Audit informatique

L'audit informatique (en anglais

Information Technology Audit ou IT Audit)
a pour objectif d’identifier et d’évaluer les
risques (opérationnels, financiers, de
réputation notamment) associés aux
activités informatiques d'une entreprise
ou d'une administration. À cette fin,
l’audit va se baser sur le cadre
réglementaire du secteur d’activité du
pays concerné (exemple le CRBF 97-02
pour une banque française), sur les
référentiels de bonnes pratiques
existants (exemple le référentiel CobiT),
sur les benchmarks à disposition et sur
l’expérience professionnelle des
auditeurs impliqués.

Il existe deux grandes catégories d’audit.

La première comporte les audits globaux
d'entité durant lesquels toutes les
activités ayant trait aux systèmes
d’informations sont évaluées. La
seconde catégorie correspond aux audits
thématiques, ayant pour objectif la revue
d’un thème informatique au sein d’une
entité (la gestion de projet, la sécurité
logique par exemple).

L’audit n’est pas à confondre avec

l’activité de conseil qui vise, de manière
générale, à améliorer le fonctionnement
et la performance d'une organisation
avec une éventuelle implication dans la
mise en œuvre de cette amélioration.
Ces deux activités, audit et conseil, ne
peuvent être exercées pour une entité
donnée par les mêmes acteurs afin de ne
pas créer une situation favorable aux
conflits d’intérêts.

Les concepts de base de

l'audit informatique
La notion de contrôle est au cœur de la
démarche d'audit informatique. L'objectif
est de mettre en place des dispositifs de
contrôle efficaces et performants
permettant de maîtriser efficacement
l'activité informatique. Le contrôle interne
est un processus mis en œuvre à
l'initiative des dirigeants de l'entreprise et
destiné à fournir une assurance
raisonnable quant à la réalisation des
trois objectifs suivants :

1. la conformité aux lois et aux

règlements,
2. la fiabilité des informations
financières,
3. la réalisation et l'optimisation des
opérations....

Il est évident que l'audit informatique

s'intéresse surtout au troisième objectif.
La démarche d'audit informatique se
définit à partir des préoccupations du
demandeur d'audit qui peut être le
directeur général, le directeur
informatique, le directeur financier,… Il va
pour cela mandater l'auditeur pour
répondre à une liste de questions
précises qui font, plus ou moins
implicitement, référence à l'état des
bonnes pratiques connues dans ce
domaine. Cela se traduit par un
document important : la lettre de mission
qui précise le mandat à exécuter et qui
donne les pouvoirs nécessaires à
l'auditeur.
Celui-ci va ensuite s'attacher à relever
des faits puis il va mener des entretiens
avec les intéressés concernés. Il va
ensuite s'efforcer d'évaluer ses
observations par rapport à des
référentiels largement reconnus. Sur
cette base il va proposer des
recommandations.

L'auditeur informatique va se servir de

référentiels d'audit informatique lui
donnant l'état des bonnes pratiques dans
ce domaine. Le référentiel de base est
CobiT: Control Objectives for Information
and related Technology. Mais il va aussi
utiliser d'autres référentiels comme :
CobiT, ISO 27002, CMMi, ITIL, Val IT, Risk
IT …

Différents types d'audit

informatique
La démarche d'audit informatique est
générale et s'applique à différents
domaines comme la fonction
informatique, les études informatiques,
les projets informatiques, l'exploitation, la
planification de l'informatique, les
réseaux et les télécommunications, la
sécurité informatique, les achats
informatiques, l'informatique locale ou
l'informatique décentralisée, la qualité de
service, l'externalisation, la gestion de
parc, les applications opérationnelles…
Ci-dessous une présentation succincte
des audits informatiques les plus
fréquents.

