PROCESSUS

SYSTÈME
D’INFORMATION
CAS : MAROC TELECOM

Réalisé par : Encadré par :

CHACHE BOUTAINA MR.AZEGAGH JALAL
CHAIB ELMEHDI
CHAKIR SALIM
CHERITE RADWA
CHERKAOUI SALIHA YASMINE
CHKAIR DOUAAE
CHOQAIRI AMIRA
DAKI DOUAA
DHICHI OMAR
DRIF RIHAB

Année universitaire : 2024/2025

 Sommaire

Introduction

Partie 1 : Cadre théorique

I-Processus Système d’information

1. Définition et importance de Système d’information
2. Les objectifs du Système d’information

II-L' audit du processus de Système d’information

1. Définition, enjeux et portée de l’audit des SI
2. Acteurs et organisations impliquées dans les SI
3. Évolution de l’audit des SI et des entités auditées
4. Outils utilisés dans l’audit des processus des SI
5. Caractéristiques spécifiques de l’audit des processus SI
6. Les domaines du processus de SI

Partie 2 : Cas pratique

I-Présentation de l’organisation
II-Audit du processus de Système d’information
III- Entretien

Conclusion
 REMERCIEMENT

Nous tenons à exprimer notre sincère gratitude à Mr.Azegagh

pour son engagement et son accompagnement tout au long du
cours d'audit de fonctions et processus.
cette matière nous a offert une précieuse opportunité afin de
relier les concepts théoriques à des situations pratiques,
favorisant ainsi une meilleure compréhension des réalités du
monde professionnel.
Nous sommes reconnaissants pour vos précieux conseils et la
qualité de votre enseignement, qui ont été une source
d'enrichissement et d'inspiration tout au long de cette formation.
Introduction

Dans le monde actuel, où la digitalisation est un impératif stratégique, les

systèmes d’information (SI) jouent un rôle central dans la transformation des
entreprises. Ils permettent de gérer l’ensemble des flux d’informations
indispensables à la prise de décision et à la réalisation des objectifs
organisationnels.

Cependant, leur mise en place n’est pas sans défis. Les entreprises doivent faire
face à une complexité croissante due à la diversité des technologies, à la
nécessité de sécuriser les données, et à l’évolution rapide des besoins. Ces
éléments rendent le processus des SI crucial, car il permet de structurer et
d’optimiser l’utilisation de ces ressources.

Ce rapport se concentre sur l’analyse du processus des systèmes d’information,

en décrivant ses principales étapes, les risques associés et les moyens de
maîtrise. Il vise également à démontrer comment les entreprises peuvent tirer
parti d’un SI performant pour renforcer leur compétitivité et leur capacité à
innover dans un environnement économique dynamique.

4
Partie 1 : Cadre théorique
I-Processus Système d’information

1-Définition et importance de Système d’information

Un système d’information (SI) désigne un ensemble intégré de ressources humaines,

technologiques et organisationnelles permettant de collecter, traiter, stocker, sécuriser
et diffuser l’information. Il constitue le socle des opérations stratégiques et
quotidiennes des entreprises modernes.

Le processus SI, quant à lui, regroupe l’ensemble des étapes nécessaires à la

conception, au développement, au déploiement et à la maintenance du système
d’information. Il est structuré pour répondre efficacement aux besoins organisationnels
et pour garantir une interaction fluide entre les utilisateurs et les technologies utilisées.

Ce processus est essentiel car il permet de gérer les flux d’informations de manière
sécurisée et performante. En outre, il contribue à anticiper et à réduire les risques tels
que les failles de sécurité ou les dysfonctionnements opérationnels. Chaque étape du
processus SI joue un rôle spécifique dans la réalisation de ces objectifs, rendant
indispensable une approche méthodique et adaptée à chaque entreprise.

2-Les objectifs du Système d’information

Le processus d’un SI a des objectifs qui visent à améliorer l'efficacité, la performance et

la compétitivité de l'organisation. Ces objectifs sont multiples et se déclinent en
plusieurs axes :

a. Soutenir la prise de décision

L'un des objectifs principaux du SI est d'offrir aux décideurs des informations précises
et actualisées, facilitant ainsi les choix stratégiques, tactiques et opérationnels. Grâce à
des rapports automatisés, des tableaux de bord, et des analyses prédictives, le SI aide
les gestionnaires à prendre des décisions basées sur des données fiables plutôt que
sur des intuitions.

b. Améliorer l’efficacité des processus internes

Un SI bien intégré permet d'optimiser les processus opérationnels de l'organisation. Par

exemple, il facilite l'automatisation des tâches répétitives (comme la facturation, la
gestion des stocks ou le suivi des commandes), ce qui réduit le risque d'erreurs
humaines, diminue les coûts et améliore la productivité

5
.

c. Assurer la conformité et la sécurité

Le SI vise également à garantir que l'organisation respecte les exigences légales,

réglementaires et normatives (par exemple, les normes ISO, la conformité aux lois sur la
protection des données personnelles). Cela comprend la gestion de la sécurité des
informations et la mise en place de politiques pour assurer la confidentialité et l'intégrité des
données.

d. Favoriser la collaboration et la communication

Un SI performant est un facilitateur de la collaboration interne et externe. Les outils de partage

d'information, les messageries, les plateformes collaboratives permettent de fluidifier les
échanges entre les équipes et les départements. Cela aide à renforcer la cohésion
organisationnelle et à améliorer la réactivité face aux problèmes et aux opportunités.

e. Renforcer la compétitivité et l’innovation

L’objectif ultime d’un SI est d’apporter un avantage compétitif à l’organisation. Un SI permet

d’identifier des opportunités commerciales, de mieux comprendre les besoins des clients,
d'améliorer les produits et services existants, et d'anticiper les évolutions du marché. Un SI
efficace aide ainsi l'entreprise à innover en apportant un avantage concurrentiel.

f. Soutenir la croissance et l’adaptation à l’environnement externe

Le SI permet également à une organisation de s’adapter rapidement aux changements de son

environnement externe, qu'il s'agisse de l'évolution de la demande, des modifications
législatives ou de l’arrivée de nouveaux concurrents. Grâce à des outils d’analyse avancés
(comme l'analyse de données massives ou big data), l'organisation peut anticiper les
tendances du marché et ajuster ses stratégies en temps réel.

