Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Audit de Sécurité des systèmes d’information

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Salaheddine Salaheddine
February 10, 2022
Education
0
430

Audit de Sécurité des systèmes d’information

Avatar for Salaheddine

Salaheddine

February 10, 2022
Tweet

Other Decks in Education

See All in Education
GOBUSATA紹介
Avatar for ちゃんかわ chankawa919
0
130
Tips for the Presentation - Lecture 2 - Advanced Topics in Big Data (4023256FNR)
Avatar for Beat Signer signer
PRO
0
520
PE testbench data order
Avatar for SUNG, CHIN-CHENG songchch
0
150
From Participation to Outcomes
Avatar for Territorium territorium
PRO
0
410
PE array testbench data order (data)
Avatar for SUNG, CHIN-CHENG songchch
0
150
ブランチ操作 / 02-a-branch
Avatar for kaityo256 kaityo256
PRO
0
220
Padlet opetuksessa
Avatar for Matleena Laakso matleenalaakso
12
15k
AIで日本はどう進化する? 〜キミが生きる2035年の地図〜
Avatar for Zun Behoma behomazn
0
130
Chapitre_2_-_Partie_2.pdf
Avatar for Monsieur Bernhard bernhardsvt
2
230
インシデント対応
Avatar for akira345 akira345
0
380
Pen-based Interaction - Lecture 4 - Next Generation User Interfaces (4018166FNR)
Avatar for Beat Signer signer
PRO
0
2.2k
心理学を学び活用することで偉大なスクラムマスターを目指す − 大学とコミュニティを組み合わせた学びの循環 / Becoming a great Scrum Master by learning and using psychology
Avatar for Satoshi Harada psj59129
1
2.2k

Featured

See All Featured
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.4k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.5k
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
280
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
310
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.9k
30 Presentation Tips
Avatar for Ian Lurie portentint
PRO
1
260
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
660
How to audit for AI Accessibility on your Front & Back End
Avatar for davetheseo davetheseo
0
230
How to build a perfect <img>
Avatar for Jono Alderson jonoalderson
1
5.3k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
47
8k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
Avatar for AKADEMIYA2063 akademiya2063
PRO
1
79
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k

Transcript

  1. AUDIT DES SI HERMANN AMONZAME [email protected] 1

  2. SOMMAIRE • INTRODUCTION • GÉNÉRALITÉS • GOUVERNANCE • GESTION DES

    RISQUES • CONTRÔLE INTERNE • RISQUES ET CONTRÔLE DES SI • KPI ET TABLEAU DE BORD • AUDIT DES SI • TECHNIQUES D’AUDIT • CONDUITE D’UNE MISSION D’AUDIT • LE RAPPORT D’AUDIT 2

  3. GÉNÉRALITÉS UNE ENTREPRISE EST UNE ORGANISATION QUI DISPOSE DE MOYENS

    HUMAINS, MATÉRIELS ET FINANCIERS POUR PRODUIRE DES BIENS OU SERVICES QUI SERONT VENDUS SUR UN MARCHÉ DANS LE BUT D’EN RETIRER UN PROFIT. • BUT : OBTENIR LA MATIÈRE PREMIÈRE (OU SERVICE), PRODUCTION DE BIENS (UNE PRODUCTION TANGIBLE, PALPABLE, QU’ON PEUT STOCKER) ET SERVICES (UNE PRODUCTION IMMATÉRIELLE, QU’ON NE PEUT PAS STOCKER), SATISFAIRE LES BESOINS DES CONSOMMATEURS, CRÉER DE LA VALEUR AJOUTÉE, DÉGAGER UN PROFIT ET ASSURER SA PÉRENNITÉ 3

  4. GÉNÉRALITÉS POUR ATTEINDRE LEURS BUTS, TOUTES LES GRANDES ENTREPRISES SONT

    AUJOURD’HUI PRÉOCCUPÉES PAR LA MAITRISE DES RISQUES LIÉS À LEURS ACTIVITÉS : RISQUES PROVENANT : • DE PROCESSUS INTERNES INADÉQUATS OU DÉFAILLANTS • DE PERSONNES ET SYSTÈMES OU D’ÉVÈNEMENT EXTERNE LES RISQUES PEUVENT AFFECTER OU NUIRE GRAVEMENT LE FONCTIONNEMENT OU À LA PÉRENNITÉ DE L’ENTREPRISE 4

  5. GÉNÉRALITÉS QUELQUES EXEMPLES • DÉFAILLANCE D’UN FOURNISSEUR • RUPTURE DU

    SYSTÈME D’INFORMATION • PERTES DE DONNÉES • INCENDIE DU SITE INFORMATIQUE • CATASTROPHE NATURELLE • FRAUDES • CONFLIT SOCIAL • COMPROMISSION D’INFORMATION CONFIDENTIELLE 5

  6. GÉNÉRALITÉS QUELLES SOLUTIONS ? 6

  7. GÉNÉRALITÉS UNE DÉMARCHE ÉPROUVÉE • QUELLE EST LA MISSION DE

    L’ENTREPRISE, SES OBJECTIFS ? => GOUVERNANCE • QUELS RISQUES POUVANT PORTER ATTEINTE À CES OBJECTIFS ? => GESTION DES RISQUES • COMMENT VÉRIFIER QUE CES SOLUTIONS SONT BIEN CONÇUES ET PERMETTENT DE MAÎTRISER LES RISQUES IDENTIFIER ? COMMENT NOUS ASSURONS NOUS DE L’ATTEINTE DES OBJECTIFS ?=> CONTRÔLE INTERNE = CONTRÔLE PERMANENT ET AUDIT INTERNE 7

  8. GOUVERNANCE • POUR RÉUSSIR, UNE ORGANISATION DOIT METTRE EN PLACE

    UN CADRE DE RÉFÉRENCE GÉNÉRIQUE POUR SES PRISES DE DÉCISIONS, QU’ELLES SOIENT À LONG TERME OU AU JOUR LE JOUR. EX D’ORGANISATIONS : • NOTRE CENTRE DE FORMATION • NOTRE ENTREPRISE POUR LAQUELLE NOUS TRAVAILLONS • NOS CLUBS OU ÉQUIPES DE SPORT • TOUTES CES ORGANISATIONS ONT UNE FORME DE STRUCTURE QUI LES AIDE À RÉUSSIR • CHAQUE STRUCTURE PEUT AVOIR PLUSIEURS COMPOSANTES DONT L’AUDIT. 8

  9. GOUVERNANCE • LA STRUCTURE EFFECTIVE DE L’ORGANISATION VARIE D’UNE ENTITÉ

    À UNE AUTRE • CHAQUE ENTITÉ DOIT ÉTABLIR UNE STRUCTURE D’ENSEMBLE PROPRE À SON MODEL ÉCONOMIQUE AFIN DE SATISFAIRE LES BESOINS DES PARTIE PRENANTES 9 Contrôle interne Gouvernance Gestion des risques Principaux éléments de la gouvernance

  10. GOUVERNANCE GOUVERNANCE : • PROCESSUS PILOTÉ PAR LE CONSEIL •

    CONSISTE À : • AUTORISER, DIRIGER ET SURVEILLER LES ACTIVITÉS DE LA DIRECTION GÉNÉRAL EN VUE DE RÉALISER LES OBJECTIFS DE L’ORGANISATION 10 Contrôle interne Gouvernance Gestion des risques Principaux éléments de la gouvernance