Audit de la fonction
informatique

Le but de l'audit de la fonction

informatique est de répondre aux
préoccupations de la direction générale
ou de la direction informatique
concernant l'organisation de la fonction
informatique, son pilotage, son
positionnement dans la structure, ses
relations avec les utilisateurs, ses
méthodes de travail…
Pour effectuer un audit de la fonction
informatique on se base sur les bonnes
pratiques connues en matière
d'organisation de la fonction
informatique. Elles sont nombreuses et
bien connues, parmi celles-ci on peut
citer ::

la clarté des structures et des

responsabilités de l'équipe
informatique,
la définition des relations entre la
direction générale, les directions
fonctionnelles et opérationnelles et la
fonction informatique,
l'existence de dispositifs de mesures
de l'activité et notamment d'un tableau
 de bord de la fonction informatique,
le niveau des compétences et des
qualifications du personnel de la
fonction.

Il existe de nombreuses autres bonnes

pratiques concernant la fonction
informatique. L'audit de la fonction se
base sur ces pratiques dans le but
d'identifier un certain nombre d'objectifs
de contrôle comme :

le rôle des directions fonctionnelles et

opérationnelles dans le pilotage
informatique et notamment l'existence
d'un comité de pilotage de
l'informatique,
la mise en œuvre de politiques, de
normes et de procédures spécifiques à
la fonction,
la définition des responsabilités
respectives de la fonction informatique
et des unités utilisatrices concernant
les traitements, la maintenance, la
sécurité, les investissements, les
développements,….
l'existence de mécanismes permettant
de connaître et de suivre les coûts
informatiques, soit à l'aide d'une
comptabilité analytique, soit, à défaut,
grâce à un mécanisme de
refacturation,
 le respect des dispositifs de contrôle
interne comme une évaluation
périodique des risques, la mesure de
l'impact de l'informatique sur les
performances de l'entreprise…

Ces différents objectifs de contrôle

correspondent au processus PO 4 de
CobiT : "Définir les processus,
l'organisation et les relations de travail".

Audit des études

informatiques

L'audit des études informatiques est un

sous-ensemble de l'audit de la fonction
informatique. Le but de cet audit est de
s'assurer que son organisation et sa
structure sont efficaces, que son pilotage
est adapté, que ses différentes activités
sont maîtrisées, que ses relations avec
les utilisateurs se déroulent
normalement,…

Pour effectuer un audit des études

informatiques on se base sur la
connaissance des bonnes pratiques
recensées dans ce domaine. Elles sont
nombreuses et connues par tous les
professionnels. Parmi celles-ci on peut
citer :

l'organisation de la fonction études en

équipes, le choix des personnes et leur
formation, leurs responsabilités … ;
 la mise en place d'outils et de
méthodes adaptés notamment une
claire identification des tâches, des
plannings, des budgets, des dispositifs
de suivi des études, un tableau de
bord… ;
le contrôle des différentes activités qui
ne peuvent pas être planifiées comme
les petits projets, les projets urgents… ;
la mise sous contrôle de la
maintenance des applications
opérationnelles ;
le suivi des activités d'études à partir
de feuilles de temps.

Il existe de nombreuses autres bonnes

pratiques concernant les études
informatiques. Pour l'auditer on va se
baser sur ces bonnes pratiques afin de
dégager un certain nombre d'objectifs de
contrôle comme :

l'évaluation de l'organisation de la
fonction d'études informatiques et
notamment la manière dont sont
planifiées les différentes activités
d'études ;
le respect de normes en matière de
documentation des applications et
notamment la définition des
documents à fournir avec les
différents livrables prévues ;
le contrôle de la sous-traitance
notamment la qualité des contrats, le
 respect des coûts et des délais, la
qualité des livrables… ;
l'évaluation de la qualité des livrables
fournis par les différentes activités
d'études qui doivent être testables et
vérifiables ;

Il existe de nombreux autres objectifs de

contrôle concernant les études
informatiques et ils sont choisis en
fonction des préoccupations du
demandeur d'audit.

