécessaires à l'auditeur.

Celui-ci va ensuite s'attacher à relever des faits puis il va mener des entretiens avec les intéressés concernés. Il va ensuite s'efforcer d'évaluer ses observations par rapport à des référentiels largement reconnus. Sur cette base il va proposer des recommandations.

L'auditeur informatique va se servir de référentiels d'audit informatique lui donnant l'état des bonnes pratiques dans ce domaine. Le référentiel de base est CobiT: Control Objectives for Information and related Technology. Mais il va aussi utiliser d'autres référentiels comme : Val IT, Risk IT, CobiT and Applications Controls, ISO 27002, CMMi, ITIL, …

Différents types d'audit informatique

La démarche d'audit informatique est générale et s'applique à différents domaines comme la fonction informatique, les études informatiques, les projets informatiques, l'exploitation, la planification de l'informatique, les réseaux et les télécommunications, la sécurité informatique, les achats informatiques, l'informatique locale ou l'informatique décentralisée, la qualité de service, l'externalisation, la gestion de parc, les applications opérationnelles… Ci-dessous une présentation succincte des audits informatiques les plus fréquents.

Audit de la fonction informatique

Le but de l'audit de la fonction informatique est de répondre aux préoccupations de la direction générale ou de la direction informatique concernant l'organisation de la fonction informatique, son pilotage, son positionnement dans la structure, ses relations avec les utilisateurs, ses méthodes de travail…

Pour effectuer un audit de la fonction informatique on se base sur les bonnes pratiques connues en matière d'organisation de la fonction informatique. Elles sont nombreuses et bien connues, parmi celles-ci on peut citer :

• la clarté des structures et des responsabilités de l'équipe informatique,
• la définition des relations entre la direction générale, les directions fonctionnelles et opérationnelles et la fonction informatique,
• l'existence de dispositifs de mesures de l'activité et notamment d'un tableau de bord de la fonction informatique,
• le niveau des compétences et des qualifications du personnel de la fonction.

Il existe de nombreuses autres bonnes pratiques concernant la fonction informatique. Pour auditer la fonction on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle comme par exemple :

• le rôle des directions fonctionnelles et opérationnelles dans le pilotage informatique et notamment l'existence d'un comité de pilotage de l'informatique,
• la mise en œuvre de politiques, de normes et de procédures spécifiques à la fonction,
• la définition des responsabilités respectives de la fonction informatique et des unités utilisatrices concernant les traitements, la maintenance, la sécurité, les investissements, les développements,….
• l'existence de mécanismes permettant de connaître et de suivre les coûts informatiques, soit à l'aide d'une comptabilité analytique, soit, à défaut, grâce à un mécanisme de refacturation,
• le respect des dispositifs de contrôle interne comme une évaluation périodique des risques, la mesure de l'impact de l'informatique sur les performances de l'entreprise…

Ces différents objectifs de contrôle correspondent au processus PO 4 de CobiT : "Définir les processus, l'organisation et les relations de travail".

Audit des études informatiques

L'audit des études informatiques est un sous-ensemble de l'audit de la fonction informatique. Le but de cet audit est de s'assurer que son organisation et sa structure sont efficaces, que son pilotage est adapté, que ses différentes activités sont maîtrisées, que ses relations avec les utilisateurs se déroulent normalement,…

Pour effectuer un audit des études informatiques on se base sur la connaissance des bonnes pratiques recensées dans ce domaine. Elles sont nombreuses et connues par tous les professionnels. Parmi celles-ci on peut citer :

• l'organisation de la fonction études en équipes, le choix des personnes et leur formation, leurs responsabilités, …
• la mise en place d'outils et de méthodes adaptés notamment une claire identification des tâches, des plannings, des budgets, des dispositifs de suivi des études, un tableaux de bord,…
• le contrôle des différentes activités qui ne peuvent pas être planifiées comme les petits projets, les projets urgents,…
• la mise sous contrôle de la maintenance des applications opérationnelles,
• le suivi des activités d'études à partir de feuilles de temps.

