Audit informatique
L'audit informatique (en anglais Information Technology Audit ou IT Audit) a pour objectif d’identifier et d’évaluer les risques (opérationnels, financiers, de réputation notamment) associés aux activités informatiques d'une entreprise ou d'une administration. À cette fin, l’audit va se baser sur le cadre réglementaire du secteur d’activité du pays concerné (exemple le CRBF 97-02 pour une banque française), sur les référentiels de bonnes pratiques existants (exemple le référentiel CobiT), sur les benchmarks à disposition et sur l’expérience professionnelle des auditeurs impliqués.
Il existe deux grandes catégories d’audit. La première comporte les audits globaux d'entité durant lesquels toutes les activités ayant trait aux systèmes d’informations sont évaluées. La seconde catégorie correspond aux audits thématiques, ayant pour objectif la revue d’un thème informatique au sein d’une entité (la gestion de projet, la sécurité logique par exemple).
L’audit n’est pas à confondre avec l’activité de conseil qui vise, de manière générale, à améliorer le fonctionnement et la performance d'une organisation avec une éventuelle implication dans la mise en œuvre de cette amélioration. Ces deux activités, audit et conseil, ne peuvent être exercées pour une entité donnée par les mêmes acteurs afin de ne pas créer une situation favorable aux conflits d’intérêts.
Les concepts de base de l'audit informatique
La notion de contrôle est au cœur de la démarche d'audit informatique. L'objectif est de mettre en place des dispositifs de contrôle efficaces et performants permettant de maîtriser efficacement l'activité informatique. Le contrôle interne est un processus mis en œuvre à l'initiative des dirigeants de l'entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :
- la conformité aux lois et aux règlements,
- la fiabilité des informations financières,
- la réalisation et l'optimisation des opérations....
Il est évident que l'audit informatique s'intéresse surtout au troisième objectif.
La démarche d'audit informatique se définit à partir des préoccupations du demandeur d'audit qui peut être le directeur général, le directeur informatique, le directeur financier,… Il va pour cela mandater l'auditeur pour répondre à une liste de questions précises qui font, plus ou moins implicitement, référence à l'état des bonnes pratiques connues dans ce domaine. Cela se traduit par un document important : la lettre de mission qui précise le mandat à exécuter et qui donne les pouvoirs nécessaires à l'auditeur.
Celui-ci va ensuite s'attacher à relever des faits puis il va mener des entretiens avec les intéressés concernés. Il va ensuite s'efforcer d'évaluer ses observations par rapport à des référentiels largement reconnus. Sur cette base il va proposer des recommandations.
L'auditeur informatique va se servir de référentiels d'audit informatique lui donnant l'état des bonnes pratiques dans ce domaine. Le référentiel de base est CobiT: Control Objectives for Information and related Technology. Mais il va aussi utiliser d'autres référentiels comme : CobiT, ISO 27002, CMMi, ITIL, Val IT, Risk IT …
Différents types d'audit informatique
La démarche d'audit informatique est générale et s'applique à différents domaines comme la fonction informatique, les études informatiques, les projets informatiques, l'exploitation, la planification de l'informatique, les réseaux et les télécommunications, la sécurité informatique, les achats informatiques, l'informatique locale ou l'informatique décentralisée, la qualité de service, l'externalisation, la gestion de parc, les applications opérationnelles… Ci-dessous une présentation succincte des audits informatiques les plus fréquents.
Audit de la fonction informatique
Le but de l'audit de la fonction informatique est de répondre aux préoccupations de la direction générale ou de la direction informatique concernant l'organisation de la fonction informatique, son pilotage, son positionnement dans la structure, ses relations avec les utilisateurs, ses méthodes de travail…
Pour effectuer un audit de la fonction informatique on se base sur les bonnes pratiques connues en matière d'organisation de la fonction informatique. Elles sont nombreuses et bien connues, parmi celles-ci on peut citer :
- la clarté des structures et des responsabilités de l'équipe informatique,
- la définition des relations entre la direction générale, les directions fonctionnelles et opérationnelles et la fonction informatique,
- l'existence de dispositifs de mesures de l'activité et notamment d'un tableau de bord de la fonction informatique,
- le niveau des compétences et des qualifications du personnel de la fonction.