Audit de l'exploitation

L'audit de l'exploitation a pour but de

s'assurer que le ou les différents centres
de production informatiques
fonctionnent de manière efficace et qu'ils
sont correctement gérés. Il est pour cela
nécessaire de mettre en œuvre des outils
de suivi de la production comme
Openview d'HP, de Tivoli d'IBM,… Il existe
aussi un système Open Source de
gestion de la production comme Nagios.
Ce sont de véritables systèmes
d'information dédiés à l'exploitation.

Pour effectuer un audit de l'exploitation

on se base sur la connaissance des
bonnes pratiques concernant ce
domaine comme :

la clarté de l'organisation de la
fonction notamment le découpage en
 équipes, la définition des
responsabilités,…
l'existence d'un système d'information
dédié à l'exploitation notamment pour
suivre la gestion des incidents, la
gestion des ressources, la planification
des travaux, les procédures
d'exploitation,…
la mesure de l'efficacité et de la qualité
des services fournies par l'exploitation
informatique.

Il existe de nombreuses autres bonnes

pratiques concernant l'exploitation
informatique. Pour effectuer cet audit on
va se baser sur ces bonnes pratiques
afin de dégager un certain nombre
d'objectifs de contrôle comme :

la qualité de la planification de la
production,
la gestion des ressources grâce à des
outils de mesure de la charge, des
simulations, le suivi des performances,
…
l'existence de procédures permettant
de faire fonctionner l'exploitation en
mode dégradé de façon à faire face à
une indisponibilité totale ou partielle
du site central ou du réseau,
la gestion des incidents de façon à les
repérer et le cas échéant d'empêcher
qu'ils se renouvellent,
 les procédures de sécurité et de
continuité de service qui doivent se
traduire par un plan de secours,
la maîtrise des coûts de production
grâce à une comptabilité analytique
permettant de calculer les coûts
complets des produits ou des services
fournis.

Ces différents objectifs de contrôle

correspondent au processus DS 1, DS 3,
DS 6, DS 12 et DS 13 de CobiT : DS 1
"Définir et gérer les niveaux de services",
DS 3 "Gérer la performance et la
capacité", DS 6 "Identifier et imputer les
coûts", DS 12 "Gérer l'environnement
physique", DS 13 "Gérer l'exploitation".
Audit des projets
informatiques

L'audit des projets informatiques est un

audit dont le but est de s'assurer qu'il se
déroule normalement et que
l'enchaînement des opérations se fait de
manière logique et efficace de façon
qu'on ait de fortes chances d'arriver à la
fin de la phase de développement à une
application qui sera performante et
opérationnelle. Comme on le voit un
audit d'un projet informatique ne se
confond pas avec un audit des études
informatiques.

Pour effectuer un audit d'un projet

informatique on se base sur la
connaissance des bonnes pratiques
connues en ce domaine. Elles sont
nombreuses et connues par tous les
chefs de projets et de manière plus
générale par tous professionnels
concernés. Parmi celles-ci on peut citer :

l'existence d'une méthodologie de

conduite des projets,
la conduite des projets par étapes quel
que soit le modèle de gestion de
projets : cascade, V, W ou en spirale
(processus itératif),
le respect des étapes et des phases du
projet,
le pilotage du développement et
notamment les rôles respectifs du chef
 de projet et du comité de pilotage,
la conformité du projet aux objectifs
généraux de l'entreprise,
la mise en place d'une note de
cadrage, d'un plan de management de
projet ou d'un plan de management de
la qualité,
la qualité et la complétude des études
amont : étude de faisabilité et analyse
fonctionnelle,
l'importance accordée aux tests,
notamment aux tests faits par les
utilisateurs.