II-L'audit du processus de Système d’information

1. Définition, enjeux et portée de l’audit des SI

A-Définition de l’audit du processus des SI

L'audit de processus de systèmes d'information (SI) est une démarche structurée visant à
évaluer l'efficacité, la sécurité et la conformité des processus liés aux systèmes d'information
d'une organisation. Ce type d'audit se concentre sur l'analyse des procédures et des contrôles
en place, afin de garantir que les systèmes d'information soutiennent les objectifs
stratégiques de l'entreprise tout en respectant les réglementations en vigueur.

6
Un audit de processus est un examen systématique et objectif des activités opérationnelles
qui composent un processus au sein d'une organisation. Il vise à identifier les inefficacités, les
risques potentiels et les opportunités d'amélioration. Cet audit peut inclure divers types de
processus, tels que ceux liés à la gestion des données, la sécurité informatique, ou encore la
conformité aux normes comme ISO 27001

B-Enjeux de l’audit du processus SI

Les enjeux de l’audit des systèmes d’information reflètent l’importance stratégique de ces
systèmes dans le fonctionnement et la compétitivité des entreprises. Voici une élaboration
détaillée des enjeux :

a. Sécurisation des données sensibles

Avec la multiplication des cyberattaques et des menaces informatiques, il est crucial de

protéger les données critiques. L’audit identifie les failles de sécurité (accès non autorisés,
faiblesse des mots de passe, absence de cryptage) et propose des recommandations
pour renforcer la protection des données.
Cet enjeu concerne à la fois les données internes (financières, RH, etc.) et les données
externes (clients, partenaires, etc.).

b. Réduction des risques financiers

Les défaillances des systèmes d’information peuvent provoquer des pertes importantes :
arrêts de production, sanctions légales pour non-conformité, ou encore détournements
de fonds.
L’audit permet d’évaluer le coût potentiel des risques et de mettre en place des mesures
préventives pour les limiter.

c. Amélioration de la performance organisationnelle

Les systèmes d’information sont au cœur des processus métier. Un audit aide à identifier
les inefficacités, comme des logiciels obsolètes ou des processus redondants.
En optimisant les outils et en les alignant avec les objectifs stratégiques, l’entreprise peut
gagner en productivité et en compétitivité.

d. Prévention des interruptions de service

Une panne informatique peut paralyser les activités d’une entreprise pendant des heures,
voire des jours.
L’audit évalue la résilience des systèmes et la solidité des plans de continuité d’activité et
de reprise après sinistre .
L’enjeu ici est d’assurer une disponibilité continue des services pour minimiser les
impacts sur les opérations et les clients.

7
e. Renforcement de la confiance des parties prenantes

Les partenaires, clients et employés doivent pouvoir compter sur la fiabilité des
systèmes d’information.
Un audit réussi renforce la crédibilité de l’organisation et montre qu’elle respecte les
normes de qualité et de sécurité.

f. Conformité aux exigences réglementaires

Les entreprises doivent se conformer à des normes légales et sectorielles strictes (par
exemple, ISO 27001 pour la gestion de la sécurité).
L’audit garantit que les systèmes d’information sont en conformité et minimise le
risque de sanctions légales.

C-Portée de l’audit des systèmes d’information

L’audit des systèmes d’information s’étend sur plusieurs dimensions pour garantir une
analyse complète et approfondie. Chaque domaine audité joue un rôle essentiel dans la
santé globale du système.

a. Infrastructure technologique

Analyse des équipements matériels et des logiciels : serveurs, réseaux, postes de

travail, périphériques, etc.
Vérification des capacités de stockage, de la vitesse de traitement et de la fiabilité des
infrastructures pour répondre aux besoins opérationnels.
Évaluation de l’obsolescence technologique et des investissements nécessaires pour
maintenir une infrastructure performante.

b. Processus informatiques

Évaluation des processus de gestion et de maintenance : mises à jour, sauvegardes,

gestion des incidents.
Analyse de la gestion des changements technologiques pour s’assurer que les
nouvelles solutions sont bien intégrées.
Vérification des plans de continuité d’activité (PCA) et de reprise après sinistre (PRS)
pour garantir la résilience en cas de panne ou de crise.

c. Applications et outils métier

Vérification de l’adéquation des logiciels métier avec les besoins de l’entreprise.

Identification des redondances, des fonctionnalités inutilisées ou des lacunes dans les
outils en place.
Analyse des cycles de vie des applications et des besoins de mise à jour ou de
remplacement.

8
d. Sécurité des systèmes

Audit des mécanismes de protection contre les menaces : pare-feu, antivirus, cryptage,
gestion des accès.
Évaluation de la gestion des droits utilisateurs pour limiter les accès non autorisés.
Tests de vulnérabilité pour identifier les failles exploitables.

e. Conformité réglementaire

Vérification que les systèmes respectent les lois et normes applicables, telles que le RGPD
pour les données personnelles ou la directive NIS pour la cybersécurité.
Audit des pratiques de conservation, d’accès et de destruction des données pour garantir
leur conformité.

f. Gestion des utilisateurs et des compétences

Analyse des compétences des utilisateurs et de leur capacité à exploiter les outils
informatiques efficacement.
Identification des besoins en formation pour maximiser l’utilisation et la compréhension
des systèmes.

