audit informatique

22
L’audit Informatique L’audit Informatique et la Qualité et la Qualité Bennani Bennani Samir Samir Ecole Ecole Mohammadia Mohammadia d’Ingénieurs d’Ingénieurs sbennani sbennani @ @ emi.ac.ma emi.ac.ma

Upload: nada-nour

Post on 05-Jul-2015

207 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: Audit informatique

L’audit Informatique L’audit Informatique et la Qualitéet la Qualité

BennaniBennani SamirSamirEcoleEcole MohammadiaMohammadia d’Ingénieursd’Ingénieurs

sbennanisbennani@@emi.ac.maemi.ac.ma

Page 2: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

Qu'estQu'est--ce que l'audit informatique ?ce que l'audit informatique ?

Pour Directeur généralPour Directeur général : : voir plus clair dans l'activité d'un voir plus clair dans l'activité d'un

service clé service clé Pour Directeur informatiquePour Directeur informatique : :

conseil en organisation par des conseil en organisation par des spécialistesspécialistesPour Directeur financierPour Directeur financier : :

apprécier la fiabilité des applications apprécier la fiabilité des applications

Page 3: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

OBJECTIFS DE L'AUDIT OBJECTIFS DE L'AUDIT INFORMATIQUE INFORMATIQUE

vérifier : vérifier : la fiabilité de l'outil Informatique la fiabilité de l'outil Informatique l'usage qui en est faitl'usage qui en est fait

Difficile à atteindreDifficile à atteindre !!!!!!impossible à un auditeur, d'avoir la certitude impossible à un auditeur, d'avoir la certitude

de fiabilitéde fiabilité

Page 4: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

ExempleExemple : : logiciel facturation dans une entrepriselogiciel facturation dans une entreprise

–– écriture des programmes claire et performante écriture des programmes claire et performante –– documentation précise et détaillée, documentation précise et détaillée, –– procédures d'exploitation sans défaut,procédures d'exploitation sans défaut,

MaisMaispeut receler des lacunes graves. peut receler des lacunes graves.

A l'inverseA l'inverse, , –– logiciel mal documenté, peu accessible,logiciel mal documenté, peu accessible,–– exploité dans des conditions déplorables...exploité dans des conditions déplorables...

peut se révéler à l'usage parfaitement peut se révéler à l'usage parfaitement fiablefiable

Page 5: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

aucun logiciel n'est parfaitaucun logiciel n'est parfaitLes bons sont des logiciels sans fautes «graves»Les bons sont des logiciels sans fautes «graves»

L'auditeur, ne peut être spécialiste de L'auditeur, ne peut être spécialiste de chacun des domaines fonctionnels qu'il chacun des domaines fonctionnels qu'il contrôle contrôle

L’audit informatique estL’audit informatique est--il utile dès lors il utile dès lors qu'aucun travail, ne peut fournir une qu'aucun travail, ne peut fournir une

certitude quant à la fiabilité des logiciels ?certitude quant à la fiabilité des logiciels ?

présomptions sur la fiabilitéprésomptions sur la fiabilité !!!!!!

Page 6: Audit informatique

LA FIABILITE DE LA FIABILITE DE L'ENVIRONNEMENT L'ENVIRONNEMENT

INFORMATIQUEINFORMATIQUE

Page 7: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

a)a) L'intérêt d'un bon contrôle interneL'intérêt d'un bon contrôle interne

Une bonne organisation d'ensemble, Une bonne organisation d'ensemble, L’existence de procédures et de L’existence de procédures et de méthodes satisfaisantes méthodes satisfaisantes

une présomption de la fiabilité et de la pérennité des une présomption de la fiabilité et de la pérennité des

logiciels développéslogiciels développés

Page 8: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

Exemples …Exemples …

Absence de politique de sauvegardeAbsence de politique de sauvegarde

Absence de Méthode normalisée de Absence de Méthode normalisée de programmationprogrammation

A A contrariocontrarioExistence de procédures de contrôle Existence de procédures de contrôle et d'autorisation et d'autorisation

Page 9: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

b) Les demandeurs d'un audit de b) Les demandeurs d'un audit de l'activité informatiquel'activité informatique

La Direction de l'entrepriseLa Direction de l'entreprisePour vérifier le respect des orientations Pour vérifier le respect des orientations

qu'il a définies qu'il a définies

Le responsable informatiqueLe responsable informatiquel'opinion motivée de spécialistes sur sa l'opinion motivée de spécialistes sur sa

propre organisation propre organisation

Les contrôleurs externesLes contrôleurs externesS’intéressent à la qualité de S’intéressent à la qualité de

l'environnement informatique l'environnement informatique

Page 10: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

c) Les composantes d'un audit de c) Les composantes d'un audit de l'activité informatiquel'activité informatique

L’examen de l'organisation du L’examen de l'organisation du service,service,L’examen des procédures liées au L’examen des procédures liées au développement,développement,l'examen des procédures liées à l'examen des procédures liées à l'exploitation,l'exploitation,l'examen des fonctions techniques,l'examen des fonctions techniques,les contrôles sur la protection et la les contrôles sur la protection et la confidentialité des données confidentialité des données

Page 11: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

d) Les méthodes d'audit de l'activité d) Les méthodes d'audit de l'activité informatiqueinformatique

Le contrôle de la fiabilitéLe contrôle de la fiabilité, se base sur , se base sur –– des entretiens avec des entretiens avec le personnelle personnel

informatique & certains utilisateursinformatique & certains utilisateurs–– des contrôles de documents ou d'états, des contrôles de documents ou d'états,

pour validation des réponses.pour validation des réponses.