Il existe de nombreuses autres bonnes pratiques concernant la fonction informatique. L'audit de la fonction se base sur ces pratiques dans le but d'identifier un certain nombre d'objectifs de contrôle comme :
- le rôle des directions fonctionnelles et opérationnelles dans le pilotage informatique et notamment l'existence d'un comité de pilotage de l'informatique,
- la mise en œuvre de politiques, de normes et de procédures spécifiques à la fonction,
- la définition des responsabilités respectives de la fonction informatique et des unités utilisatrices concernant les traitements, la maintenance, la sécurité, les investissements, les développements,….
- l'existence de mécanismes permettant de connaître et de suivre les coûts informatiques, soit à l'aide d'une comptabilité analytique, soit, à défaut, grâce à un mécanisme de refacturation,
- le respect des dispositifs de contrôle interne comme une évaluation périodique des risques, la mesure de l'impact de l'informatique sur les performances de l'entreprise…
Ces différents objectifs de contrôle correspondent au processus PO 4 de CobiT : "Définir les processus, l'organisation et les relations de travail".
Audit des études informatiques
L'audit des études informatiques est un sous-ensemble de l'audit de la fonction informatique. Le but de cet audit est de s'assurer que son organisation et sa structure sont efficaces, que son pilotage est adapté, que ses différentes activités sont maîtrisées, que ses relations avec les utilisateurs se déroulent normalement,…
Pour effectuer un audit des études informatiques on se base sur la connaissance des bonnes pratiques recensées dans ce domaine. Elles sont nombreuses et connues par tous les professionnels. Parmi celles-ci on peut citer :
- l'organisation de la fonction études en équipes, le choix des personnes et leur formation, leurs responsabilités … ;
- la mise en place d'outils et de méthodes adaptés notamment une claire identification des tâches, des plannings, des budgets, des dispositifs de suivi des études, un tableau de bord… ;
- le contrôle des différentes activités qui ne peuvent pas être planifiées comme les petits projets, les projets urgents… ;
- la mise sous contrôle de la maintenance des applications opérationnelles ;
- le suivi des activités d'études à partir de feuilles de temps.
Il existe de nombreuses autres bonnes pratiques concernant les études informatiques. Pour l'auditer on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle comme :
- l'évaluation de l'organisation de la fonction d'études informatiques et notamment la manière dont sont planifiées les différentes activités d'études ;
- le respect de normes en matière de documentation des applications et notamment la définition des documents à fournir avec les différents livrables prévues ;
- le contrôle de la sous-traitance notamment la qualité des contrats, le respect des coûts et des délais, la qualité des livrables… ;
- l'évaluation de la qualité des livrables fournis par les différentes activités d'études qui doivent être testables et vérifiables ;
Il existe de nombreux autres objectifs de contrôle concernant les études informatiques et ils sont choisis en fonction des préoccupations du demandeur d'audit.
Audit de l'exploitation
L'audit de l'exploitation a pour but de s'assurer que le ou les différents centres de production informatiques fonctionnent de manière efficace et qu'ils sont correctement gérés. Il est pour cela nécessaire de mettre en œuvre des outils de suivi de la production comme Openview d'HP, de Tivoli d'IBM,… Il existe aussi un système Open Source de gestion de la production comme Nagios. Ce sont de véritables systèmes d'information dédiés à l'exploitation.
Pour effectuer un audit de l'exploitation on se base sur la connaissance des bonnes pratiques concernant ce domaine comme :
- la clarté de l'organisation de la fonction notamment le découpage en équipes, la définition des responsabilités,…
- l'existence d'un système d'information dédié à l'exploitation notamment pour suivre la gestion des incidents, la gestion des ressources, la planification des travaux, les procédures d'exploitation,…
- la mesure de l'efficacité et de la qualité des services fournies par l'exploitation informatique.