  11. GOUVERNANCE GOUVERNANCE : • IDENTIFIER LES PARTIES PRENANTES, LEURS BESOINS

    ET ATTENTES • FIXER LES OBJECTIFS STRATÉGIQUES • DÉFINIR LES LIGNES DIRECTRICES POUR LES ATTEINDRE • ORIENTER LA DIRECTION GÉNÉRALE • DÉLÉGUER LES POUVOIR NÉCESSAIRES À LA DIRECTION POUR PRENDRE LES MESURES NÉCESSAIRES POUR SUIVRE CETTE ORIENTATION ET SUPERVISER LES RÉSULTATS DES OPÉRATIONS • S’ASSURER QUE LE MANAGEMENT (DIRECTION ET LES MANAGERS INTERMÉDIAIRES) JOUENT LEUR RÔLE VIA LES ACTIVITÉS DE GESTION DES RISQUES • RENDRE COMPTE AUX PARTIES PRENANTES • SUPERVISER L’EFFICACITÉ DE LA GOUVERNANCE À TRAVERS LES ACTIVITÉS D’ASSURANCE 11

  12. GESTION DES RISQUES 12 • LE BUT DE LA GESTION

    DES RISQUES EST DE RAMENER LES RISQUES À UN NIVEAU JUGÉ ACCEPTABLE POUR L’ENTREPRISE AFIN DE FAVORISER L’ATTENTE DES OBJECTIFS • CATÉGORIES D’OBJECTIFS • STRATÉGIQUES : OBJECTIFS DE HAUT NIVEAU, EN LIGNE AVEC LA MISSION, SOUTIENNENT LA MISSION • OPÉRATIONNELS : OBJECTIFS VASTES VISANT L’UTILISATION EFFICACE ET EFFICIENTE DES RESSOURCES • REPORTING : AXÉS SUR LA FIABILITÉ DU REPORTING (INFORMATION) • CONFORMITÉ : AXÉ SUR LA CONFORMITÉ AUX LOIS ET RÈGLEMENTS APPLICABLES

  13. Processus du management du risque Appréciation du risque Évaluation du

    risque Traitement du risque Analyse de risque Établissement du contexte Identification du risque Estimation du risque Évaluation du risque Traitement du risque Acceptation du risque Communication Surveillance et réexamen du risque Appréciation du risque satisfaisante ? Traitement du risque satisfaisant ? non oui oui non ▪ Deux activités séquentielles et itératives : • l’appréciation du risque • le traitement du risque ▪ Peut s’appliquer : • à l’entreprise entière • à un secteur d’activité • à un SI • une application… ▪ La granularité des éléments pris en compte est importante : • trop fine elle va complexifier l’étude • trop grosse elle va la rendre inefficace 13 GESTION DES RISQUES

  14. 1. Établissement du contexte Processus de définition de l’objectif, du

    périmètre, des contraintes et du cadre méthodologique 2. Identification du risque Processus utilisé pour trouver, lister et caractériser les éléments à risques 3. Estimation du risque Processus utilisé pour affecter des valeurs à la probabilité et aux conséquences d’un risque 4. Évaluation du risque Processus utilisé pour prioriser les risques évalués en tenant compte du niveau d’acceptabilité de l’entreprise 14 Processus du management du risque GESTION DES RISQUES

  15. 5. Traitement du risque Processus utilisé pour identifier et évaluer

    les options de traitement du risque 6. Acceptation du risque Processus de décision sur l’acceptation de la méthode de traitement, afin que le risque résiduel soit tolérable 7. Communication du risque Échange et partage de l’information concernant un risque entre le décideur et les autres parties prenantes 8. Surveillance et réexamen du risque Processus utilisé pour garantir une pérennité de l’analyse de risque, via des contrôles et un réexamen réguliers 15 GESTION DES RISQUES Processus du management du risque

  16. Contrôle interne Gouvernance Gestion des risques CONTRÔLE INTERNE • SELON

    LE COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION), LE CONTRÔLE INTERNE EST : « UN PROCESSUS MIS EN ŒUVRE PAR LE CONSEIL, LE MANAGEMENT ET LES COLLABORATEURS D’UNE ENTITÉS, DESTINÉ À FOURNIR UNE ASSURANCE RAISONNABLE QUANT À LA RÉALISATION D’OBJECTIFS LIÉS AUX OPÉRATIONS, AU REPORTING ET À LA CONFORMITÉ » • AXÉ SUR DES OBJECTIFS • UN PROCESSUS => TÂCHES ET ACTIVITÉS CONTINUES • MISE EN ŒUVRES PAR DES PERSONNES À TOUS LES NIVEAUX • PERMET À LA DIRECTION ET AU CONSEIL D’AVOIR UNE ASSURANCE RAISONNABLE, PAS ABSOLUE 16

  17. Contrôle interne Gouvernance Gestion des risques LES COMPOSANTES DU CONTRÔLE

    INTERNE • ENVIRONNEMENT DE CONTRÔLE • ÉVALUATION DES RISQUES • ACTIVITÉS DE CONTRÔLE • INFORMATION ET COMMUNICATION • PILOTAGE 17 CONTRÔLE INTERNE

  18. LES COMPOSANTES DU CONTRÔLE INTERNE • ENVIRONNEMENT DE CONTRÔLE •

    NORMES, STRUCTURES ORGANISATIONNELLE, POUVOIRS ET RESPONSABILITÉS, VALEURS (INTÉGRITÉ, ÉTHIQUE), ORGANES DE SURVEILLANCE, PROCESSUS DE RECRUTEMENT, DE FORMATION ET DE FIDÉLISATION, MESURES D’INCITATIONS ET DE GRATIFICATION FAVORISANT LE DEVOIR DE RENDRE COMPTE… = > CONSTITUENT LE SOCLE DU CONTRÔLE INTERNE 18 CONTRÔLE INTERNE

  19. CONTRÔLE INTERNE LES COMPOSANTES DU CONTRÔLE INTERNE • ACTIVITÉS DE

    CONTRÔLE : • MESURES PRISES PAR LA DIRECTION GÉNÉRALE, LE CONSEIL ET D’AUTRES PARTIES • PERMETTENT DE MAÎTRISER LES RISQUES ET ACCROITRE LA PROBABILITÉ QUE LES OBJECTIFS SERONT ATTEINTS • SONT PRÉSENTES À TOUS LES NIVEAUX DE L’ORGANISATION ET DIVERS STADES DES PROCESSUS MÉTIER • PEUVENT ÊTRE PRÉVENTIFS, DÉFECTIFS, CORRECTIFS, MANUELS, AUTOMATISÉS 19

  20. CONTRÔLE INTERNE LES COMPOSANTES DU CONTRÔLE INTERNE • ACTIVITÉS DE

    CONTRÔLE : EXEMPLE : • LA SÉPARATION DE TÂCHES; • L’ÉVALUATION DE LA PERFORMANCE ET DES ACTIVITÉS DE SUIVI; • LES AUTOMATISATIONS (VALIDATIONS); • LES CONTRÔLES D’ACCÈS AUX SI; • LES CONTRÔLE D’ACCÈS PHYSIQUE AUX LOCAUX; • LES PROCÉDURES DOCUMENTÉES (RIGOUREUSES ET PRÉCISES); • LES ANALYSES DE SOLVABILITÉ DES CLIENTS • LES CONTRÔLES APPLICATIFS (ENTRÉES, TRAITEMENTS, SORTIES); • LES VÉRIFICATIONS ET RAPPROCHEMENTS INDÉPENDANTS 20