Il existe de nombreuses autres bonnes pratiques concernant les études informatiques. Pour l'auditer on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle comme par exemple :

• l'évaluation de l'organisation de la fonction d'études informatiques et notamment la manière dont sont planifié les différentes activités d'études,
• le respect de normes en matière de documentation des applications et notamment la définition des documents à fournir avec les différents livrables prévues,
• le contrôle de la sous-traitance notamment la qualité des contrats, le respect des coûts et des délais, la qualité des livrables, …
• l'évaluation de la qualité des livrables fournis par les différentes activités d'études qui doivent être testables et vérifiables

Il existe de nombreux autres objectifs de contrôle concernant les études informatiques et ils sont choisis en fonctions des préoccupations du demandeur d'audit.

Audit de l'exploitation

L'audit de l'exploitation a pour but de s'assurer que le ou les différents centres de production informatiques fonctionnent de manière efficace et qu'ils sont correctement gérés. Il est pour cela nécessaire de mettre en œuvre des outils de suivi de la production comme Openview d'HP, de Tivoli d'IBM,… Il existe aussi un système Open Source de gestion de la production comme Nagios. Ce sont de véritables systèmes d'information dédiés à l'exploitation.

Pour effectuer un audit de l'exploitation on se base sur la connaissance des bonnes pratiques concernant ce domaine comme par exemple :

• la clarté de l'organisation de la fonction notamment le découpage en équipes, la définition des responsabilités,…
• l'existence d'un système d'information dédié à l'exploitation notamment pour suivre la gestion des incidents, la gestion des ressources, la planification des travaux, les procédures d'exploitation, ,…
• la mesure de l'efficacité et de la qualité des services fournies par l'exploitation informatique.

Il existe de nombreuses autres bonnes pratiques concernant l'exploitation informatique. Pour effectuer cet audit on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle comme :

• la qualité de la planification de la production,
• la gestion des ressources grâce à des outils de mesure de la charge, des simulations, le suivi des performances,…
• l'existence de procédures permettant de faire fonctionner l'exploitation en mode dégradé de façon à faire face à une indisponibilité totale ou partielle du site central ou du réseau,
• la gestion des incidents de façon à les repérer et le cas échéant d'empêcher qu'ils se renouvellent,
• les procédures de sécurité et de continuité de service qui doivent se traduire par un plan de secours,
• la maîtrise des coûts de production grâce à une comptabilité analytique permettant de calculer les coûts complets des produits ou des services fournis.

Ces différents objectifs de contrôle correspondent au processus DS 1, DS 3, DS 6, DS 12 et DS 13 de CobiT : DS 1 "Définir et gérer les niveaux de services", DS 3 "Gérer la performance et la capacité", DS 6 "Identifier et imputer les coûts", DS 12 "Gérer l'environnement physique", DS 13 "Gérer l'exploitation".

Audit des projets informatiques

L'audit des projets informatiques est un audit dont le but est de s'assurer qu'il se déroule normalement et que l'enchaînement des opérations se fait de manière logique et efficace de façon qu'on ai de forte chance d'arriver à la fin de la phase de développement à une application qui sera performante et opérationnelle. Comme on le voit un audit d'un projet informatique ne se confond pas avec un audit des études informatiques.

Pour effectuer un audit d'un projet informatique on se base sur la connaissance des bonnes pratiques connues en ce domaine. Elles sont nombreuses et connues par tous les chefs de projets et de manière plus générale par tous professionnels concernés. Parmi celles-ci on peut citer :

• l'existence d'une méthodologie de conduite des projets,
• la conduite des projets par étapes quel que soit le modèle de gestion de projets : cascade, V, W ou en spirale (processus itératif),
• le respect des étapes et des phases du projet,
• le pilotage du développement et notamment les rôles respectifs du chef de projet et du comité de pilotage,
• la conformité du projet aux objectifs généraux de l'entreprise,
• la mise en place d'une note de cadrage, d'un plan de management de projet ou d'un plan d'assurance qualité (PAQ),
• la qualité et la complétude des études amont : étude de faisabilité et analyse fonctionnelle,
• l'importance accordée aux tests, notamment aux tests faits par les utilisateurs.