. 2. Acteurs du système d’information

Le système d’information joue un role primordial dans la gestion des organisations, il nécessite
la collaboration de plusieurs acteurs pour leur conception, leur mise en oeuvre et maintien.
ces acteurs se répartissent principalement en deux catégories principales:

A. Les acteurs internes: qui appartiennent à l’organisation

Directeur des systèmes d’information : son rôle est le pilotage des stratégies du
système d’information en l'alignant avec les objectifs de l’organisation
Responsable de la sécurité des SI : garantir la confidentialité, l’intégrité et la disponiblité
des systèmes et données
Responsable d’assurance qualité : veiller à ce que le processus SI respecte les standards
de qualité

B. Les acteurs externes:

Prestataires de services : fournissent les services techniques, ou logiciels nécessaires au

bon fonctionnement du SI
Auditeurs externes : évaluent la conformité des SI aux réglementations et aux bonnes
pratiques
Régulateurs et organismes de normalisation: imposent des standards pour assurer la
qualité et la sécurité des SI

9
3. Évolution de l’audit des SI et des entités auditées

L'évolution de l'audit des systèmes d'information (SI) et des entités auditées est marquée
par plusieurs phases importantes, chacune reflétant l'évolution technologique, les enjeux
de sécurité, la gouvernance et les exigences de conformité. Voici un aperçu de cette
évolution :

A. Contrôle de la Comptabilité Informatique (Années 1960-1980)

Contexte : À cette époque, l'audit des SI se concentrait principalement sur les

processus comptables et financiers, visant à garantir l'intégrité des données
comptables.
Techniques : Les auditeurs utilisaient des méthodes manuelles pour vérifier les
transactions et appliquer des contrôles de base sur les accès.

B. Automatisation et Intégration (Années 1980-1990)

Contexte : Avec l'apparition des ordinateurs personnels et l'intégration des logiciels de

gestion, le champ de l'audit des SI s'est élargi pour englober les processus intégrés au
sein des systèmes d'information.
Techniques : L'utilisation d'outils de tests automatisés a commencé à se généraliser
pour vérifier les applications, accompagnée de l'instauration de contrôles d'accès et
de procédures de sécurité.

C. Gouvernance et Sécurité (Années 2000)

Contexte : L'émergence d'Internet, des réseaux informatiques et des cyberattaques a

placé la sécurité des systèmes d'information au cœur des préoccupations. Des
normes telles qu'ISO 27001 et COBIT ont été établies pour offrir des cadres de
gouvernance adaptés aux SI.
Techniques : Cette période a vu la mise en œuvre d'audits de conformité et de
contrôles de sécurité approfondis.

D. Transformation Numérique et Analyse de Données (Années 2010)

Contexte : L'intégration croissante des technologies numériques dans les systèmes

d'information a transformé la manière dont les audits sont réalisés, notamment grâce à
la collecte et à l'analyse massive de données.
Techniques : Les auditeurs ont commencé à utiliser l'analyse de données pour
détecter les anomalies, à réaliser des audits sur les systèmes cloud, à effectuer des
tests de sécurité dans divers environnements, ainsi qu'à mener des audits sur la
gouvernance des données.

11
10
E. Audit Continu et IA (Années 2020 et au-delà)

Contexte : Les SI deviennent de plus en plus complexes avec l'intelligence artificielle et

l'automatisation des processus métiers.
Techniques : Surveillance en continu des SI, utilisation de l'IA pour l'analyse de risques,
détection des anomalies et analyse prédictive pour anticiper les problèmes.

Évolution des Entités Auditées

Les entités auditées ont également connu une transformation significative. Initialement
constituées de simples systèmes comptables, elles englobent désormais des
environnements numériques complexes, intégrant des processus métiers étendus, des
infrastructures cloud et des services décentralisés. Cette évolution a contraint les
auditeurs à acquérir de nouvelles compétences, à adopter des technologies d'audit
modernes et à se conformer à des normes de sécurité et de gouvernance de plus en
plus rigoureuses.

L'audit des SI est ainsi passé d'une vérification simple des contrôles financiers à une
discipline complexe et technologique, visant à sécuriser, optimiser et gouverner des
systèmes de plus en plus sophistiqués.

4. Outils de l’audit des processus SI :

L’audit des processus des systèmes d’information (SI) nécessite l’utilisation de divers outils
permettant d’évaluer l’efficacité, la conformité et la sécurité des systèmes en place. Ces
outils aident les auditeurs à analyser les processus de manière approfondie, à identifier les
risques potentiels et à proposer des améliorations. Voici quelques-uns des outils utilisés
dans ce cadre pour garantir la qualité et la performance des SI.

Méthodes d’analyse

Diagramme d’Ishikawa : Outil pour analyser les causes profondes d’un problème en les
classant dans des catégories comme le matériel, les méthodes, et les ressources
humaines.

Analyse des procédures écrites: Vérification que les procédures formelles, telles que
les politiques de sécurité et de gestion des accès, sont effectivement appliquées et
correspondent aux pratiques réelles.

11
 Inspection et observation physique: L’inspection vérifie la présence des
équipements, comme les centres de données et les dispositifs de sécurité ,ainsi que
la conformité des documents. L’observation évalue l’exécution des procédures , en
s’assurant que le personnel respecte les bonnes pratiques

Test de cheminement : Vérification étape par étape du processus SI pour s’assurer

que chaque opération suit un flux cohérent et identifier d’éventuels
dysfonctionnements.

FLOW CHART ( cartographie des flux ): Diagramme représentant les interactions et

les flux de données entre les processus métiers et les systèmes d’information,
permettant de repérer les inefficacités et vulnérabilités.

Ces outils permettent un audit complet et précis des processus des systèmes
d’information, en identifiant les points à améliorer et en assurant la conformité et
l’efficacité du SI.

5. Caractéristiques spécifiques de l’audit des processus SI

L’audit des processus liés aux systèmes d’information (SI) revêt une importance
stratégique, car il s’agit d’évaluer non seulement l’efficacité des technologies utilisées,
mais aussi leur alignement avec les objectifs métiers. Contrairement à d’autres audits,
celui des processus SI se distingue par plusieurs caractéristiques clés:

1. Une nature transverse et intégrée aux fonctions de l’entreprise

Les processus SI ne se limitent pas à une seule fonction ou département. Ils traversent
toutes les activités de l’entreprise, connectant les services comme les finances, les
ressources humaines, la production, et la logistique.
Cette transversalité implique une coordination étroite entre les équipes métiers et
techniques.
L’auditeur doit comprendre l’interaction entre ces processus et leur impact sur les
performances globales de l’organisation.

Exemple : Lors de l’audit d’un ERP, il est nécessaire d’analyser son intégration avec les
différents flux métiers, tels que les commandes clients, la gestion des stocks, et les
rapports financiers.