Il existe de nombreuses autres bonnes

pratiques concernant la gestion de
projet. Pour effectuer un audit d'un projet
informatique on va se baser sur un
certain nombre d'objectifs de contrôle
comme :

la clarté et l'efficacité du processus de

développement,
l'existence de procédures, de
méthodes et de standards donnant
des instructions claires aux
développeurs et aux utilisateurs,
la vérification de l'application effective
de la méthodologie,
la validation du périmètre fonctionnel
doit être faite suffisamment tôt dans le
processus de développement,
la gestion des risques du projet. Une
évaluation des risques doit être faite
 aux étapes clés du projet.

Il existe de nombreux autres objectifs de

contrôle possibles concernant l'audit de
projet informatique qui sont choisis en
fonction des préoccupations et des
attentes du demandeur d'audit.

Ces différents objectifs de contrôle

correspondent aux processus PO 10, AI 1
et AI 2 de CobiT : PO 10 "Gérer le projet"
mais aussi AI 1 "Trouver des solutions
informatiques" et AI 2 "Acquérir des
applications et en assurer la
maintenance".

Audit des applications

opérationnelles
Les audits précédents sont des audits
informatiques, alors que l'audit
d'applications opérationnelles couvre un
domaine plus large et s'intéresse au
système d'information de l'entreprise. Ce
sont des audits du système
d'information. Ce peut être l'audit de
l'application comptable, de la paie, de la
facturation,…. Mais, de plus en plus
souvent, on s'intéresse à l'audit d'un
processus global de l'entreprise comme
les ventes, la production, les achats, la
logistique,…

Il est conseillé d'auditer une application

de gestion tous les deux ou trois ans de
façon à s'assurer qu'elle fonctionne
correctement et, le cas échéant pouvoir
apporter les améliorations souhaitable à
cette application ou à ce processus.
L'auditeur va notamment s'assurer du
respect et de l'application des règles de
contrôle interne. Il va en particulier
vérifier que :

les contrôles en place sont

opérationnels et sont suffisants,
les données saisies, stockées ou
produites par les traitements sont de
bonne qualité,
les traitements sont efficaces et
donnent les résultats attendus,
l'application est correctement
documentée,
 les procédures mises en œuvre dans le
cadre de l'application sont à jour et
adaptées,
l'exploitation informatique de
l'application se fait dans de bonnes
conditions,
la fonction ou le processus couvert par
l'application est efficace et productif,
…

Le but de l'audit d'une application

opérationnelle est de donner au
management une assurance raisonnable
sur son fonctionnement. Ces contrôles
sont, par exemple, réalisés par le
Commissaire aux Comptes dans le cadre
de sa mission légale d'évaluation des
comptes d'une entreprise : est-ce que le
logiciel utilisé est sûr, efficace et
adapté ?

Pour effectuer l'audit d'une application

opérationnelle on va recourir aux
objectifs de contrôle les plus courants :

le contrôle de la conformité de
l'application opérationnelle par rapport
à la documentation utilisateur, par
rapport au cahier des charges
d'origine, par rapport aux besoins
actuels des utilisateurs,
la vérification des dispositifs de
contrôle en place. Il doit exister des
contrôles suffisants sur les données
entrées, les données stockées, les
sorties, les traitements,… L'auditeur
doit s'assurer qu'ils sont en place et
donnent les résultats attendus,
l'évaluation de la fiabilité des
traitements se fait grâce à l'analyse
des erreurs ou des anomalies qui
surviennent dans le cadre des
opérations courantes. Pour aller plus
loin l'auditeur peut aussi être amené à
constituer des jeux d'essais pour
s'assurer de la qualité des traitements.
Il est aussi possible d'effectuer des
analyses sur le contenu des
principales bases de données afin de
détecter d'éventuelles anomalies,
 la mesure des performances de
l'application pour s'assurer que les
temps de réponse sont satisfaisants
même en période de forte charge.
L'auditeur va aussi s'intéresser au
nombre d'opérations effectuées par le
personnel dans des conditions
normales d'utilisation.

Très souvent on demande à l'auditeur

d'évaluer la régularité, la conformité, la
productivité, la pérennité de l'application
opérationnelle. Ce sont des questions
délicates posées par le management à
l'auditeur.