Il existe de nombreuses autres bonnes pratiques concernant la gestion de projet. Pour effectuer un audit d'un projet informatique on va se baser sur un certain nombre d'objectifs de contrôle comme par exemple :

• la clarté et l'efficacité du processus de développement,
• l'existence de procédures, de méthodes et de standards donnant des instructions claires aux développeurs et aux utilisateurs,
• la vérification de l'application effective de la méthodologie,
• la validation du périmètre fonctionnel doit être faite suffisamment tôt dans le processus de développement,
• la gestion des risques du projet. Une évolution des risques doit être faite aux étapes clés du projet.

Il existe de nombreux autres objectifs de contrôle possibles concernant l'audit de projet informatique qui sont choisis en fonctions des préoccupations et des attentes du demandeur d'audit.

Ces différents objectifs de contrôle correspondent aux processus PO 10, AI 1 et AI 2 de CobiT : PO 10 "Gérer le projet" mais aussi AI 1 "Trouver des solutions informatiques" et AI 2 "Acquérir des applications et en assurer la maintenance".

Audit des applications opérationnelles

Les audits précédents sont des audits informatiques, alors que l'audit d'applications opérationnelles couvre un domaine plus large et s'intéresse au système d'information de l'entreprise. Ce sont des audits du système d'information. Ce peut être l'audit de l'application comptable, de la paie, de la facturation,…. Mais, de plus en plus souvent, on s'intéresse à l'audit d'un processus global de l'entreprise comme les ventes, la production, les achats, la logistique,…

Il est conseillé d'auditer une application de gestion tous les deux ou trois ans de façon à s'assurer qu'elle fonctionne correctement et, le cas échéant pouvoir apporter les améliorations souhaitable à cette application ou à ce processus. L'auditeur va notamment s'assurer du respect et de l'application des règles de contrôle interne. Il va en particulier vérifier que :

• les contrôles en place sont opérationnels et sont suffisants,
• les données saisies, stockées ou produites par les traitements sont de bonnes qualités,
• les traitements sont efficaces et donnent les résultats attendus,
• l'application est correctement documentée,
• les procédures mises en œuvre dans le cadre de l'application sont à jour et adaptées,
• l'exploitation informatique de l'application se fait dans de bonnes conditions,
• la fonction ou le processus couvert par l'application sont efficaces et productifs,
• …

Le but de l'audit d'une application opérationnelle est de donner au management une assurance raisonnable sur son fonctionnement. Ces contrôles sont, par exemple, réalisés par le Commissaire aux Comptes dans le cadre de sa mission légale d'évaluation des comptes d'une entreprise : est-ce que le logiciel utilisé est sûr, efficace et adapté ?

Pour effectuer l'audit d'une application opérationnelle on va recourir aux objectifs de contrôle les plus courants :

• le contrôle de la conformité de l'application opérationnelle par rapport à la documentation utilisateur, par rapport au cahier des charges d'origine, par rapport aux besoins actuels des utilisateurs,
• la vérification des dispositifs de contrôle en place. Il doit exister des contrôles suffisants sur les données entrées, les données stockées, les sorties, les traitements,… L'auditeur doit s'assurer qu'ils sont en place et donnent les résultats attendus,
• l'évaluation de la fiabilité des traitements se fait grâce à l'analyse des erreurs ou des anomalies qui surviennent dans le cadre des opérations courantes. Pour aller plus loin l'auditeur peut aussi être amené à constituer des jeux d'essais pour s'assurer de la qualité des traitements. Il est aussi possible d'effectuer des analyses sur le contenu des principales bases de données afin de détecter d'éventuelles anomalies,
• la mesure des performances de l'application pour s'assurer que les temps de réponse sont satisfaisants même en période de forte charge. L'auditeur va aussi s'intéresser au nombre d'opérations effectuées par le personnel dans des conditions normales d'utilisation.

Très souvent on demande à l'auditeur d'évoluer la régularité, la conformité, la productivité, la pérennité de l'application opérationnelle. Ce sont des questions délicates posées par le management à l'auditeur.