12
14
2. Une forte dépendance aux technologies

Les processus SI reposent sur des technologies avancées, ce qui rend leur audit
particulièrement technique.
Ces processus s’appuient sur des logiciels spécifiques tels que les ERP (SAP, Oracle), les
CRM (Salesforce) ou les bases de données (SQL Server).
Les auditeurs doivent évaluer la performance, la configuration et l’interopérabilité de ces
technologies.
L’obsolescence technologique ou une mauvaise intégration peut entraîner des inefficacités
et des risques pour l’entreprise.

Exemple : Une interface mal configurée entre un CRM et un système de gestion des stocks
peut provoquer des erreurs dans les prévisions de vente et les approvisionnements.

3. Des risques spécifiques liés aux SI

L’audit des processus SI se concentre sur des risques distincts liés à l’utilisation des
technologies :
Risques de sécurité : Problèmes de cyberattaques, d’accès non autorisés, ou de vol de
données sensibles.
Risques de fiabilité : Données incorrectes ou incomplètes produites par le système,
entraînant de mauvaises décisions.
Risques d’interruption : Pannes ou dysfonctionnements impactant la continuité des activités.
Dépendance aux tiers : Lorsque des services SI (cloud, prestataires) sont externalisés, les
niveaux de service (SLA) et la sécurité doivent être audités.

Exemple : Une interruption non planifiée d’un système ERP dans une usine peut provoquer
des retards dans la production et perturber la chaîne d’approvisionnement.

4. Critères spécifiques d’évaluation

Pour évaluer un processus SI, plusieurs critères distincts doivent être étudiés :
Efficacité : Le processus SI atteint-il ses objectifs dans les délais impartis ?
Fiabilité : Les informations produites sont-elles cohérentes, complètes et exactes ?
Sécurité : Les contrôles en place protègent-ils les données contre les menaces internes et
externes ?
Conformité : Le processus respecte-t-il les normes et régulations (ISO 27001, RGPD) ?
Performance : Le processus utilise-t-il les ressources technologiques de manière optimale ?

Ces critères permettent d’identifier les points forts et les faiblesses des processus SI tout en
garantissant qu’ils contribuent efficacement aux objectifs globaux de l’entreprise.

13
 6. Les domaines du processus de SI
Étape 1 : Accès aux systèmes d’information

Protéger le SI contre les accès non autorisés et autres, tout en assurant que les
utilisateurs légitimes puissent utiliser les ressources nécessaires pour leur travail.

Risques :
Non contrôle de l’accès aux SI
Listes des personnes autorisées ne sont pas mises à jour
Absence de segmentation des accès

Points de contrôle :
Politiques d'accès,
Gestion des mots de passe,
Suivi des accès,

Conséquences :
Vol ou modification de données sensibles et du système,
risque de fraude interne.

Éléments de maitrise :
Vérification de la liste de personnes autorisées d’accéder aux SI et aux fichiers
sensibles
Procédure bien établie de mises à jour des mots de passe
Attribuer la tâche de la gestion d’accès à une personne

Étape 2 : Sécurité physique des systèmes d’information

S’assurer de l’existence d’un système de sécurité permettant la protection des

données contre les risques.

Risques :
Destruction des fichiers
Insuffisance des mesures de protection contre les menaces externes (cambriolage…)
Insuffisance de la sécurité incendie

Points de contrôle :
Contrôles d'accès physiques,
Suivi des incidents de sécurité physique

Conséquences :
Perte de données critiques
Interruption des activités
Dégradation de l’image de l’entreprise

Éléments de maitrise :
Gestion des accès à la salle informatique par badge.
Mise en place de moyens de protection pour les installations et matériels sensibles.

14
Étape 3 : Gestion des relations extérieures

S’assurer de la maîtrise des relations avec les sociétés extérieures (fournisseurs ou

autres), c'est-à-dire travailler efficacement avec des partenaires tout en maintenant un
contrôle strict pour protéger le SI.

Risques :
Altération des données par des tiers
Manque de maîtrise du SI
Pratiques illégales avec les prestataires

Points de contrôle :
Suivi des contrats
évaluation régulière des performances des niveaux.

Conséquences :
Dépendance accrue vis-à-vis du prestataire
Dégradation de la qualité de service.
Risque d’accès non autorisé au SI

Éléments de maitrise :
Constitution et validation du contrat par un organisme compétent
Choix des prestataires certifiés
Réduire le niveau de dépendance vis-à-vis du prestataire

Étape 4 : Gestion des sauvegardes

Garantir que les données sont sauvegardées de manière périodique et sécurisée sur
différents supports et à différents endroits, pour protéger les informations stratégiques
et assurer leur disponibilité en cas de besoin.

Risques :
Absence de sauvegarde régulière en fonction du niveau d'importance des données.
Absence de protocole de stockage de sauvegarde
Sauvegarde sur un support unique.

Points de contrôle :
Inventaire des sauvegardes réalisées.
Vérification de la correspondance entre le nombre de sauvegardes enregistrées et
le volume des stocks de sauvegardes disponibles.
Attribution de codes pour classer l'importance des données.

Conséquences :
Incapacité à restaurer en priorité les données les plus critiques.
Perte d'informations stratégiques.
Risque financier

Éléments de maitrise :
Mise en place d’une salle dédiée au stockage des sauvegardes, avec des accès
sécurisés et restreints.
Gestion des accès par un registre permettant de suivre les personnes autorisées à
consulter les sauvegardes.

15
 Étape 5 : Maintenance

Assurer la pérennité et le bon fonctionnement des systèmes en réduisant les

interruptions, en corrigeant les bugs et en prévenant les pannes ou les sinistres qui
pourraient compromettre les activités.

Risques :
Absence de mises à jour des logiciels.
Licences non renouvelées.
Répétition de bugs.
Interruptions d'électricité.

Points de contrôle :
Catégorisation des bugs génériques.
Réactivité des personnes chargées de régler les bugs, tableaux de bord des
performances du service
Délimitation du périmètre d'intervention de la maintenance.

Conséquences :
Risque de perte de données.
Difficultés d'accès au système d'information
Interruption de l'activité.

Éléments de maitrise :
Mise en place de moyens permettant la reprise d’activité en cas de panne ou de perte
de données significative (plan de reprise d’activité, contrat de maintenance, etc.).
Création d’un service interne de maintenance, incluant une hotline et un support client.