Audit de la sécurité
informatique
L'audit de la sécurité informatique a pour
but de donner au management une
assurance raisonnable du niveau de
risque de l'entreprise lié à des défauts de
sécurité informatique. En effet,
l'observation montre que l'informatique
représente souvent un niveau élevé de
risque pour l'entreprise. On constate
actuellement une augmentation de ces
risques liée au développement d'Internet.
Ils sont liés à la conjonction de quatre
notions fondamentales :

1. en permanence il existe des menaces

significatives concernant la sécurité
informatique de l'entreprise et
notamment ses biens immatériels,
2. le facteur de risque est une cause de
vulnérabilité due à une faiblesse de
l'organisation, des méthodes, des
techniques ou du système de contrôle,
3. la manifestation du risque. Tôt ou tard
le risque se manifeste. Il peut être
physique (incendie, inondation) mais la
plupart du temps il est invisible et se
traduit notamment par la destruction des
données, l'indisponibilité du service, le
détournement de trafic,..
4. la maîtrise du risque. Il s'agit de mettre
en place des mesures permettant de
diminuer le niveau des risques
notamment en renforçant les contrôle
d'accès, l'authentification des
utilisateurs,…

Pour effectuer un audit de sécurité

informatique il est nécessaire de se
baser sur quelques objectifs de contrôle.
Les plus courants sont :

repérer les actifs informationnels de

l'entreprise. Ce sont des matériels
informatiques, des logiciels et des
bases de données. Il est pour cela
nécessaire d'avoir des procédures de
gestion efficaces et adaptées,
identifier les risques. Il doit exister des
dispositifs de gestion adaptés
permettant de surveiller les domaines
à risque. Cette surveillance doit être
assurée par un RSSI, un responsable
de la sécurité informatique,
évaluer les menaces. Le RSSI a la
responsabilité de repérer les
principaux risques liés aux différents
domaines du système d'information.
Un document doit recenser les
principales menaces,
mesurer les impacts. Le RSSI doit
établir une cartographie des risques
associés au système d'information. Il
est alors envisageable de construire
des scénarios d'agression et d'évaluer
les points de vulnérabilité,
définir les parades. Pour diminuer le
niveau des risques il est nécessaire de
 prévoir les dispositifs comme des
contrôles d'accès, le chiffrement des
données, le plan de secours,…

Il existe de nombreux autres objectifs de

contrôle concernant l'audit de la sécurité
informatique qui sont choisis en fonction
des préoccupations et des attentes du
demandeur d'audit.

Ces différents objectifs de contrôle

correspondent aux processus de CobiT
DS 5 : "Assurer la sécurité des systèmes"
et PO 9 "Evaluer et gérer les risques". Il
existe un référentiel spécifique à la
sécurité informatique : ISO 27002. C'est
un code des bonnes pratiques
concernant le management de la
sécurité des systèmes d'information. Il
est complété par la norme ISO 27001
concernant la mise en place d'un
Système de Management de la sécurité
de l'Information.

Voir audit de sécurité

Démarche d'audit
informatique
Une mission d'audit informatique se
prépare. Il convient de déterminer un
domaine d'études pour délimiter le
champ d'investigation. En ce sens il est
conseillé d'effectuer un pré-diagnostic
afin de préciser les questions dont l'audit
va traiter. Cela se traduit par
l'établissement d'une lettre de mission
détaillant les principaux points à auditer.

Pour mener à bien l'audit informatique il

est recommandé de suivre six étapes
suivantes :

1. l'établissement de la lettre de mission.