  21. CONTRÔLE INTERNE LES COMPOSANTES DU CONTRÔLE INTERNE • INFORMATION ET

    COMMUNICATION • COMMUNICATION APPROPRIÉE À TOUS LES NIVEAUX (QUI, QUOI, QUAND, COMMENT, OÙ…) • INFORMATION À COMMUNIQUER AUX PERSONNES QUI EN ONT BESOIN POUR LE FONCTIONNEMENT EFFICACE DE L’ORGANISME • INFORMATIONS AU SERVICE DES UTILISATEURS POUR LES RESPONSABILITÉS LIÉES AUX OPÉRATIONS, AU REPORTING ET À LA CONFORMITÉ • LES INFORMATIONS AUX TIERS PEUVEUT APPORTER DES INFORMATIONS ESSENTIELS AU FONCTIONNEMENT DES CONTRÔLES (CLIENTS, FOURNISSEURS, PRESTATAIRES, RÉGULATEURS, AUDITEURS EXTERNES ET ACTIONNAIRES) 21

  22. CONTRÔLE INTERNE LES COMPOSANTES DU CONTRÔLE INTERNE • PILOTAGE •

    EVALUATIONS CONTINUES, INTÉGRÉES AU SEIN DES PROCESSUS. PERMETTENT DE DISPOSER D’INFORMATIONS EN TEMPS VOULU; • EVALUATIONS PONCTUELLES, RÉALISÉES PÉRIODIQUEMENT. VARIENT EN TERME DE PÉRIMÈTRE ET DE FRÉQUENCE, EN FONCTION DE L’ÉVALUATION DES RISQUES, DE L’EFFICACITÉ DES CONTRÔLES CONTINUS ET D’AUTRES CONSIDÉRATIONS D’ORDRE MANAGÉRIALES; 22

  23. RISQUES ET CONTRÔLES DES SI LES SYSTÈMES D’INFORMATIONS : •

    OMNIPRÉSENTS DANS LES STRATÉGIES, LES SYSTÈMES ET LES PROCESSUS DES ORGANISATIONS; • SOUTIENNENT LA RÉALISATION DES OBJECTIFS; • VARIENT D’UNE ORGANISATION À UNE AUTRE; • POINTS COMMUNS : LES RÉSEAUX, LES LOGICIELS, LES BASES DE DONNÉES, LES INFORMATIONS, LES RH; 23

  24. RISQUES ET CONTRÔLES DES SI OPPORTUNITÉS DES SYSTÈMES D’INFORMATIONS :

    • COMMERCE ÉLECTRONIQUE • AUGMENTATION DU CHIFFRE D’AFFAIRES • FIDÉLISATION ET AMÉLIORATION DE LA SATISFACTION DES CLIENTS • RECRUTEMENT ET FIDÉLISATION DES MEILLEURS TALENTS • AMÉLIORATION DE DÉVELOPPEMENT ET DE L’INNOVATION • L’INTÉGRATION DES PROCESSUS OPÉRATIONNELS • L’ÉCHANGE DE DONNÉES ÉLECTRONIQUES ENTRE PARTENAIRES • … 24

  25. RISQUES ET CONTRÔLES DES SI PLUSIEURS RISQUES : • RISQUE

    DE SÉLECTION D’UNE SOLUTION DE SI QUI NE SE PRÊTE PAS À LA RÉALISATION DES OBJECTIFS STRATÉGIQUES; • RISQUE DE DÉVELOPPEMENT/D’ACQUISITION ET DE DÉPLOIEMENT ENTRAINANT : RETARDS, DÉPASSEMENT DE COÛTS IMPRÉVUS, VOIRE ABANDON DU PROJET; • RISQUE D’INDISPONIBILITÉ DU SI: RETARD DE PRISE DE DÉCISION, INTERRUPTION D’ACTIVITÉ, MANQUE À GAGNER, MÉCONTENTEMENT DE CLIENT; • RISQUES MATÉRIEL/LOGICIEL : INTERRUPTION DE L’ACTIVITÉ, DOMMAGE PARTIEL OU PERMANANT DES DONNÉES SUITE À USURE, HUMIDITÉ, CATASTROPHE NATURELLE… • RISQUE LIÉ À L’ACCÈS: ACCÈS PHYSIQUE OU LOGIQUE NON AUTORITÉ (VOL DE MATÉRIEL OU DE DONNÉES, UTILISATION ABUSIVE, MODIFICATION LOGICIELLE MALVEILLANTE, DESTRUCTION DE DONNÉES…) 25

  26. RISQUES ET CONTRÔLES DES SI PLUSIEURS RISQUES : • RISQUE

    LIÉ AU MANQUE DE FIABILITÉ DU SYSTÈME ET D’INTÉGRITÉ DE L’INFORMATION: INFORMATIONS NON PERTINENTES, INCOMPLÈTES, INEXACTES, NON DISPONIBLES EN TEMPS VOULU => PRISE DE DÉCISION NON PERTINENTES, BASÉES SUR DES INFORMATIONS INEXACTES; • RISQUES LIÉS À LA VIOLATION DE LA CONFIDENTIALITÉ DES DONNÉES PERSONNELLES: COMMUNICATION NON AUTORISÉES D’INFORMATIONS CONFIDENTIELLES => PERTE DE MARCHÉS, POURSUITES JUDICIAIRES, ARTICLES DANS LA PRESSE ET ATTENTE À LA RÉPUTATION, PERTE FINANCIÈRE DE 4% DU CA MONDIAL… • RISQUES DE FRAUDES ET D’ACTES MALVEILLANTS: VOLS DE RESSOURCES SI, UTILISATION ABUSIVE DE RESSOURCES SI, COMMUNICATION D’INFORMATIONS ERRONÉES (PIRATES, COLLABORATEURS MÉCONTENTS..) 26

  27. RISQUES ET CONTRÔLES DES SI GOUVERNANCES DES SI: « LA

    GOUVERNANCE DES IT COMPREND LA DIRECTION, LES STRUCTURES ORGANISATIONNELLES ET LES PROCESSUS QUI GARANTISSENT QUE LES TECHNOLOGIES DE L’INFORMATION SOUTIENNENT LA STRATÉGIE ET LES OBJECTIFS DE L’ORGANISATION. » • RESPONSABILITÉ DU CONSEIL ET DE LA DIRECTION • LE CONSEIL ET SES COMITÉS : • INDIQUENT À LA DG LES ORIENTATIONS DE LA GOUVERNANCE DES SI • SURVEILLENT LES ACTIVITÉS DE GOUVERNANCE DE LA DG • LA DG RESPONSABLE DE L’ORIENTATION ET DE LA SUPERVISION DE L’EXÉCUTION QUOTIDIENNE DE LA GOUVERNANCE DES SI 27

  28. RISQUES ET CONTRÔLES DES SI GESTION DES RISQUES SI: •

    ENVIRONNEMENT INTERNE : NORMES, STRUCTURES, ORGANISATION, PROCESSUS, APPÉTENCES AUX RISQUES, SEUILS DE TOLÉRANCE; • FIXATION DES OBJECTIFS : PAR LES PROCESSUS DE GOUVERNANCE. OBJECTIFS STRATÉGIQUES SI DOIVENT CONCORDER AVEC LA STRATÉGIE GLOBALE DE L’ORGANISME; • IDENTIFICATION DES RISQUES SI SUSCEPTIBLES DE NUIRE À L’ATTEINTE DES OBJECTIFS DE L’ORGANISME; • EVALUATION DES RISQUES : PROBABILITÉ, IMPACT, CRITICITÉ, RISQUE RÉSIDUEL, 28