Étape 6 : Pertinence du SI

Assurer que le système informatique est adapté aux besoins de l’entreprise et qu’il
fonctionne efficacement. Cela permet d’optimiser les ressources et de garantir la
cohérence dans les activités informatiques.

Risques :
Manque de personnel compétent ou de matériel performant.
Absence de formations pour les utilisateurs.
Complexité accrue du système.

Points de contrôle :
Formations périodiques et renouvellement des équipements.
Alignement des besoins utilisateurs avec les outils.
Redéfinition des applications périodiquement.

16
Conséquences :
Inadéquation du système aux besoins, pertes de temps et de ressources.
Insatisfaction des utilisateurs, risques financiers.

Éléments de maitrise :
Politique de choix des matériels et suivi des coûts.
Définir les priorités de développement et améliorer la communication avec les utilisateurs.

Étape 7 : Fiabilité du SI

Garantir que les informations produites par le système sont exactes, cohérentes et
sécurisées. Cela évite des erreurs coûteuses et préserve l’intégrité des données.

Risques :
Logiciels non mis à jour, infrastructures inadéquates.
Absence de solutions de sauvegarde (back-up).

Points de contrôle :
Procédures de maintenance régulières.
Usage de modèles conceptuels (MCD) et salles blanches.

Conséquences :
Perte de qualité des données, dégradation accélérée du système.

Éléments de maitrise :
Définir l’architecture et les exigences des systèmes.
Mettre en place des sauvegardes régulières et des contrôles de sécurité.

Étape 8 : La documentation

La finalité consiste à s’assurer de l’existence d’une base de documentation du système

d’information, accessible et régulièrement mise à jour, afin de garantir l’atteinte des objectifs
fixés.

Risques :
Documents non mis à jour régulièrement
Difficultés d’accès aux documents en raison d’un mauvais classement
Absence ou incomplétude des documents nécessaires

Points de contrôle :
Procédure de gestion documentaire
Base de données documentaires

17
Conséquences :
Machine et outils difficilement à réparer rapidement
Non-utilisation optimale des SI
Risques juridiques en cas de pertes d’informations réglementaires
Formation insuffisante des nouveaux employés

Éléments de maitrise :
Créer une documentation structurée, actualisée et facile d'accès
Rendre les documents essentiels disponibles en temps utile.
Archivage numérique et papier des informations critiques
Dissocier documentation technique et utilisateur

Étape 9 : Utilisation du système d’information

La finalité est de veiller à ce que les règles d’utilisation des systèmes d’information
soient clairement définies et communiquées à l’ensemble des utilisateurs, ainsi que
garantir que ces règles s’appliquent également aux sous-traitants et aux prestataires de
services.

Risques :
Absence des procédures définies pour assurer la sécurité du système d’information
Diffusion insuffisante des règles
Absence des clauses de confidentialité avec les prestataires externes ayant accès
au SI
Non-respect des politiques de sécurité par manque de sensibilisation

Points de contrôle :
Charte informatique.
Diffusion/affichage de la charte informatique.
Formation des collaborateurs.

Conséquences :
Risques accrus pour la sécurité des données et perte des données dues à des accès
non autorisés
Exposition à des fuites d'informations confidentielles
Mauvaise utilisation des ressources SI

Éléments de maitrise :
Rédaction d’une charte informatique
Inclure la charte dans le contrat de travail
Intégration des clauses de confidentialité dans les contrats avec les prestataires

18
 Cas pratique
MAROC TELECOM

Documentat
-ion et
Évaluation Suivi
du contrôle
Identification interne
des risques
majeurs
Validation
des
référentiels
Planification
 I-Présentation de l’organisation

Maroc Telecom est le principal opérateur de télécommunications au Maroc,

offrant des services de téléphonie mobile, fixe et Internet haut débit. Dans le
cadre de son service après-vente, l’entreprise gère un processus crucial de
retour des équipements ADSL, afin d’assurer la satisfaction des clients et le
bon fonctionnement des services. L’objectif de cet audit est d’évaluer le
système d'information associé à ce processus de retour, en analysant son
efficacité, sa gestion des stocks et la traçabilité des retours, tout en
proposant des améliorations potentielles pour optimiser le processus et
renforcer la satisfaction client.

20
 II-Audit du processus de Système d’information

Planification

A- Objet:

Cet audit porte sur l'évaluation de la performance du système d'information (SI) utilisé dans le
processus de retour des équipements ADSL chez Maroc Telecom. Il se concentre sur les
critiques sous-processus, telles que l'accès au SI, la sécurité des systèmes, la gestion des
sauvegardes, et la pertinence des données pour assurer un traitement optimal des retours.

B- Objectif :

Analyser l'efficacité des sous-processus SI dans la gestion des retours d'équipements.

Évaluer les contrôles internes en place pour sécuriser et garantir la fiabilité du système.
Identifier les risques et dysfonctionnements susceptibles de ralentir ou d'impacter la
qualité du processus.
Proposer des recommandations concrètes pour améliorer la gestion et l'utilisation du SI.

C- Intérêt de l'audit:

Perspective stratégique :
Ce processus est crucial pour la satisfaction des clients et l'image de marque de Maroc
Telecom. Une gestion optimale grâce au SI contribue à réduire les délais, à améliorer la
traçabilité et à limiter les pertes financières ou matérielles.
Perspective opérationnelle :
Une des performances SI dans ce domaine permettra de :
Mieux sécuriser les données des équipements et des clients.
Réduisez les erreurs humaines dans l'enregistrement et le suivi des retours.
Automatisez certaines tâches pour gagner du temps et réduire les coûts opérationnels.
Perspective de conformité :
Garantir que le processus respecte les normes en vigueur (ex. protection des données, gestion
des actifs) renforce la fiabilité et la légitimité de Maroc Telecom.

D- Nature et caractéristiques générales de l'audit:

Cet audit est un audit de performance visant à évaluer les capacités du système d'information
dans un contexte opérationnel spécifique : le retour des équipements ADSL. Il inclut également
une analyse des risques et de la conformité par rapport aux référentiels informatiques (COBIT,
ISO 27001).