Ce document est rédigé et signé par le
demandeur d'audit et permet de
mandater l'auditeur. Il sert à identifier la
liste des questions que se posent le
demandeur d'audit. Très souvent
l'auditeur participe à sa rédaction.
2. la planification de la mission permet
de définir la démarche détaillée qui sera
suivie. Elle va se traduire par un plan
d'audit ou une proposition commerciale.
Ce document est rédigé par l'auditeur et
il est soumis à la validation du
demandeur d'audit. Une fois le
consensus obtenu il est possible de
passer à la troisième étape,
3. la collecte des faits, la réalisation de
tests, … Dans la plupart des audits c'est
une partie importante du travail effectué
par les auditeurs. Il est important
d'arriver à dégager un certain nombre de
faits indiscutables,
4. les entretiens avec les audités
permettent de compléter les faits
collectés grâce à la prise en compte des
informations détenues par les
opérationnels. Cette étape peut être
délicate et compliquée. Souvent, les
informations collectées auprès des
opérationnels ressemblent plus à des
opinions qu'à un apport sur les faits
recherchés,
5. la rédaction du rapport d'audit est un
long travail qui permet de mettre en
avant des constatations faites par
l'auditeur et les recommandations qu'il
propose,
6. la présentation et la discussion du
rapport d'audit au demandeur d'audit, au
management de l'entreprise ou au
management de la fonction
informatique.
Il peut arriver qu'à la suite de la mission
d'audit il soit demandé à l'auditeur
d'établir le plan d'action et
éventuellement de mettre en place un
suivi des recommandations.

Le non-respect de cette démarche peut

entrainer une mauvaise réalisation et
mise en place d'outils qui ne sont pas
conformes aux réels besoins de
l'entreprise.

Cette démarche est essentielle pour

l'auditeur car il lui apporte des éléments
fondamentaux pour le déroulement de sa
mission mais celle-ci est encore plus
bénéfique pour l'organisation. En effet,
les acteurs audités ne sont pas passifs.
Ils sont amenés à porter une réflexion
sur leurs méthodes de travail et à
s’intéresser au travail des autres acteurs
de l'entité. Cela conduit à une cohésion
d'équipe et à un apprentissage
organisationnel. Il s'agit d'un facteur
positif car en cas de changement les
acteurs seront moins réticents.

Les référentiels d'audit

informatique
Il existe différents référentiels comme :

CobiT : Control Objectives for

Information and related Technology.
C'est le principal référentiel des
auditeurs informatiques,
 Val IT permet d'évaluer la création de
valeur par projet ou par portefeuille de
projets,
Risk IT a pour but d'améliorer la
maîtrise des risques liés à
l'informatique (Voir page en anglais
Risk IT),
CobiT and Applications Controls.

L'ISACA (Information Systems Audit &

Control Association) qui est l'association
internationale des auditeurs
informatiques (notamment pour son
corpus normatif et son knowledge center)
et l'AFAI (Association Française de l'Audit
et du conseil Informatique), qui est le
chapitre français de l'ISACA, fournissent
de nombreux supports.

Mais on peut aussi utiliser d'autres

référentiels comme :

ISO 27002 qui est un code des bonnes

pratiques en matière de management
de la sécurité des systèmes
d'information,
CMMi : Capability Maturity Model
integration qui est une démarche
d'évaluation de la qualité de la gestion
de projet informatique,
ITIL qui est un recueil des bonnes
pratiques concernant les niveaux et de
support des services informatiques.
La certification des
auditeurs informatiques
On pourrait imaginer une certification
des directions informatique ou des
applications informatiques. Cela n'existe
pas. Il existe par contre une certification
de la qualité des projets informatiques :
CMMI. En matière de qualité de service
fournie par l'exploitation il y a la
certification sur la norme ISO 20000 qui
est un sous-ensemble d'ITIL.

Il existe par contre une procédure de

certification des outsourceurs : SAS 70,
Statement on Auditing Standards n°70.
Cette norme a été créée par l'American
Institute of Certified Public Accountants
(AICPA) pour éviter à ces organismes de
devoir supporter successivement
plusieurs audits informatiques sur des
sujets voisins. Ce sont des audits
réalisés par des tiers et vont s'assurer
que les processus mis en œuvre offrent
la qualité du service attendue.