  29. RISQUES ET CONTRÔLES DES SI GESTION DES RISQUES SI: •

    TRAITEMENT DES RISQUES: DÉFINIR UN TRAITEMENT APPROPRIÉ POUR LES RISQUES IDENTIFIÉS (FONCTION DES SEUILS) • ACTIVITÉS DE CONTRÔLE : DÉFINIR LES RÈGLES DE TRAITEMENT DES RISQUES, CONCEVOIR DES PROCÉDURES DE MANIÈRES ADÉQUATE POUR APPLIQUER LES RÈGLES, APPLIQUER LES PROCÉDURES POUR QUE LES NIVEAUX DE RISQUES RÉSIDUELS RESTENT EN DESSOUS DES SEUILS • INFORMATION ET COMMUNICATION : IDENTIFIER, SAISIR ET COMMUNIQUER DES INFORMATIONS PERTINENTES AUX DÉCIDEURS. SURVEILLANCE DES SYSTÈMES, COMMUNICATION SUR LES RISQUES, INDICATEURS ET TABLEAUX DE BORD… • PILOTAGE : PILOTAGE DES PROCESSUS SI PAR LE MANAGEMENT 29

  30. RISQUES ET CONTRÔLES DES SI CONTRÔLES DES SI: • LES

    CONTRÔLES RELATIFS À LA GOUVERNANCE : SONT DÉFINIS DANS LA POLITIQUE DES SI, • POLITIQUE GÉNÉRALE SUR LE NIVEAU DE SÉCURITÉ ET LE RESPECT DE LA VIE PRIVÉE POUR L’ENSEMBLE DE L’ORGANISATION • POLITIQUE DE CLASSIFICATION DES DONNÉES ET LES DROITS D’ACCÈS AUX APPLIS • POLITIQUE RH • POLITIQUE DE CONTINUITÉ D’ACTIVITÉ… 30

  31. RISQUES ET CONTRÔLES DES SI CONTRÔLES DES SI: • LES

    CONTRÔLES RELATIFS À LA GESTION DES SI : DÉCOULENT DES POLITIQUES • PROCÉDURES DE DÉVELOPPEMENT DES SYSTÈMES (CONCEPTION, DEV., TEST,…) • CONFIGURATION DES LOGICIELS (CONFIG SÉCURISÉE…) • CONTRÔLES APPLICATIFS : CONTRÔLE DES APPLICATIONS QUI SOUTIENNENT LES MÉTIERS • STRUCTURE DES DONNÉES : DÉFINITION HOMOGÈNE ET UNIFORMES DANS LE SI, FACILITÉ D’ACCÈS AUX DONNÉES 31

  32. RISQUES ET CONTRÔLES DES SI CONTRÔLES DES SI: • LES

    CONTRÔLES TECHNIQUES DES SI : • CONTRÔLE DES LOGICIELS SYSTÈMES, SYSTÈME D’EXPLOITATION, SYSTÈME DE GESTION DE BDD, PARE-FEUX, ANTIVIRUS => RESTREINDRE L’ACCÈS LOGIQUE AU SYSTÈMES ET APPLICATIONS, PILOTE L’UTILISATION DES SYSTÈMES, GÉNÈRE DES PISTES D’AUDIT. • EXEMPLE : PENTEST, DROIT D’ACCÈS CONFORME À LA POLITIQUE, SÉPARATION DES TÂCHES, IDS, IPS, CHIFFREMENT, PROCÉDURES DE GESTION DES CHANGEMENTS ET DES PATCHS 32

  33. RISQUES ET CONTRÔLES DES SI CONTRÔLES DES SI: • LES

    CONTRÔLES TECHNIQUES DES SI : • CONTRÔLES APPLICATIFS VEILLENT QUE : • LES DONNÉES SAISIES SONT EXACTS, COMPLÈTES, AUTORISÉES ET CORRECTES • TOUTES LES DONNÉES SONT TRAITÉES COMME PRÉVUES • TOUTES LES DONNÉES STOCKÉES SONT EXACTES ET COMPLÈTES • TOUS LES RÉSULTATS SOIENT EXACTS ET COMPLETS • LES TRAITEMENTS DE DONNÉES FASSE L’OBJETS DE TRACES (LOGS) DEPUIS LA SAISIE JUSQU’AU STOCKAGE ET À LA PRODUCTION DE DONNÉES DE SORTIES. 33

  34. LIMITES DU CONTRÔLE INTERNE • LA PERTINENCE DES OBJECTIFS FIXÉS

    COMME PRÉALABLE AU CONTRÔLE INTERNE • DES DÉCISIONS PEUVENT ÊTRE PRISES EN SE FONDANT SUR UN JUGEMENT ERRONÉ OU BIAISÉ; • DES DYSFONCTIONNEMENTS PROVOQUÉS PAR DES DÉFAILLANCES HUMAINES TELLES QUE DE SIMPLES ERREURS; • LA CAPACITÉ DU MANAGEMENT À CONTOURNER LES CONTRÔLES; • LA CAPACITÉ DU MANAGEMENT, DES COLLABORATEURS ET/OU DES TIERS À CONTOURNER LES CONTRÔLES PAR LE BIAIS D’UNE COLLUSION; • DES ÉVÈNEMENTS EXTERNES ÉCHAPPANT AU CONTRÔLE DE L’ORGANISME 34

  35. MISE EN APPLICATION 1/5 DÉFINIR DES CONTRÔLES SUR LE PROCESSUS

    « GESTION DES INCIDENTS » 35 CONTRÔLES • OBJECTIF DU CONTRÔLE • POINTS DE CONTRÔLES OBJECTIFS DU PROCESS • OBJECTIF 1 • OBJECTIF 2 • OBJECTIF 3 RISQUES DE NON- RESPECT DES OBJECTIFS • RISQUE 1 • RISQUE 2 • RISQUE 3

  36. MISE EN APPLICATION 2/5 DÉFINIR DES CONTRÔLES SUR LE PROCESSUS

    « SAUVEGARDE ET RESTAURATION » 36 CONTRÔLES • OBJECTIF DU CONTRÔLE • POINTS DE CONTRÔLES OBJECTIFS DU PROCESS • OBJECTIF 1 • OBJECTIF 2 • OBJECTIF 3 RISQUES DE NON- RESPECT DES OBJECTIFS • RISQUE 1 • RISQUE 2 • RISQUE 3

  37. MISE EN APPLICATION 3/5 DÉFINIR DES INDICATEURS DE MESURE DES

    PERFORMANCES DU PROCESSUS « GESTION DES INCIDENTS » 37 QU’EST CE QUE JE VEUX SURVEILLER ? QUOI MESURE ? POUR QUELLE UTILITÉ ? DÉFINIR LES INDICATEURS LEUR OBJECTIF DÉFINIR LE MODE DE CALCUL DE L’INDICATEUR

  38. MISE EN APPLICATION 4/5 DÉFINIR DES INDICATEURS DE MESURE DES

    PERFORMANCES DU PROCESSUS « SAUVEGARDE ET RESTAURATION » 38 QU’EST CE QUE JE VEUX SURVEILLER ? QUOI MESURE ? POUR QUELLE UTILITÉ ? DÉFINIR LES INDICATEURS LEUR OBJECTIF DÉFINIR LE MODE DE CALCUL DE L’INDICATEUR