Il existe de nombreuses autres bonnes pratiques concernant l'exploitation informatique. Pour effectuer cet audit on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle comme :
- la qualité de la planification de la production,
- la gestion des ressources grâce à des outils de mesure de la charge, des simulations, le suivi des performances,…
- l'existence de procédures permettant de faire fonctionner l'exploitation en mode dégradé de façon à faire face à une indisponibilité totale ou partielle du site central ou du réseau,
- la gestion des incidents de façon à les repérer et le cas échéant d'empêcher qu'ils se renouvellent,
- les procédures de sécurité et de continuité de service qui doivent se traduire par un plan de secours,
- la maîtrise des coûts de production grâce à une comptabilité analytique permettant de calculer les coûts complets des produits ou des services fournis.
Ces différents objectifs de contrôle correspondent au processus DS 1, DS 3, DS 6, DS 12 et DS 13 de CobiT : DS 1 "Définir et gérer les niveaux de services", DS 3 "Gérer la performance et la capacité", DS 6 "Identifier et imputer les coûts", DS 12 "Gérer l'environnement physique", DS 13 "Gérer l'exploitation".
Audit des projets informatiques
L'audit des projets informatiques est un audit dont le but est de s'assurer qu'il se déroule normalement et que l'enchaînement des opérations se fait de manière logique et efficace de façon qu'on ait de fortes chances d'arriver à la fin de la phase de développement à une application qui sera performante et opérationnelle. Comme on le voit un audit d'un projet informatique ne se confond pas avec un audit des études informatiques.
Pour effectuer un audit d'un projet informatique on se base sur la connaissance des bonnes pratiques connues en ce domaine. Elles sont nombreuses et connues par tous les chefs de projets et de manière plus générale par tous professionnels concernés. Parmi celles-ci on peut citer :
- l'existence d'une méthodologie de conduite des projets,
- la conduite des projets par étapes quel que soit le modèle de gestion de projets : cascade, V, W ou en spirale (processus itératif),
- le respect des étapes et des phases du projet,
- le pilotage du développement et notamment les rôles respectifs du chef de projet et du comité de pilotage,
- la conformité du projet aux objectifs généraux de l'entreprise,
- la mise en place d'une note de cadrage, d'un plan de management de projet ou d'un plan de management de la qualité,
- la qualité et la complétude des études amont : étude de faisabilité et analyse fonctionnelle,
- l'importance accordée aux tests, notamment aux tests faits par les utilisateurs.
Il existe de nombreuses autres bonnes pratiques concernant la gestion de projet. Pour effectuer un audit d'un projet informatique on va se baser sur un certain nombre d'objectifs de contrôle comme :
- la clarté et l'efficacité du processus de développement,
- l'existence de procédures, de méthodes et de standards donnant des instructions claires aux développeurs et aux utilisateurs,
- la vérification de l'application effective de la méthodologie,
- la validation du périmètre fonctionnel doit être faite suffisamment tôt dans le processus de développement,
- la gestion des risques du projet. Une évaluation des risques doit être faite aux étapes clés du projet.
Il existe de nombreux autres objectifs de contrôle possibles concernant l'audit de projet informatique qui sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.
Ces différents objectifs de contrôle correspondent aux processus PO 10, AI 1 et AI 2 de CobiT : PO 10 "Gérer le projet" mais aussi AI 1 "Trouver des solutions informatiques" et AI 2 "Acquérir des applications et en assurer la maintenance".
Audit des applications opérationnelles
Les audits précédents sont des audits informatiques, alors que l'audit d'applications opérationnelles couvre un domaine plus large et s'intéresse au système d'information de l'entreprise. Ce sont des audits du système d'information. Ce peut être l'audit de l'application comptable, de la paie, de la facturation,…. Mais, de plus en plus souvent, on s'intéresse à l'audit d'un processus global de l'entreprise comme les ventes, la production, les achats, la logistique,…
Il est conseillé d'auditer une application de gestion tous les deux ou trois ans de façon à s'assurer qu'elle fonctionne correctement et, le cas échéant pouvoir apporter les améliorations souhaitable à cette application ou à ce processus. L'auditeur va notamment s'assurer du respect et de l'application des règles de contrôle interne. Il va en particulier vérifier que :
- les contrôles en place sont opérationnels et sont suffisants,
- les données saisies, stockées ou produites par les traitements sont de bonne qualité,
- les traitements sont efficaces et donnent les résultats attendus,
- l'application est correctement documentée,
- les procédures mises en œuvre dans le cadre de l'application sont à jour et adaptées,
- l'exploitation informatique de l'application se fait dans de bonnes conditions,
- la fonction ou le processus couvert par l'application est efficace et productif,
- …
Le but de l'audit d'une application opérationnelle est de donner au management une assurance raisonnable sur son fonctionnement. Ces contrôles sont, par exemple, réalisés par le Commissaire aux Comptes dans le cadre de sa mission légale d'évaluation des comptes d'une entreprise : est-ce que le logiciel utilisé est sûr, efficace et adapté ?
