Audit informatique – audit des systèmes d'information
Evaluer les risques informatiques, risques des systèmes d'information

Introduction à l'audit informatique

L'audit informatique, l'audit des systèmes d'information évalue les risques d'un environnement informatique ou d'une application, par exemple, les salaires ou la facturation. Ces missions se font en choisissant avec le client les processus métiers à évaluer, de même que les processus CobiT à évaluer parmi les 34 proposés.

L'audit d'un environnement informatique peut concerner l'évaluation des risques informatiques de la sécurité physique, de la sécurité logique, de la gestion des changements, du plan de secours, etc. Ou bien un ensemble de processus informatiques - ce qui est généralement le cas - pour répondre à une demande précise du client. Par exemple, apprécier la disponibilité des informations et des systèmes. Le CobiT permet justement de rechercher quels processus informatiques répondent le plus efficacement à une telle demande. Dans le cas de la disponibilité : par exemple la gestion des performances et des capacités et le plan de continuité.

Services offerts:

Approche générale

Un audit informatique, audit des systèmes d'information, se fait selon un schéma en 4 phases :

  1. Définition précise du plan de travail, récolte d'information, recherche et schématisation des processus métiers et/ou informatiques à apprécier, définition des rôles et responsabilités, analyse des forces - faiblesses.
  2. Analyse des processus importants, définition des risques, évaluation préliminaire des risques, de l'efficacité des contrôles.
  3. Tests des contrôles.
  4. Tests de matérialité.

Un audit informatique, audit des systèmes d'information ne concerne pas nécessairement la sécurité. En effet, il peut servir à évaluer des aspects stratégiques ou de qualité des systèmes d'information. Par exemple, répondre à la question suivante : Est-ce que les systèmes d'information de l'entreprise répondent efficacement aux besoins des services métiers ? La démarche est très similaire, en choisissant et évaluant les processus informatiques proposés par le CobiT qui répondent le mieux à la demande et aux objectifs du client.

Audit de l'infrastructure informatique

Mission

Evaluer les risques des systèmes d'information nécessaires au fonctionnement des applications. Par exemple : Sécurité physique, sécurité logique, sécurité des réseaux, plan de secours.

Livrable

Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées.

Audit d'un système - d'une application informatique en cours de réalisation

Mission

Assister l'équipe de projet à évaluer les risques lors des différentes étapes de réalisation d'un système / application informatique, proposer des mesures de réduction et de contrôle des risques importants et vérifier la qualité des processus de gestion des changements et de test du nouveau système  / de la nouvelle application.

On distingue les contrôles applicatifs suivants (Guide d'audit des applications informatiques, Chambre fiduciaire suisse, 20.5.2008):

  • création et autorisation,
  • saisie et enregistrement des données,
  • traitement des données,
  • sortie des données (output),
  • interfaces.

L'objectif des contrôles applicatifs est d'assurer (Auditing application controls, GTAG-08, The IIA, juillet 2007) que:

  • toutes les données inputs sont exactes, complètes, autorisées et correctes,
  • toutes les données sont traitées comme convenu dans une période acceptable,
  • l'enregistrement des données est exact et complet,
  • les outputs sont exacts et complets,
  • un enregistrement est maintenu pour tracer le traitement des données depuis l'input jusqu'à l'enregistrement et à l'output éventuel.

Livrable

Mesures proposées de réduction et de contrôle des risques importants du nouveau système / application informatique.

Audit d'une application informatique

Mission

Apprécier une application informatique en production, par exemple une application de gestion des salaires, une application financière, etc. Très souvent plusieurs domaines font partie d'un audit d'une application, en particulier:

  • les données opérationnelles,
  • les données de base,
  • les paramètres,
  • les interfaces entre l'application et d'autres applications,
  • la gestion des droits d'accès à l'application.

Bien entendu, tout audit d'une application doit également apprécier la sécurité de l'infrastructure informatique nécessaire au fonctionnement de l'application (cf. ci-dessus).

Livrable

Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées.

 

 
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Le contenu de cette page nécessite une version plus récente d’Adobe Flash Player.

Obtenir le lecteur Adobe Flash

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2010 Cabinet Haddou France. Tous droits réservés.