  39. AUDIT DES SI L’AUDIT INTERNE LA DÉFINITION FRANÇAISE DE L’AUDIT

    INTERNE DATE DU 21 MARS 2000 (IFACI : INSTITUT FRANÇAIS DE L’AUDIT ET DU CONTRÔLE INTERNE) «L’AUDIT INTERNE EST UNE ACTIVITÉ INDÉPENDANTE ET OBJECTIVE QUI DONNE À UNE ORGANISATION UNE ASSURANCE SUR LE DEGRÉ DE MAÎTRISE DE SES OPÉRATIONS, LUI APPORTE SES CONSEILS POUR LES AMÉLIORER ET CONTRIBUE À CRÉER DE LA VALEUR AJOUTÉE. L’AUDIT INTERNE AIDE CETTE ORGANISATION À ATTEINDRE SES OBJECTIFS EN ÉVALUANT, PAR UNE APPROCHE SYSTÉMATIQUE ET MÉTHODIQUE, SES PROCESSUS DE MANAGEMENT DES RISQUES, DE CONTRÔLE ET DE GOUVERNANCE D’ENTREPRISE, ET EN FAISANT DES PROPOSITIONS POUR RENFORCER LEUR EFFICACITÉ.» 39

  40. AUDIT DES SI L’AUDIT INTERNE ▪ IL EST INDÉPENDANT DES

    ENTITÉS OPÉRATIONNELLES ▪ IL S'ASSURE DE LA BONNE APPLICATION DES DÉCISIONS DE LA DIRECTION GÉNÉRALE, DU BON FONCTIONNEMENT ET DE LA SÉCURITÉ DES ACTIVITÉS ▪ IL PERMET D’ANALYSER L'EFFICIENCE DU DISPOSITIF DE CONTRÔLE PERMANENT ▪ LES AUDITEURS S’ASSURENT QUE LES DISPOSITIFS DE CONTRÔLE INTERNE SONT EN PLACE ET FONCTIONNENT CORRECTEMENT 40

  41. AUDIT DES SI DIFFÉRENCES ENTRE AUDIT INTERNE ET AUDIT EXTERNE

    41

  42. AUDIT DES SI AUDITEUR, CONSULTANT AUDITEUR • IL EFFECTUE UNE

    COLLECTE DE FAITS ET CHERCHE DES PREUVES • IL ÉMET DES RECOMMANDATIONS CONSULTANT • IL CHERCHE DES AXES D’AMÉLIORATION • IL PREND EN CHARGE LE PILOTAGE DU CHANGEMENT 42

  43. AUDIT DES SI SPÉCIFICITÉS DE L’AUDIT APPLIQUÉ À L’INFORMATIQUE •

    IL A POUR OBJECTIF DE S'ASSURER QUE LES ACTIVITÉS INFORMATIQUES SE DÉROULENT CONFORMÉMENT AUX RÈGLES ET AUX USAGES PROFESSIONNELS • C’EST L’EXAMEN ET L’ÉVALUATION DES SYSTÈMES ET PROCESSUS INFORMATIQUES • IL PERMET D’ÉVALUER LE NIVEAU DE MATURITÉ DE L'INFORMATIQUE DE L'ENTREPRISE EN SE BASANT SUR UN RÉFÉRENTIEL 43

  44. AUDIT DES SI SPÉCIFICITÉS DE L’AUDIT APPLIQUÉ À L’INFORMATIQUE •

    LES MISSIONS D’AUDIT INFORMATIQUE S’APPUIENT SUR DES RÉFÉRENTIELS PROPRES AUX PROCESSUS INFORMATIQUES • L’AUDITEUR DOIT POSSÉDER UNE BONNE CONNAISSANCE DE L’ENVIRONNEMENT INFORMATIQUE • L’AUDITEUR DOIT ÉGALEMENT AVOIR UNE VISION GLOBALE DU FONCTIONNEMENT DE L’ENTREPRISE 44

  45. APPLICATION : DEFINIR • PROCESSUS DE GESTION DES INCIDENTS •

    RÉFÉRENTIEL 1 : POLITIQUE • RÉFÉRENTIEL 2 : PROCEDURE • RÉFÉRENTIEL 3 : MODE OPERATOIRE • RÉFÉRENTIEL 4 : • PROCESSUS DE « SAUVEGARDE ET RESTAURATION » • RÉFÉRENTIEL 1 : POLITIQUE • RÉFÉRENTIEL 2 : PROCEDURE • RÉFÉRENTIEL 3 : MODE OPERATOIRE • RÉFÉRENTIEL 4 : 45

  46. AUDIT DES SI LES 3 NIVEAUX D’AUDIT INFORMATIQUE • L’AUDIT

    DE LA STRATÉGIE INFORMATIQUE A POUR BUT DE S’ASSURER DE L’ALIGNEMENT DU SYSTÈME D’INFORMATION SUR LA STRATÉGIE GLOBALE DE L’ENTREPRISE • L’AUDIT DE LA FONCTION INFORMATIQUE CONCERNE LA QUALITÉ DES PROCESSUS MIS EN ŒUVRE PAR LA FONCTION INFORMATIQUE • L’AUDIT DES PROCESSUS INFORMATISÉS PORTE SUR L’EFFICACITÉ DES CONTRÔLES INTÉGRÉS DANS LES APPLICATIONS ET SYSTÈMES 46

  47. AUDIT DES SI LES DIFFÉRENTS DOMAINES D’AUDIT LE SYSTÈME D’INFORMATION

    DANS SON INTÉGRALITÉ PEUT ÊTRE AUDITÉ. QUELQUES EXEMPLES DE DOMAINES D’AUDIT : 47 • La planification et l’alignement du système d’information avec la stratégie de l’entreprise • L'acquisition des matériels et des logiciels • Le contrôle des coûts du système d’information • L’organisation de la fonction informatique • Les procédures d’exploitation informatique • Le contrôle des accès physiques • Les procédures d’assurance qualité • La continuité de l’activité après un sinistre • L’administration des bases de données • Le pilotage des études informatiques • La politique d’externalisation • La maintenance applicative • La protection des données et les mécanismes de détection des attaques internes et externes…

  48. AUDIT DES SI LES PRÉOCCUPATIONS DES DIRECTIONS GÉNÉRALES • LA

    PROFITABILITÉ DU SYSTÈME D’INFORMATION • LES BÉNÉFICES LIÉS AUX INVESTISSEMENTS INFORMATIQUES • LA STRATÉGIE INFORMATIQUE • LA QUALITÉ ET L’EFFICACITÉ DES DONNÉES PRODUITES PAR LES APPLICATIONS INFORMATIQUES • LA PROTECTION DU SYSTÈME INFORMATIQUE • ..... 48

  49. AUDIT DES SI LES 3 PRINCIPAUX TYPES D’AUDIT • L’AUDIT

    DE CONFORMITÉ OU DE RÉGULARITÉ • IL CONSISTE À VÉRIFIER L’EXISTENCE DE NORMES ET DE RÈGLES • L’AUDITEUR DOIT S’ASSURER QU’ELLES SONT EFFECTIVEMENT APPLIQUÉES • L’AUDIT DE PROGRÈS • IL CONSISTE À ÉVALUER LA QUALITÉ DES RÈGLES ET DES PROCÉDURES PAR RAPPORT AUX OBJECTIFS DÉFINIS • L’AUDITEUR DOIT VÉRIFIER L’IMPACT DE CES RÈGLES ET PROCÉDURES • L’AUDIT ÉCONOMIQUE • IL CONSISTE À ANALYSER DES MOYENS AFFECTÉS AUX OPÉRATIONS • L’AUDITEUR DOIT APPRÉCIER LA BONNE UTILISATION DES RESSOURCES 49