Pour effectuer l'audit d'une application opérationnelle on va recourir aux objectifs de contrôle les plus courants :
- le contrôle de la conformité de l'application opérationnelle par rapport à la documentation utilisateur, par rapport au cahier des charges d'origine, par rapport aux besoins actuels des utilisateurs,
- la vérification des dispositifs de contrôle en place. Il doit exister des contrôles suffisants sur les données entrées, les données stockées, les sorties, les traitements,… L'auditeur doit s'assurer qu'ils sont en place et donnent les résultats attendus,
- l'évaluation de la fiabilité des traitements se fait grâce à l'analyse des erreurs ou des anomalies qui surviennent dans le cadre des opérations courantes. Pour aller plus loin l'auditeur peut aussi être amené à constituer des jeux d'essais pour s'assurer de la qualité des traitements. Il est aussi possible d'effectuer des analyses sur le contenu des principales bases de données afin de détecter d'éventuelles anomalies,
- la mesure des performances de l'application pour s'assurer que les temps de réponse sont satisfaisants même en période de forte charge. L'auditeur va aussi s'intéresser au nombre d'opérations effectuées par le personnel dans des conditions normales d'utilisation.
Très souvent on demande à l'auditeur d'évaluer la régularité, la conformité, la productivité, la pérennité de l'application opérationnelle. Ce sont des questions délicates posées par le management à l'auditeur.
Audit de la sécurité informatique
L'audit de la sécurité informatique a pour but de donner au management une assurance raisonnable du niveau de risque de l'entreprise lié à des défauts de sécurité informatique. En effet, l'observation montre que l'informatique représente souvent un niveau élevé de risque pour l'entreprise. On constate actuellement une augmentation de ces risques liée au développement d'Internet. Ils sont liés à la conjonction de quatre notions fondamentales :
- en permanence il existe des menaces significatives concernant la sécurité informatique de l'entreprise et notamment ses biens immatériels,
- le facteur de risque est une cause de vulnérabilité due à une faiblesse de l'organisation, des méthodes, des techniques ou du système de contrôle,
- la manifestation du risque. Tôt ou tard le risque se manifeste. Il peut être physique (incendie, inondation) mais la plupart du temps il est invisible et se traduit notamment par la destruction des données, l'indisponibilité du service, le détournement de trafic,..
- la maîtrise du risque. Il s'agit de mettre en place des mesures permettant de diminuer le niveau des risques notamment en renforçant les contrôle d'accès, l'authentification des utilisateurs,…
Pour effectuer un audit de sécurité informatique il est nécessaire de se baser sur quelques objectifs de contrôle. Les plus courants sont :
- repérer les actifs informationnels de l'entreprise. Ce sont des matériels informatiques, des logiciels et des bases de données. Il est pour cela nécessaire d'avoir des procédures de gestion efficaces et adaptées,
- identifier les risques. Il doit exister des dispositifs de gestion adaptés permettant de surveiller les domaines à risque. Cette surveillance doit être assurée par un RSSI, un responsable de la sécurité informatique,
- évaluer les menaces. Le RSSI a la responsabilité de repérer les principaux risques liés aux différents domaines du système d'information. Un document doit recenser les principales menaces,
- mesurer les impacts. Le RSSI doit établir une cartographie des risques associés au système d'information. Il est alors envisageable de construire des scénarios d'agression et d'évaluer les points de vulnérabilité,
- définir les parades. Pour diminuer le niveau des risques il est nécessaire de prévoir les dispositifs comme des contrôles d'accès, le chiffrement des données, le plan de secours,…
Il existe de nombreux autres objectifs de contrôle concernant l'audit de la sécurité informatique qui sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.