outils commerciaux outils commerciaux –– bâtis autour d'un questionnaire d'audit, bâtis autour d'un questionnaire d'audit,

et d’un logiciel d’exploitationet d’un logiciel d’exploitation

Page 12: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

Des QuestionsDes Questionsestest--il possible de valider les résultats il possible de valider les résultats fondés sur les seules réponses fournies fondés sur les seules réponses fournies lors des entretiens ?lors des entretiens ?peutpeut--on avoir confiance dans des on avoir confiance dans des méthodes basées sur une autométhodes basées sur une auto-- évaluation évaluation par les informaticiens et par les par les informaticiens et par les utilisateurs de leurs propres forces et utilisateurs de leurs propres forces et faiblesses ?faiblesses ?la sécurité informatique ne constituant pas la sécurité informatique ne constituant pas une science exacte, n'est une science exacte, n'est -- il pas dès lors il pas dès lors subjectif de vouloir quantifier à tout prix subjectif de vouloir quantifier à tout prix des informations qualitatives ?des informations qualitatives ?

Page 13: Audit informatique

LA FIABILITÉ D'UNE LA FIABILITÉ D'UNE APPLICATION APPLICATION

INFORMATISÉEINFORMATISÉE

Page 14: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

se prononcer sur la qualité d'une se prononcer sur la qualité d'une application donnéeapplication donnée ::

Contrôle de fiabilité du logiciel ou de Contrôle de fiabilité du logiciel ou de l'utilisation qui en est faite ??l'utilisation qui en est faite ??

fiabilité d'une application, conjoncture:fiabilité d'une application, conjoncture:Un bon logiciel et une utilisation Un bon logiciel et une utilisation

satisfaisantesatisfaisante

Page 15: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

Adéquation du logiciel aux spécifications ou Adéquation du logiciel aux spécifications ou adéquation des spécifications fonctionnelles adéquation des spécifications fonctionnelles

aux objectifsaux objectifs

C'est la recherche d'erreur qui sera C'est la recherche d'erreur qui sera généralement privilégiée par l'auditeurgénéralement privilégiée par l'auditeur

Recherche de fraudes ou recherche d'erreursRecherche de fraudes ou recherche d'erreurs

Page 16: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

qualité des méthodes ou qualité des méthodes ou qualité des procédures d’exploitationqualité des procédures d’exploitation

La qualité des procédures de conception La qualité des procédures de conception et de réalisation des applications et de réalisation des applications constitue une présomption de fiabilité constitue une présomption de fiabilité

Contrôle de fiabilité des logiciels et Contrôle de fiabilité des logiciels et contrôle de leur pérennitécontrôle de leur pérennité

–– Qualité de conception, opposée à de Qualité de conception, opposée à de mauvaises procédures d'exploitationmauvaises procédures d'exploitation

–– Un logiciel fiable mais mal documenté, Un logiciel fiable mais mal documenté, aura une faible espérance de vieaura une faible espérance de vie

Page 17: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

méthodes d'audit d'une méthodes d'audit d'une applicationapplication

Les jeux d'essaiLes jeux d'essairarement utilisés dans l’auditrarement utilisés dans l’audit–– lourdeur de mise en œuvrelourdeur de mise en œuvre–– teste logiciels, mais pas le contenu des teste logiciels, mais pas le contenu des

fichiers;fichiers;–– manque d’exhaustivité ;manque d’exhaustivité ;–– Décèle rarement des opérations Décèle rarement des opérations

frauduleuses frauduleuses

Page 18: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

méthodes d'audit d'une application (suite)méthodes d'audit d'une application (suite)

L'examen du contrôle de L'examen du contrôle de l’environnementl’environnement–– les procédures de développement et de les procédures de développement et de

maintenancemaintenance;;–– les procédures d'exploitation;les procédures d'exploitation;–– les fonctions techniques;les fonctions techniques;–– l'organisation du service et du projetl'organisation du service et du projet;;

Page 19: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

méthodes d'audit d'une application (suite)méthodes d'audit d'une application (suite)

L'examen du contrôle interne de L'examen du contrôle interne de la fonction traitéela fonction traitée

Une application ne peut être considérée Une application ne peut être considérée comme fiable si, comme fiable si,

en dépit de logiciels de qualité, elle est en dépit de logiciels de qualité, elle est utilisée en dépit de bon sensutilisée en dépit de bon sens

Page 20: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

méthodes d'audit d'une application (suite)méthodes d'audit d'une application (suite)

réalisation par les utilisateurs de contrôles réalisation par les utilisateurs de contrôles de cohérencede cohérenceL'existence de contrôles hiérarchiquesL'existence de contrôles hiérarchiquesL'existence d'une bonne séparation des L'existence d'une bonne séparation des fonctionsfonctionsProcédures d'autorisation d’accès valablesProcédures d'autorisation d’accès valablesLa compétence et l'intégrité du personnelLa compétence et l'intégrité du personnelLa continuité du chemin de révisionLa continuité du chemin de révisionvalidations régulières du contenu des validations régulières du contenu des fichiersfichiers

Page 21: Audit informatique

AUDIT DE L’ACTIVITE AUDIT DE L’ACTIVITE INFORMATIQUEINFORMATIQUE

Page 22: Audit informatique

mardi 17 février 2004mardi 17 février 2004 Samir Samir BennaniBennani

Comment s'assurer de la qualité de Comment s'assurer de la qualité de l'environnement informatique ?l'environnement informatique ?

l'organisation générale du service, l'organisation générale du service, les procédures de développement et les procédures de développement et de maintenance, de maintenance, L’environnement de production, L’environnement de production, les fonctions techniques, les fonctions techniques, la protection et la confidentialité des la protection et la confidentialité des données. données.