Audit de la sécurité informatique

L'audit de la sécurité informatique a pour but de donner au management une assurance raisonnable du niveau de risque de l'entreprise lié à des défauts de sécurité informatique. En effet, l'observation montre que l'informatique représente souvent un niveau élevé pour risque élevé de l'entreprise. On constate actuellement une augmentation de ces risques liée au développement d'Internet. Ils sont liés à la conjonction de quatre notions fondamentales :

1. en permanence il existe des menaces significative concernant la sécurité informatique de l'entreprise et notamment ses biens immatériels,
2. le facteur de risque est une cause de vulnérabilité due à une faiblesse de l'organisation, des méthodes, des techniques ou du système de contrôle,
3. la manifestation du risque. Tôt ou tard le risque se manifeste. Il peut être physique (incendie, inondation) mais la plupart du temps il est invisible et se traduit notamment par la destruction des données, détournement de trafic,..
4. la maîtrise du risque. Il s'agit de mettre en place des mesures permettant de diminuer le niveau des risques notamment en renforçant les contrôle d'accès, l'authentification des utilisateurs,…

Pour effectuer un audit de sécurité informatique il est nécessaire de se baser sur quelques objectifs de contrôle. Les plus courants sont :

• repérer les actifs informationnels de l'entreprise. Ce sont des matériels informatiques, des logiciels et des bases de données. Il est pour cela nécessaire d'avoir des procédures de gestion efficaces et adaptées,
• identifier les risques. Il doit exister des dispositifs de gestion adaptés permettant de surveiller les domaines à risque. Cette surveillance doit être assurée par un RSSI, un responsable de la sécurité informatique,
• évaluer les menaces. Le RSSI a la responsabilité de repérer les principaux risques liés aux différents domaines du système d'information. Un document doit recenser les principales menaces,
• mesures les impacts. Le RRSI doit établir une cartographie des risques associés au système d'information. Il est alors envisageable de construire des scénarios d'agression et d'évaluer les points de vulnérabilité,
• définir les parades. Pour diminuer le niveau des risques il est nécessaire de prévoir les dispositifs comme des contrôles d'accès, le cryptage des données, le plan de secours,…

Il existe de nombreux autres objectifs de contrôle concernant l'audit de la sécurité informatique qui sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.

Ces différents objectifs de contrôle correspondent aux processus de CobiT DS 5 : "Assurer la sécurité des systèmes" et PO 9 "Evaluer et gérer les risques". Il existe un référentiel spécifique à la sécurité informatique : ISO 27002. C'est un code des bonnes pratiques concernant le management de la sécurité des systèmes d'information. Il est complété par la norme ISO 27001 concernant la mise en place d'un Système de Management de la sécurité de l'Information.

Voir audit de sécurité

Démarche d'audit informatique

Une mission d'audit informatique se prépare. Il est pour cela conseillé d'effectuer au préalable un pré-diagnostic afin de préciser les questions que cet audit va traiter. Cela se traduit par l'établissement d'une lettre de mission détaillant les principaux points à auditer.

Pour mener à bien l'audit informatique il est recommandé de suivre six étapes suivantes :

1. l'établissement de la lettre de mission. Ce document est rédigé et signé par le demandeur d'audit et permet de mandater l'auditeur. Il sert à identifier la liste des questions que se posent le demandeur d'audit. Très souvent l'auditeur participe à sa rédaction.
2. la planification de la mission permet de définir la démarche détaillée qui sera suivie. Elle va se traduire par un plan d'audit ou une proposition commerciale. Ce document est rédigé par l'auditeur et il est soumis à la validation du demandeur d'audit,
3. la collecte des faits, la réalisation de tests, … Dans la plupart des audits c'est une partie importante du travail effectué par les auditeurs. Il est important d'arriver à dégager un certain nombre de faits indiscutables,
4. les entretiens avec les audités permettent de compléter les faits collectés grâce à la prise en compte des informations détenues par les opérationnels. Cependant, souvent ceux-ci font plutôt part de leurs opinions plus que d'apporter les faits recherchés,
5. la rédaction du rapport d'audit est un long travail qui permet de mettre en avant des constatations faites par l'auditeur et les recommandations qu'il propose,
6. la présentation et la discussion du rapport d'audit au demandeur d'audit, au management de l'entreprise ou au management de la fonction informatique.