  50. AUDIT DES SI LE RISQUE D’AUDIT • LE RISQUE INHÉRENT

    EST LIÉ À LA NATURE DES ACTIVITÉS • LE RISQUE D’ÉCHEC DES CONTRÔLES SURVIENT SI UNE ERREUR N’EST PAS DÉTECTÉE EN TEMPS OPPORTUN PAR LES CONTRÔLES INTERNES • LE RISQUE DE NON-DÉTECTION SURVIENT QUAND UN AUDITEUR UTILISE UNE PROCÉDURE INAPPROPRIÉE ET NE DÉTECTE PAS LES ERREURS • LE RISQUE GLOBAL EST LA COMBINAISON DES AUTRES CATÉGORIES DE RISQUES 50

  51. LES TECHNIQUES D’AUDIT • L’ENTRETIEN INDIVIDUEL • LE QUESTIONNAIRE •

    LA PISTE D’AUDIT • L’OBSERVATION PHYSIQUE • LA COLLECTE DES DONNÉES INFORMATIQUES • L’ANALYSE DES VOLUMES ET DES TRANSACTIONS • LE DIAGRAMME DE CIRCULATION (FLOW CHART) • LA GRILLE DE SÉPARATION DES TÂCHES 51

  52. LES TECHNIQUES D’AUDIT L’ENTRETIEN INDIVIDUEL • INDISPENSABLE LORS D’UN AUDIT

    ! • PERMET D’APPRÉHENDER LES DIFFÉRENTS SUJETS DANS LE PÉRIMÈTRE DE L’AUDIT EN POSANT DES QUESTIONS À L’AUDITÉ • PRÉPARER L’ENTRETIEN AVANT DE LE MENER (LISTE DE QUESTIONS) • MAÎTRISER LE DÉROULEMENT PENDANT L’ENTRETIEN • FAIRE UN COMPTE RENDU APRES L’ENTRETIEN • POSER DES QUESTIONS OUVERTES • APPLIQUER LES TECHNIQUES D’ENTRETIEN (COMMUNICATION) • SE MÉFIER DES «ON DIT» ET DES OPINIONS 52

  53. LES TECHNIQUES D’AUDIT LE QUESTIONNAIRE • C’EST UNE LISTE DE

    QUESTIONS AUXQUELLES L’AUDITÉ DOIT RÉPONDRE PAR ÉCRIT • QUESTIONNAIRE À CHOIX MULTIPLES (QCM) • QUESTIONNAIRE OUVERT (QO) • PERMET D’OBTENIR DES RÉPONSES FACTUELLES, DÉTAILLÉES ET RÉFLÉCHIES • CONVIENT POUR UN GRAND NOMBRE D’AUDITÉS EX QO : POUVEZ-VOUS NOUS EXPLIQUEZ LE FONCTIONNEMENT DE … 53

  54. LES TECHNIQUES D’AUDIT LA PISTE D’AUDIT • MENÉE EN COMPLÉMENT

    DE L’ENTRETIEN INDIVIDUEL • PERMET DE RECONSTITUER LE CHEMINEMENT DES ÉTAPES D’UN PROCESSUS POUR IDENTIFIER LES DÉFAILLANCES ÉVENTUELLES DU CONTRÔLE INTERNE • LES ERREURS RELEVÉES ONT VALEUR DE PREUVES TANGIBLES DE DYSFONCTIONNEMENTS AVÉRÉS • MÉTHODE TRÈS CHRONOPHAGE, À UTILISER LORSQUE LE RISQUE EST SUPPOSÉ EX : TEST DES PERFORMANCE D’UNE APPLICATION 54

  55. LES TECHNIQUES D’AUDIT L’OBSERVATION PHYSIQUE • C’EST LA CONSTATATION DE

    LA RÉALITÉ INSTANTANÉE D’UN PHÉNOMÈNE (PROCESSUS, DOCUMENT, COMPORTEMENT…) • C’EST LA TECHNIQUE QUI GARANTIT L’INFORMATION LA PLUS FIABLE (VALEUR PROBATOIRE), TOUT PARTICULIÈREMENT LORS DE L’ÉTUDE DE DOCUMENTS • ATTENTION, L’OBSERVATION INSTANTANÉE N’EST PAS FORCÉMENT LA GÉNÉRALITÉ • IL EST INTÉRESSANT DE MENER LES OBSERVATIONS À PLUSIEURS AUDITEURS 55

  56. LES TECHNIQUES D’AUDIT LA COLLECTE DE DONNÉES INFORMATIQUES • ELLE

    PERMET DE MENER DIFFÉRENTS TYPES D’INVESTIGATIONS : ✓DES RAPPROCHEMENTS ET COMPARAISONS D’INFORMATIONS ✓DES RECONSTITUTIONS DU DÉROULEMENT D’UN PROCESSUS (JEUX D’ESSAIS) ✓DES SONDAGES PAR ÉCHANTILLONNAGE DE DONNÉES • CETTE TECHNIQUE RÉDUIT CONSIDÉRABLEMENT LA DURÉE (ET LE COÛT) DES INVESTIGATIONS TOUT EN APPORTANT UNE VALEUR MATHÉMATIQUEMENT PROBANTE • ATTENTION À LA DÉTERMINATION DES NIVEAUX DE CONFIANCE DANS LES RÉSULTATS AINSI QU’À L’ÉCHANTILLONNAGE 56

  57. LES TECHNIQUES D’AUDIT L’ANALYSE DES VOLUMES ET DES TRANSACTIONS •

    PERMET DE SITUER LES ENJEUX DU DOMAINE À AUDITER (COMMANDES, FACTURES, STOCKS…) PAR L’ANALYSE DES TRANSACTIONS • ON EFFECTUE DES COMPARAISONS, ÉTUDE DES VARIATIONS ANOMALES, DES CORRÉLATIONS, DES ÉVOLUTIONS CONTRAIRES…ETC. • ATTENTION AU SYSTÈME DE MESURE • RESTER PRUDENT QUANT À L’INTERPRÉTATION DES DONNÉES COLLECTÉES 57

  58. LES TECHNIQUES D’AUDIT LE DIAGRAMME DE CIRCULATION (FLOW CHART) •

    C’EST UNE REPRÉSENTATION GRAPHIQUE DÉCRIVANT LA SUITE DES OPÉRATIONS RÉALISÉES DANS LE CADRE D’UN PROCESSUS • PERMET DE MIEUX CERNER LA PROCÉDURE TOUT EN AYANT UNE VUE COMPLÈTE • PERMET DE VÉRIFIER LA COHÉRENCE, LA VALIDITÉ ET L’EFFICACITÉ DES DISPOSITIFS DE CONTRÔLE INTERNE • CETTE TECHNIQUE REQUIERT UN MINIMUM DE CONNAISSANCE ET DE PRATIQUE DE CE TYPE DE LOGICIELS 58

  59. 59

  60. LES TECHNIQUES D’AUDIT LA GRILLE DE SÉPARATION DES TÂCHES •

    PERMET DE COMPRENDRE LA RÉPARTITION DES TÂCHES ET DES RESPONSABILITÉS DES ACTEURS DANS LA CHRONOLOGIE D’UN PROCESSUS • IL FAUT APPRÉHENDER LA SITUATION EN TENANT COMPTE DES CONTRAINTES D’EFFECTIFS PAR EXEMPLE 60