Ces différents objectifs de contrôle correspondent aux processus de CobiT DS 5 : "Assurer la sécurité des systèmes" et PO 9 "Evaluer et gérer les risques". Il existe un référentiel spécifique à la sécurité informatique : ISO 27002. C'est un code des bonnes pratiques concernant le management de la sécurité des systèmes d'information. Il est complété par la norme ISO 27001 concernant la mise en place d'un Système de Management de la sécurité de l'Information.
Voir audit de sécurité
Démarche d'audit informatique
Une mission d'audit informatique se prépare. Il convient de déterminer un domaine d'études pour délimiter le champ d'investigation. En ce sens il est conseillé d'effectuer un pré-diagnostic afin de préciser les questions dont l'audit va traiter. Cela se traduit par l'établissement d'une lettre de mission détaillant les principaux points à auditer.
Pour mener à bien l'audit informatique il est recommandé de suivre six étapes suivantes :
- l'établissement de la lettre de mission. Ce document est rédigé et signé par le demandeur d'audit et permet de mandater l'auditeur. Il sert à identifier la liste des questions que se posent le demandeur d'audit. Très souvent l'auditeur participe à sa rédaction.
- la planification de la mission permet de définir la démarche détaillée qui sera suivie. Elle va se traduire par un plan d'audit ou une proposition commerciale. Ce document est rédigé par l'auditeur et il est soumis à la validation du demandeur d'audit. Une fois le consensus obtenu il est possible de passer à la troisième étape,
- la collecte des faits, la réalisation de tests, … Dans la plupart des audits c'est une partie importante du travail effectué par les auditeurs. Il est important d'arriver à dégager un certain nombre de faits indiscutables,
- les entretiens avec les audités permettent de compléter les faits collectés grâce à la prise en compte des informations détenues par les opérationnels. Cette étape peut être délicate et compliquée. Souvent, les informations collectées auprès des opérationnels ressemblent plus à des opinions qu'à un apport sur les faits recherchés,
- la rédaction du rapport d'audit est un long travail qui permet de mettre en avant des constatations faites par l'auditeur et les recommandations qu'il propose,
- la présentation et la discussion du rapport d'audit au demandeur d'audit, au management de l'entreprise ou au management de la fonction informatique.
Il peut arriver qu'à la suite de la mission d'audit il soit demandé à l'auditeur d'établir le plan d'action et éventuellement de mettre en place un suivi des recommandations.
Le non-respect de cette démarche peut entrainer une mauvaise réalisation et mise en place d'outils qui ne sont pas conformes aux réels besoins de l'entreprise.
Cette démarche est essentielle pour l'auditeur car il lui apporte des éléments fondamentaux pour le déroulement de sa mission mais celle-ci est encore plus bénéfique pour l'organisation. En effet, les acteurs audités ne sont pas passifs. Ils sont amenés à porter une réflexion sur leurs méthodes de travail et à s’intéresser au travail des autres acteurs de l'entité. Cela conduit à une cohésion d'équipe et à un apprentissage organisationnel. Il s'agit d'un facteur positif car en cas de changement les acteurs seront moins réticents.
Les référentiels d'audit informatique
Il existe différents référentiels comme :
- CobiT : Control Objectives for Information and related Technology. C'est le principal référentiel des auditeurs informatiques,
- Val IT permet d'évaluer la création de valeur par projet ou par portefeuille de projets,
- Risk IT a pour but d'améliorer la maîtrise des risques liés à l'informatique (Voir page en anglais Risk IT),
- CobiT and Applications Controls.
L'ISACA (Information Systems Audit & Control Association) qui est l'association internationale des auditeurs informatiques (notamment pour son corpus normatif et son knowledge center) et l'AFAI (Association Française de l'Audit et du conseil Informatique), qui est le chapitre français de l'ISACA, fournissent de nombreux supports.