La norme SAS 70 a été remplacée depuis

par la norme ISAE 3402 (International
Standards for Assurance Engagement)
entrée en vigueur le 15 juin 2011. Il s'agit
d'une extension de SAS 70 qui définit les
standards qu'un auditeur doit suivre pour
évaluer les contrôles internes
contractuels d'un organisme de service.
En matière d'audit informatique on
certifie les auditeurs informatiques. La
certification de référence est le CISA,
Certified Information Systems Auditor.
C'est une certification professionnelle
internationale. Elle est organisée par
l'ISACA depuis 1978. En France elle est
passée depuis 1989. À ce jour dans le
monde 75 000 personnes ont le CISA
dont plus de 1 000 en France. L'examen
peut être passé trois fois par an : en juin,
en septembre et en décembre, dans 11
langues différentes et dans 200 villes
dans le monde. Il faut répondre à 200
questions à choix multiples en 4 heures
portant sur l'audit et l'informatique.
L'examen porte sur 6 domaines :
1. les processus d'audit des systèmes
d'information,
2. la gouvernance IT,
3. la gestion du cycle de vie des
systèmes et de l'infrastructure,
4. la fourniture et le support des services,
5. la protection des avoirs informatiques,
6. le plan de continuité et le plan de
secours informatique

Il existe aussi une deuxième certification

des auditeurs informatiques de référence
depuis 2003. il s'agit d'une certification
professionnelle pour les managers en
sécurité de l'information : le CISM
(Certified Information Security Manager)
délivrée également par l'ISACA.
Le programme de la certification est
composé de 5 chapitres de la sécurité de
l'information :

1. La gouvernance de la sécurité de
l'information
2. La gestion des risques de l'information
3. L'implémentation d'un programme de
sécurité de l'information
4. La gestion d'un programme de sécurité
de l'information
5. La gestion des incidents de sécurité de
l'information.

À ces certifications proposées par

l'ISACA, d'autres certifications peuvent
s'ajouter à la panoplie de l'auditeur
informatique, notamment le CISSP sur la
sécurité informatique, la certification
ISO27001 lead auditor, les certifications
sur ITIL, Prince2, CobIT, etc. Enfin,
l'obtention du CISA permet de bénéficier
d'un module de la certification CIA de
l'Institute of Internal Auditors (IIA),
administrée en France par l'IFACI.

Notes et références
(fr) Comment gérer efficacement les
risques informatiques ? , de Marc
Barbezat, une carte heuristique
(mindmap) des principaux référentiels
d'audit informatiques incluant une
 brève description pour chacun d'eux et
des liens directs vers la source.

Voir aussi
Articles connexes

Association française de l'audit et du

conseil informatiques (AFAI)
ISACA
CobiT
Gouvernance des technologies de
l'information
Audit de sécurité
Audit de code
Management du système
d'information
 Système de gestion de la sécurité de
l'information
ISAE 3402
CISSP

Liens externes

Association Française de l'Audit et du

conseil Informatique (AFAI)
Information Systems Audit & Control
Association (ISACA)

Bibliographie

CobiT version 4.1 : Control Objectives

for Information and related
Technology, Edition française faite par
l'AFAI (ISBN 2-915007-09-8)
Guide d'audit des systèmes
d'information, Edition française faite
par l'AFAI
Manuel de préparation CISA
couramment appelé le CISA Review
Manual. Il est édité dans plusieurs
langues. Il existe une version en
français, ISACA,
Information Technology Control and
Audit, de Callegos, Manson et Allen-
Senft, ISACA

Portail du management
Portail de l’informatique
Ce document provient de
« [Link]
title=Audit_informatique&oldid=153199206 ».

Dernière modification il y a 3 mois …

Le contenu est disponible sous licence CC BY-SA

3.0 sauf mention contraire.