  61. CONDUITE D’UNE MISSION D’AUDIT PRÉPARER LA MISSION D’AUDIT • UNE

    MISSION D’AUDIT INSUFFISAMMENT PRÉPARÉE EST UNE MISSION À RISQUE ! • L’AUDITEUR DOIT «S’IMPRÉGNER» DU CONTEXTE DE L’AUDIT ET DE L’ENTREPRISE. • IL EST IMPORTANT D’AVOIR UNE VISION GLOBALE DE : • L’ACTIVITÉ DE L’ENTREPRISE : FABRICATION, DISTRIBUTION, SERVICES… ET SON MODE DE FONCTIONNEMENT (CANAUX DE VENTE ET D‘ACQUISITION, IMPLANTATIONS GÉOGRAPHIQUES…) • L’ENVIRONNEMENT INFORMATIQUE (MATÉRIELS, LOGICIELS, INFRASTRUCTURES, ORGANISATION…) • LA «CULTURE» DE L’ENTREPRISE, L’IMAGE QU’ELLE VÉHICULE EN INTERNE ET VIS-À-VIS DE L’EXTÉRIEUR 61

  62. CONDUITE D’UNE MISSION D’AUDIT PRÉPARER LA MISSION D’AUDIT : LE

    PRÉ-AUDIT LE PRÉ-AUDIT PERMET DE : • SE FAIRE CONFIRMER LES OBJECTIFS ET LES ENJEUX DE LA MISSION PAR LE DEMANDEUR • S’ASSURER QUE LES QUESTIONS À TRAITER S’INSCRIVENT DANS UN CADRE DE RÉFÉRENCE RECONNU ET PARTAGÉ • IDENTIFIER QUELQUES PISTES D’INVESTIGATION POSSIBLES PAR : • UN ÉCHANGE AVEC LE DEMANDEUR SUR LES DYSFONCTIONNEMENTS CONSTATÉS • L’ÉTUDE DE LA DOCUMENTATION DISPONIBLE (À SE FAIRE REMETTRE) • EVENTUELLEMENT UN OU DEUX ENTRETIENS COMPLÉMENTAIRES AVEC LES DÉCIDEURS CONCERNÉS 62

  63. CONDUITE D’UNE MISSION D’AUDIT LES 6 PHASES DE LA MISSION

    D’AUDIT 1. ETABLIR LA LETTRE DE MISSION 2. PLANIFIER LA MISSION 3. COLLECTER LES FAITS ET LES PREUVES TANGIBLES 4. CONDUIRE DES ENTRETIENS AVEC LES AUDITÉS 5. RÉDIGER LE RAPPORT D’AUDIT 6. FAIRE VALIDER ET PRÉSENTER LE RAPPORT D’AUDIT 63

  64. CONDUITE D’UNE MISSION D’AUDIT 1. ETABLIR LA LETTRE DE MISSION

    ELLE PERMET DE S’ASSURER QUE LES PRÉOCCUPATIONS ET LES ATTENTES DU MANAGEMENT SONT BIEN PRISES EN COMPTE • SON RÔLE EST DE : • PRÉCISER LES OBJECTIFS ET LE PÉRIMÈTRE DE L’AUDIT • DÉFINIR LE DISPOSITIF DE TRAVAIL • FORMALISER LES DROITS ET DEVOIRS DES PARTIES PRENANTES • DÉCRIRE LA DÉMARCHE PRÉCONISÉE 64

  65. CONDUITE D’UNE MISSION D’AUDIT 1. ETABLIR LA LETTRE DE MISSION

    NB : DÉFINIR LE PÉRIMÈTRE DE L’AUDIT • C’EST UNE PHASE PRIMORDIALE DE LA MISSION D’AUDIT • L’AUDITEUR DOIT ÊTRE ATTENTIF À BIEN COMPRENDRE LES PRÉOCCUPATIONS ET LES ATTENTES DU DEMANDEUR • IL DOIT IDENTIFIER TOUT LE PÉRIMÈTRE, MAIS RIEN QUE LE PÉRIMÈTRE ATTENDU AU RISQUE DE RÉPONDRE À DES QUESTIONS QUI NE LUI SONT PAS POSÉES • L’AUDITEUR DOIT S’ASSURER QUE LES QUESTIONS À TRAITER S’INSCRIVENT BIEN DANS UN CADRE DE RÉFÉRENCE LARGEMENT RECONNU ET PARTAGÉ 65

  66. CONDUITE D’UNE MISSION D’AUDIT 2 – PLANIFIER LA MISSION •

    LA DURÉE DE LA MISSION EST DÉPENDANTE DE LA NATURE, DU VOLUME ET DE LA COMPLEXITÉ DU PÉRIMÈTRE DE L’AUDIT • LE NOMBRE D’ENTRETIENS ET LA DISPONIBILITÉ DES AUDITÉS SONT DES VARIABLES CHRONOPHAGES • IL FAUT DONC SÉLECTIONNER LES PERSONNES PERTINENTES À AUDITER EN SACHANT LIMITER LE NOMBRE DES ENTRETIENS • DANS LE CAS DES AUDITS INTERNES, LA PLANIFICATION EST INCLUSE DANS LA CHARTE OU LE PLAN D’AUDIT 66

  67. CONDUITE D’UNE MISSION D’AUDIT 3 - COLLECTER LES FAITS ET

    LES PREUVES TANGIBLES • L’AUDITEUR DOIT SAVOIR RESTER FACTUEL ET FAIRE PREUVE D’OBJECTIVITÉ • LES FAITS SONT RECUEILLIS : • PAR L’OBSERVATION DE L’ENVIRONNEMENT ET DES PRATIQUES • PAR LA COLLECTE DE DOCUMENTS –QUI CONSTITUENT DES PREUVES TANGIBLES • LES TESTS PEUVENT ÊTRE RÉALISÉS PAR L’UTILISATION D’APPLICATIONS EXISTANTES OU EN AYANT RECOURS À DES OUTILS D’AUDIT. • L’AUDITEUR PEUT FAIRE APPEL À UN EXPERT AVEC L’ACCORD DU DEMANDEUR 67

  68. CONDUITE D’UNE MISSION D’AUDIT 4 – CONDUIRE DES ENTRETIENS AVEC

    LES AUDITÉS • LES ENTRETIENS PERMETTENT DE VÉRIFIER LA VÉRACITÉ DES FAITS OBSERVÉS ET LA PERTINENCE DES TESTS EFFECTUÉS • IL FAUT SYSTÉMATIQUEMENT RECOUPER LES INFORMATIONS COMMUNIQUÉES PAR LES AUDITÉS POUR LEVER LES AMBIGUÏTÉS • L’AUDITEUR DOIT CIBLER SES QUESTIONS ET FAIRE ATTENTION À NE PAS ÉLARGIR LA MISSION 68

  69. CONDUITE D’UNE MISSION D’AUDIT 5 – RÉDIGER LE RAPPORT D’AUDIT

    • C’EST UN DOCUMENT DE RÉFÉRENCE POUR LE DEMANDEUR • IL DOIT ÊTRE RÉDIGÉ DANS UN STYLE CLAIR ET CONCIS • LE MODE DE VALIDATION ET LA LISTE DE DIFFUSION DU RAPPORT DOIVENT AVOIR ÉTÉ DÉFINIS AU PRÉALABLE DANS LA LETTRE DE MISSION • IL EST RECOMMANDÉ DE TRAITER LES CHAPITRES DE L’AUDIT DANS L’ORDRE DES POINTS DU PÉRIMÈTRE DÉCRIT DANS LA LETTRE DE MISSION 69