Mais on peut aussi utiliser d'autres référentiels comme :
- ISO 27002 qui est un code des bonnes pratiques en matière de management de la sécurité des systèmes d'information,
- CMMi : Capability Maturity Model integration qui est une démarche d'évaluation de la qualité de la gestion de projet informatique,
- ITIL qui est un recueil des bonnes pratiques concernant les niveaux et de support des services informatiques.
La certification des auditeurs informatiques
On pourrait imaginer une certification des directions informatique ou des applications informatiques. Cela n'existe pas. Il existe par contre une certification de la qualité des projets informatiques : CMMI. En matière de qualité de service fournie par l'exploitation il y a la certification sur la norme ISO 20000 qui est un sous-ensemble d'ITIL.
Il existe par contre une procédure de certification des outsourceurs : SAS 70, Statement on Auditing Standards n°70. Cette norme a été créée par l'American Institute of Certified Public Accountants (AICPA) pour éviter à ces organismes de devoir supporter successivement plusieurs audits informatiques sur des sujets voisins. Ce sont des audits réalisés par des tiers et vont s'assurer que les processus mis en œuvre offrent la qualité du service attendue.
La norme SAS 70 a été remplacée depuis par la norme ISAE 3402 (International Standards for Assurance Engagement) entrée en vigueur le . Il s'agit d'une extension de SAS 70 qui définit les standards qu'un auditeur doit suivre pour évaluer les contrôles internes contractuels d'un organisme de service.
En matière d'audit informatique on certifie les auditeurs informatiques. La certification de référence est le CISA, Certified Information Systems Auditor. C'est une certification professionnelle internationale. Elle est organisée par l'ISACA depuis 1978. En France elle est passée depuis 1989. À ce jour dans le monde 75 000 personnes ont le CISA dont plus de 1 000 en France. L'examen peut être passé trois fois par an : en juin, en septembre et en décembre, dans 11 langues différentes et dans 200 villes dans le monde. Il faut répondre à 200 questions à choix multiples en 4 heures portant sur l'audit et l'informatique. L'examen porte sur 6 domaines :
- les processus d'audit des systèmes d'information,
- la gouvernance IT,
- la gestion du cycle de vie des systèmes et de l'infrastructure,
- la fourniture et le support des services,
- la protection des avoirs informatiques,
- le plan de continuité et le plan de secours informatique
Il existe aussi une deuxième certification des auditeurs informatiques de référence depuis 2003. il s'agit d'une certification professionnelle pour les managers en sécurité de l'information : le CISM (Certified Information Security Manager) délivrée également par l'ISACA.
Le programme de la certification est composé de 5 chapitres de la sécurité de l'information :
- La gouvernance de la sécurité de l'information
- La gestion des risques de l'information
- L'implémentation d'un programme de sécurité de l'information
- La gestion d'un programme de sécurité de l'information
- La gestion des incidents de sécurité de l'information.
À ces certifications proposées par l'ISACA, d'autres certifications peuvent s'ajouter à la panoplie de l'auditeur informatique, notamment le CISSP sur la sécurité informatique, la certification ISO27001 lead auditor, les certifications sur ITIL, Prince2, CobIT, etc. Enfin, l'obtention du CISA permet de bénéficier d'un module de la certification CIA de l'Institute of Internal Auditors (IIA), administrée en France par l'IFACI.
Notes et références
- (fr) Comment gérer efficacement les risques informatiques ?, de Marc Barbezat, une carte heuristique (mindmap) des principaux référentiels d'audit informatiques incluant une brève description pour chacun d'eux et des liens directs vers la source.
Voir aussi
Articles connexes
Liens externes
Bibliographie
- CobiT version 4.1 : Control Objectives for Information and related Technology, Edition française faite par l'AFAI (ISBN 2-915007-09-8)
- Guide d'audit des systèmes d'information, Edition française faite par l'AFAI
- Manuel de préparation CISA couramment appelé le CISA Review Manual. Il est édité dans plusieurs langues. Il existe une version en français, ISACA,
- Information Technology Control and Audit, de Gallegos, Manson et Allen-Senft, ISACA
- Portail du management
- Portail de l’informatique