Il peut arriver qu'à la suite de la mission d'audit il soit demandé à l'auditeur d'établir le plan d'action et éventuellement de mettre en place un suivi des recommandations.

Les référentiels d'audit informatique

Il existe diféérents référentiels comme :

• CobiT : Control Objectives for Information and related Technology. C'est le principal référentiel des auditeurs informatiques,
• Val IT permet d'évaluer la création de valeur par projet ou par portefeuille de projets,
• Risk IT a pour but d'améliorer la maîtrise des risques liés à l'informatique (Voir page en anglais http://en.wikipedia.org/wiki/Risk_IT ),
• CobiT and Applications Controls.

Voir les sites de l'ISACA Information Systems Audit & Control Association qui est l'association internationale des auditeurs informatiques et de l'AFAI Association Française de l'Audit et du conseil Informatique, qui est le chapitre français de l'ISACA.

Mais on peut aussi utiliser d'autres référentiels comme :

• ISO 27002 qui est un code des bonnes pratiques en matière de management de la sécurité des systèmes d'information,
• CMMi : Capability Maturity Model integration qui est une démarche d'évaluation de la qualité de la gestion de projet informatique,
• ITIL qui est un recueil des bonnes pratiques concernant les niveaux et de support des services informatiques.

La certification des auditeurs informatique

On pourrait imaginer une certification des directions informatique ou des applications informatiques. Cela n'existe pas. Il existe par contre une certification de la qualité des projets informatiques : CMMI. En matière de qualité de service fournie par l'exploitation il y a la certification sur la norme ISO 20000 qui est un sous-ensemble d'ITIL.

Il existe par contre une procédure de certification des outsourceurs : SAS 70, Statement on Auditing Standards n°70. Cette norme a été créée par l'American Institute of Certified Public Accountants (AICPA) pour éviter à ces organismes de devoir supporter successivement plusieurs audits informatiques sur des sujets voisins. Ce sont des audits réalisés par des tiers et vont s'assurer que les processus mis en œuvre offrent la qualité du service attendue.

En matière d'audit informatique on certifie les auditeurs informatiques. La certification de référence est le CISA, Certified Information Systems Auditor. C'est une certification professionnelle internationale. Elle est organisée par l'ISACA depuis 1978. En France elle est passée depuis 1989. A ce jour dans le Monde 75.000 personnes ont le CISA dont plus de 1.000 en France. L'examen peut être passé deux fois par an : en juin et en décembre, dans 11 langues différentes et dans 200 villes dans le monde. Il faut répondre à 200 questions à choix multiples en 4 heures portant sur l'audit et l'informatique. L'examen porte sur 6 domaines :

1. les processus d'audit des systèmes d'information,
2. la gouvernance IT,
3. la gestion du cycle de vie des systèmes et de l'infrastructure,
4. la fourniture et le support des services,
5. la protection des avoirs informatiques,
6. le plan de continuité et le plan de secours informatique.

Notes et références

• (fr) Comment gérer efficacement les risques informatiques ?, de Marc Barbezat, une carte heuristique (mindmap) des principaux référentiels d'audit informatiques incluant une brève description pour chacun d'eux et des liens directs vers la source.

Voir aussi

Articles connexes

• AFAI
• CobiT
• Val IT
• Gouvernance des technologies de l'information
• IT Audit sur Wikipédia en anglais
• Audit de sécurité
• Audit de code
• Management du système d'information

Liens externes

• Association Française de l'Audit et du conseil Informatique (AFAI)
• Information Systems Audit & Control Association (ISACA)

Bibliographie

• CobiT version 4.1 : Control Objectives for Information and related Technology, Edition française faite par l'AFAI ISBN 2-915007-09-8
• Guide d'audit des systèmes d'information, Edition française faite par l'AFAI
• Manuel de préparation CISA couramment appelé le CISA Review Manual. Il est édité dans plusieurs langues. Il existe une version en français, ISACA,
• Information Technology Control and Audit, de Callegos, Manson et Allen-Senft, ISACA