21
La politique du traitement du SI du retour du routeur ADSL

22
Validation des référentiels

COBIT (Objectifs de contrôle des technologies de l'information et des

technologies connexes)

COBIT est un référentiel de gouvernance des systèmes d'information (SI) développé par l'ISACA.
Il est conçu pour aider les entreprises à aligner leurs objectifs stratégiques avec les processus
informatiques, tout en gérant efficacement les risques et en maximisant la valeur des SI.

Principaux objectifs
Garantir que les SI répondent aux besoins métier.
Optimiser les coûts des services informatiques.
Gérer les risques liés aux SI.

ISO 27001 : Norme internationale de gestion de la sécurité de l'information

ISO 27001 est une norme internationale qui précise les exigences pour mettre en place un
système de gestion de la sécurité de l'information (SMSI). Elle est axée sur la protection des
informations sensibles, qu'elles soient physiques, électroniques ou humaines.

Principaux objectifs
Garantir la confidentialité, l'intégrité et la disponibilité des informations.
Gérer les risques liés à la sécurité de l'information.
Maintenir la conformité avec les réglementations légales et contractuelles.

Comparaison COBIT vs ISO 27001

ASPECTS COBIT ISO 27001

Principe de Gouvernance et gestion Gestion de la sécurité de
concentration des SI l'information.

Utilisation Alignement stratégique, Gestion des risques et

contrôle des processus. conformité.

Gouvernance informatique Sécurité des données et

Cible
globale. des systèmes.

Processus, indicateurs, Identification et gestion

Approche
maturité des risques.

23
Identification des risques majeurs
L’identification des risques majeurs du SI vise à recenser les vulnérabilités critiques, proposer des
contrôles adaptés et limiter leurs impacts, pour garantir la sécurité et l’efficacité opérationnelle.

Domaines Risques Points de contrôle Impact

Politiques d'accès, Gestion Vol ou modification de

Accès non autorisé des mots de passe, Suivi données sensibles et du
ACCÈS AU SI
des accès, droits système, Risque de fraude
obsolètes, Audit des droits interne.

Contrôles d'accès
Vol ou sabotage Perte de données
SÉCURITÉ physiques, Suivi des
d'équipements (serveurs, critiques ou indisponibilité
PHYSIQUE DES SI incidents de sécurité
sauvegardes). du service.
physique

Suivi des contrats et

GESTION DES
Non-respect des SLA par évaluation régulière des Dégradation de la qualité
RELATIONS
les prestataires. performances des de service.
EXTÉRIEURES
niveaux.

Plan de sauvegarde
GESTION DES Absence de sauvegardes Perte définitive de
documenté testé et
SAUVEGARDES régulières ou fiables. données critiques.
périodique.

Non-application des mises Vulnérabilités au

Suivi des versions
à jour logicielles. cyberattaques,
logicielles et planification
ENTRETIEN Entretien préventif Pannes ou défaillances du
et suivi des interventions
insuffisant. SI entraînant des
préventives.
interruptions de service

Analyse continue des

besoins des utilisateurs et Inefficacité opérationnelle
SI inadapté aux besoins
PERTINENCE DU SI l'alignement avec les et insatisfaction des
du SAV.
fonctionnalités offertes. utilisateurs.

Mise en place d'une Indisponibilité du service

Pannes fréquentes ou
FIABILITÉ DU SI surveillance continue et de pour les agences ou les
dysfonctionnements.
systèmes redondants. clients.

Mise à jour régulière et

Difficulté à former les
archivage des procédures
Documentation obsolète nouveaux employés ou à
DOCUMENTATION dans de sauvegarde
ou inexistante. résoudre les problèmes
documenté testé et
rapidement.
périodiquement.

Perte de cohérence dans

Erreurs humaines
Programme de formation le traitement des retours
fréquentes dues au
UTILISATION DU SI régulier pour les et dans les saisies de
manque de formation.
utilisateurs. données.

24
Évaluation du contrôle interne
La gestion des retours de routeurs s’articule autour de plusieurs étapes clés, de la réception à la
clôture. Chaque phase est analysée pour garantir des processus efficaces, des contrôles rigoureux
et une satisfaction client optimale.

Étapes Finalités Test de performance Test de design Résultats prévus

Examiner si les
S’assurer que tous Tous les retours
protocoles de
les retours sont Mesurer le temps moyen sont enregistrés
1. RÉCEPTION réception (checklists,
bien enregistrés pour enregistrer un retour sans erreur et
DU ROUTEUR validation du matériel)
dans le système dans le SI. dans un délai
sont bien définis et
d’information raisonnable.
suivis par les agents.

S’assurer que les

Simuler des retours pour critères de validation
Vérifier que le Validation rapide
évaluer le taux de détection (garantie, état du
matériel est et précise des
2. VALIDATION des cas non conformes matériel) sont bien
conforme aux retours selon les
DU RETOUR (routeur incomplet, non
conditions de documentés et utilisés critères prédéfinis.
couvert par la garantie). par le personnel.
retour définies.

Évaluer si les
Garantir processus de mise à
Tester la synchronisation
l’exactitude des jour des stocks sont Stocks toujours à
des données entre le
3. MISE À JOUR données sur les bien conçus pour jour après chaque
système de réception et le
DU STOCK stocks après un retour.
système de gestion des éviter les doublons ou
retour. les omissions.
stocks (ERP).

Analyser si les Les routeurs sont

S’assurer que les processus de tri et de
Vérifier le délai moyen de correctement triés
routeurs retournés classification des
4. RÉPARATION traitement des routeurs et traités dans un
sont traités selon routeurs retournés
OU RECYCLAGE défectueux par l’équipe délai
leur état respectent les
technique. acceptable.
(réparable ou non). procédures définies.

Vérifier si le processus Clients informés

de clôture comprend du statut de leur
Garantir la Mesurer le délai entre la une communication
5. CLÔTURE DU retour et
satisfaction client réception et la clôture du claire avec le client
RETOUR globalement
après le traitement retour. (email, reçu, suivi). satisfaits
du retour.
du processus.