  70. CONDUITE D’UNE MISSION D’AUDIT RECOMMANDATIONS ET PLAN D’ACTION • LES

    RECOMMANDATIONS DOIVENT ÊTRE CLASSÉES EN FONCTION DE L’URGENCE ET DE L’EFFORT À FOURNIR POUR LES METTRE EN ŒUVRE. • POUR BÂTIR UN PLAN D’ACTION, IL FAUT COMPLÉTER ET PRIORISER LES RECOMMANDATIONS • IL FAUT METTRE EN PLACE UN SUIVI DES RECOMMANDATIONS OU DU PLAN D’ACTION POUR S’ASSURER QUE TOUTES LES RECOMMANDATIONS SONT EFFECTIVEMENT MISES EN ŒUVRE 70

  71. CONDUITE D’UNE MISSION D’AUDIT 6 – FAIRE VALIDER ET PRÉSENTER

    LE RAPPORT D’AUDIT • LE DEMANDEUR CHOISIT LA LISTE DES DESTINATAIRES DU RAPPORT • LE RAPPORT DOIT ÊTRE VALIDÉ SELON UN PROCESSUS PRÉALABLEMENT DÉFINI • UNE FOIS VALIDÉ, LE RAPPORT DOIT ÊTRE PRÉSENTÉ SOUS UNE FORME SYNTHÉTIQUE • PRÉVOIR UNE PRÉSENTATION D’ENVIRON 30 MINUTES • METTRE EN ÉVIDENCE LES FAITS LES PLUS MARQUANTS ET LES RECOMMANDATIONS ESSENTIELLES 71

  72. FICHE D’ANALYSE D’OBSERVATION 1. SYNTHÈSE DES OBSERVATIONS 2. FAITS :

    PREUVES FACTUELLES ET DESCRIPTION DES ACTIVITÉS DE CONTRÔLE EXISTANT (CE QUI EXISTE RÉELLEMENT). CE QUE L’ON A OBSERVÉ. 3. RÉFÉRENTIELS : NORME, MESURES, EXIGENCES, RÈGLES OU PROCÉDURES, UTILISÉES POUR RÉALISER L’ÉVALUATION (CE QUI DEVRAIT ÊTRE). 4. CAUSE : CE QUI A PERMIS OU ENGENDRÉ L’EXISTENCE DES FAITS (LA RAISON DE CETTE DIFFÉRENCE). 5. CONSÉQUENCES : LE RISQUE OU LE DANGER ENCOURU DU FAIT QUE LES SITUATIONS DIFFÈRENT DU RÉFÉRENTIEL (CONSÉQUENCES PASSÉES ET FUTURES ÉVENTUELLES). CONSIDÈRE À LA FOIS L’INCIDENCE (FINANCIÈRE, SUR LA RÉPUTATION, SUR L’IMAGE ET LA RÉPUTATION, EN TERMES DE SÉCURITÉ, ETC…) ET LA PROBABILITÉ D’OCCURRENCE. 72

  73. FICHE D’ANALYSE D’OBSERVATION 6. CONTRÔLES COMPENSATOIRES : AUTRES CONTRÔLES EN

    PLACE PERMETTANT D’ATTÉNUER LE PROBLÈME OBSERVÉ, Y COMPRIS LES ACTIVITÉS DE SURVEILLANCE. 7. CONCLUSION : ANALYSE DÉTAILLÉE, ÉVALUATION ET JUSTIFICATION DE LA CLASSIFICATION À LAQUELLE ABOUTIT L’ÉVALUATION ET DES CONCLUSIONS FINALES 8. RECOMMANDATIONS DÉTAILLÉES : CE QUE L’AUDIT INTERNE RECOMMANDE. CES RECOMMANDATIONS DOIVENT CONCORDER AVEC LA SOLUTION DU MANAGEMENT TELLE QU’EXAMINÉE DURANT LE PROCESSUS DE COMMUNICATION PRÉLIMINAIRE. 9. SOLUTIONS DU MANAGEMENT : CE QUE LE MANAGEMENT ENTREPRENDRA POUR REMÉDIER À LA SITUATION EXISTANTE OU POUR EMPÊCHER QUE LE PROBLÈME NE SE PRÉSENTE À NOUVEAU 10. EVALUATION : 11. RÉFÉRENCE DU PAPIER DE TRAVAIL 12. ANNEXES 73

  74. MISE EN APPLICATION « 5/5 » • ETABLIR LE PÉRIMÈTRE

    DE L’AUDIT • DÉTERMINER LE OU RÉFÉRENTIELS D’AUDIT • RÉALISER L’INTERVIEW • RÉDIGER LA OU LES « FICHE(S) D’ANALYSE D’OBSERVATION » 74 SIMULATION D’AUDIT D’UN PROCESSUS DE GESTION DES ACCÈS ET HABILITATIONS

  75. RAPPORT D’AUDIT • À L’ATTENTION DE : • DE LA

    PART DE : • OBJECT : • DATE : • PÉRIODE COUVERTE PAR LA MISSION • OBSERVATIONS • CONCLUSION ET LA NOTATION • LE PLAN D’ACTION DU MANAGEMENT • COPIES À : 75

  76. CONDUITE D’UNE MISSION D’AUDIT DÉONTOLOGIE DES AUDITEURS IL EXISTE UN

    CODE D’ÉTHIQUE DE L’AUDIT BASÉ SUR : • L’INTÉGRITÉ • NÉCESSAIRE DANS UNE RELATION DE CONFIANCE ET DE CRÉDIBILITÉ ENVERS LE JUGEMENT DE L’AUDITEUR • L’OBJECTIVITÉ • ÉVALUER ÉQUITABLEMENT TOUS LES ÉLÉMENTS EXAMINÉS • NE PAS SE LAISSER INFLUENCER DANS SON JUGEMENT • LA CONFIDENTIALITÉ • NE PAS DIVULGUER LES INFORMATIONS REÇUES • LA COMPÉTENCE • REQUISE POUR MENER À BIEN LES TRAVAUX 76

  77. CONDUITE D’UNE MISSION D’AUDIT CODE D’ÉTHIQUE ET ATTITUDE DE L’AUDITEUR

    • OPTER POUR UNE ATTITUDE DE NEUTRALITÉ • MENER LES ENTRETIENS EN VEILLANT À NE PAS MANIFESTER SON OPINION ET À NE PAS PORTER DE JUGEMENT DE VALEUR • JUGER LES PROCESSUS ET PAS LES PERSONNES • NE PAS CHERCHER À SE SUBSTITUER AUX DÉCIDEURS • INFORMER RÉGULIÈREMENT LE DEMANDEUR D’AUDIT SUR L’AVANCEMENT DE LA MISSION, LES PROBLÈMES RENCONTRÉS.... 77

  78. CONDUITE D’UNE MISSION D’AUDIT QUE FAIRE EN CAS DE DÉTECTION

    DE FRAUDE ? • LES PROCÉDURES DE CONTRÔLE INTERNE N’ÉLIMINENT PAS COMPLÈTEMENT LES FRAUDES • L’AUDITEUR PEUT ÊTRE À MÊME DE CONSTATER DES FRAUDES • IL DOIT EN RÉFÉRER AU DEMANDEUR D’AUDIT ET NE PAS CHERCHER À INVESTIGUER DE SA PROPRE INITIATIVE • LE DEMANDEUR PRENDRA LA DÉCISION LA MIEUX ADAPTÉE À L’AMPLEUR DE LA FRAUDE 78