25
La Documentation
Dans le cadre du processus de retour des équipements ADSL chez Maroc Telecom, la
documentation vise à structurer et formaliser les procédures afin de garantir une
application uniforme et fiable à travers toutes les agences. Une procédure claire doit être
rédigée pour l’enregistrement des retours d’équipements. Celle-ci devra détailler les
étapes clés telles que la collecte des informations essentielles (numéros de série, état des
équipements) et leur vérification dans le système d’information (SI). Un guide utilisateur
doit également être élaboré à destination des agents chargés du processus, expliquant en
détail l’utilisation des fonctionnalités des SI liées aux retours.

Une checklist opérationnelle peut être ajoutée pour accompagner les agents dans leurs
tâches quotidiennes, afin de limiter les erreurs humaines. L’ensemble des documents, une
fois rédigés et validés, doit être diffusé auprès des agences concernées. Enfin, des sessions
de formation doivent être organisées pour familiariser les agents avec ces nouvelles
procédures et assurer une transition fluide.

1. Rapport de Mission : Audit du Processus de Retour d’Équipements ADSL chez

Maroc Telecom

Objet de la Mission :
Évaluer la performance du système d’information (SI) utilisé pour la gestion des retours
d’équipements ADSL chez Maroc Telecom.

L’objectif principal de cette mission

Évaluer la performance du système d’information (SI) utilisé pour la gestion des retours
d’équipements ADSL chez Maroc Telecom. L’audit se concentre sur l’identification des
dysfonctionnements, l’évaluation des contrôles internes, et l’analyse de la conformité du
processus par rapport aux normes telles que COBIT et ISO 27001.

2. Champ de la Mission :
Depuis la réception des équipements dans les agences jusqu’à leur validation, mise à jour
des stocks, et traitement.

Le périmètre de cette mission couvre l’ensemble du processus de retour, depuis la

réception des équipements dans les agences jusqu’à leur validation, mise à jour des stocks,
et traitement (réparation ou recyclage). Les objectifs sont les suivants :

1. Vérifier l’exactitude des données saisies dans le SI lors des retours.

2. Évaluer la sécurité des informations et la gestion des accès au SI.
3. Identifier les lacunes dans les procédures actuelles, notamment en matière de traçabilité
et de conformité.
4. Formuler des recommandations concrètes pour améliorer l’efficacité et la fiabilité du
processus.

26
3. Résultats de la Mission :
Les tests et contrôles effectués ont permis de révéler plusieurs anomalies dans le processus :
Erreurs d’enregistrement des retours : Des numéros de série incorrects ou absents,
entraînant une traçabilité incomplète.
Accès au SI insuffisamment sécurisé : Certains utilisateurs disposaient de droits d’accès
excessifs, augmentant les risques de modifications non autorisées.
Pannes fréquentes du SI : Causant des interruptions de service et des retards dans la mise
à jour des stocks.
Absence de documentation à jour : Les agents ne disposaient pas de procédures claires,
ce qui entraînait une variabilité dans les pratiques.

4. Opinion Globale :
Contient des recommandations pour remédier aux anomalies du processus audité.
Le processus audité présente des faiblesses majeures qui impactent son efficacité et sa
conformité. L’absence de protocoles clairs et de contrôles rigoureux expose l’entreprise à des
risques d’erreurs, de pertes de données, et de non-conformité aux normes de sécurité.
Cependant, avec des ajustements ciblés, ce processus peut être significativement amélioré.

Le Suivi
Le suivi du processus de retour des équipements ADSL chez Maroc Telecom consiste à
garantir la mise en œuvre effective des recommandations formulées et à mesurer leur impact.
Pour ce faire, un tableau de bord doit être mis en place afin de suivre des indicateurs de
performance clés. Ces indicateurs incluent le nombre de retours traités quotidiennement, le
pourcentage d’erreurs d’enregistrement (par exemple, des numéros de série manquants ou
incorrects), et le temps moyen entre la réception des équipements et la mise à jour des
stocks.

Collaboration avec les Parties Prenantes et Communication Transparente : Le suivi des

recommandations passe par une collaboration active avec toutes les parties prenantes du
processus, y compris les responsables SI, les équipes de service après-vente, et les agents
de terrain. Cela permet d’assurer que les recommandations sont appliquées de manière
uniforme dans toutes les agences et que les ajustements nécessaires sont pris en compte.

La communication transparente est un facteur clé de succès : les parties prenantes

doivent être informées en temps réel des modifications apportées au SI et des
améliorations apportées aux processus. Des canaux internes comme l'intranet ou des
newsletters peuvent être utilisés pour partager les mises à jour et les bonnes pratiques.

27
 Réunions de Suivi et Production de Rapports d'État : Des réunions de suivi régulières
doivent être organisées pour évaluer les progrès des actions correctives. Ces réunions
permettent de discuter des résultats des tests effectués sur le SI, de vérifier si les
erreurs d’enregistrement des retours ont été résolues, et d’évaluer l’efficacité des
nouvelles mesures mises en place pour renforcer la sécurité des accès au SI. En
parallèle, des rapports d'état détaillant l’évolution des actions correctives doivent être
produits régulièrement (hebdomadairement ou mensuellement). Ces rapports doivent
inclure des données précises sur les performances du SI et l’impact des changements,
notamment les améliorations en termes de fiabilité du système, de réduction des
erreurs et de gestion des stocks.
Formation Continue du Personnel : Un autre aspect clé du suivi est la formation
continue du personnel. Les agents doivent être formés aux nouvelles procédures mises
en place pour améliorer la gestion des retours. Cela inclut l’utilisation optimisée du SI, la
vérification minutieuse des données lors de l’enregistrement des retours, et la gestion
sécurisée des accès. Des sessions de formation régulières, accompagnées de supports
pédagogiques, garantissent que le personnel reste à jour avec les évolutions du
processus et du SI.

28
III-Entretien avec Mr Moncef boumhrez/Consultant SAP MOA

- Existe-t-il un comité dédié à la supervision du SI (sécurité, audit, etc.) ?

Oui, la direction des SI.
Comme c'est le cas de toutes les grandes entreprises, il existe une direction chargée
de veiller au bon fonctionnement de tous les SI du groupe. Cette direction est
présente dans toutes les grandes entreprises dont l'activité est très grande et qui
exploite plusieurs SI à la fois.
- Quels indicateurs (KPI) utilisez-vous pour mesurer l'efficacité du SI ?
Je ne dispose pas d'infos sur ce sujet.
- Effectuez-vous des revues régulières des politiques et pratiques du Sl ?
C'est la direction des SI qui se charge de mettre à jour les politiques des SI
- Comment sont définis et gérés les droits d'accès aux systèmes et données ?
Les droits d'accès sont gérés par la DSI ainsi que les différentes entités
intermédiaires entre la direction des SI et les métiers ( dans les grandes entreprises,
il existe des départements dont la fonction est de jouer l'intermédiaire entre les
métiers et la direction des SI, comme la MOA par exemple).
- Y a-t-il une politique de gestion des mots de passe ou une authentification
forte ?
Je pense ça dépend du SI par exemple SAP exige une longueur définie du mot de
passe ainsi qu'un changement de ce dernier tous les 3 mois.
- Disposez-vous de mécanismes de surveillance pour détecter les accès non
autorisés ou les anomalies ?
Dans les grands groupes il y en a un département sécurité SI qui se charge de toute
tentative d'intrusion ou d'accès en dehors de l'organisation.
- ⁠Les utilisateurs reçoivent-ils des formations régulières sur l'utilisation des
systèmes ?
Oui les utilisateurs sont informés et des formations sont disposées si des
changements / de nouvelles fonctionnalités sont instaurées dans les SI.
- Existe-t-il un support technique disponible pour les utilisateurs internes et
clients ?
Le support technique est assuré par le département en charge de jouer
l'intermédiaire entre les métiers et la direction des SI.
Dans les grandes entreprises c'est l'entité MOA ( maîtrise d'ouvrage) qui joue ce rôle
d'intermédiaire.
Généralement plusieurs entités MOA sont présentes dans une organisation afin de
mieux maîtriser le support et les besoins métiers puisqu'il s'agit d'une grande
entreprise ( MOA Finance, MOA Achats, MOA Rh, MOA Digital....)

29
Conclusion

Les systèmes d’information sont devenus incontournables dans la gestion

des entreprises modernes. Bien que leur mise en œuvre comporte des
risques et des défis, un processus SI structuré et rigoureux permet d’en
maximiser les avantages.

Un SI performant constitue un levier stratégique qui renforce la

compétitivité des entreprises en accélérant les prises de décisions et en
améliorant la qualité des services. Toutefois, pour en tirer pleinement parti,
il est essentiel de maîtriser les étapes du processus, d’anticiper les risques
et d’adopter des moyens de contrôle adaptés.

Ainsi, comprendre et gérer le processus SI n’est pas seulement une

nécessité opérationnelle, mais aussi un enjeu stratégique pour toute
organisation souhaitant s’adapter à un environnement en constante
évolution.

30
 Table des matières
Introduction..............................................................................................................................................04
Partie 1 : Cadre théorique.....................................................................................................................05
I-Processus Système d’information...............................................................................................................05
1. Définition et importance de Système d’information...........................................................................................05
2. Les objectifs du Système d’information..................................................................................................................05
a. Soutenir la prise de décision......................................................................................................................................................................05
b. Améliorer l’efficacité des processus internes...............................................................................................................................05
c. Assurer la conformité et la sécurité.....................................................................................................................................................06
d. Favoriser la collaboration et la communication...........................................................................................................................06
e. Renforcer la compétitivité et l’innovation........................................................................................................................................06
f. Soutenir la croissance et l’adaptation à l’environnement externe...................................................................................06
II-L' audit du processus de Système d’information..................................................................................06
1. Définition, enjeux et portée de l’audit des SI...........................................................................................................06
A-Définition de l’audit du processus des SI............................................................................................................................................07
B-Enjeux de l’audit du processus SI..............................................................................................................................................................07
a. Sécurisation des données sensibles...................................................................................................................................................07
b. Réduction des risques financiers..........................................................................................................................................................07
c. Amélioration de la performance organisationnelle...................................................................................................................07
d. Prévention des interruptions de service..........................................................................................................................................07
e. Renforcement de la confiance des parties prenantes...........................................................................................................08
f. Conformité aux exigences réglementaires......................................................................................................................................08
C-Portée de l’audit des systèmes d’information..................................................................................................................................08
a. Infrastructure technologique....................................................................................................................................................................08
b. Processus informatiques.............................................................................................................................................................................08
c. Applications et outils métier.....................................................................................................................................................................08
d. Sécurité des systèmes.................................................................................................................................................................................09
e. Conformité réglementaire..........................................................................................................................................................................09
f. Gestion des utilisateurs et des compétences..............................................................................................................................09
2. Acteurs et organisations impliquées dans les SI..................................................................................................09
A. Les acteurs internes...........................................................................................................................................................................................09
B. Les acteurs externes..........................................................................................................................................................................................09
3. Évolution de l’audit des SI et des entités auditées...............................................................................................10
4. Outils de l’audit des processus SI.................................................................................................................................11
5. Caractéristiques spécifiques de l’audit des processus SI..................................................................................12
1. Une nature transverse et intégrée aux fonctions de l’entreprise....................................................................................12
2. Une forte dépendance aux technologies .....................................................................................................................................13
3. Des risques spécifiques liés aux SI......................................................................................................................................................13
4. Critères spécifiques d’évaluation.........................................................................................................................................................13
6. Les domaines du processus de SI................................................................................................................................14
Partie 2 : Cas pratique.............................................................................................................................19
I-Présentation de l’organisation.......................................................................................................................20
II-Audit du processus de Système d’information.......................................................................................21
Planification ............................................................................................................................................................................................................................21
Validation des référentiels ..........................................................................................................................................................................................23
Identification des risques ............................................................................................................................................................................................24
Évaluation du contrôle interne...................................................................................................................................................................................25
Documentation.....................................................................................................................................................................................................................26
Suivi ...........................................................................................................................................................................................................................................27
III-Entretien................................................................................................................................................................29
Conclusion.................................................................................................................................................30

31
SOURCES
DominiqueMOISAND & FabriceGARNIER, COBIT, éditions EYROLLES,
page 274

Le site de l’ISACA (Information Systems Audit and Control

Association), qui propose le COBIT (framework de gestion et d’audit
SI).

Documents et guides liés au RGPD (Règlement Général sur la

Protection des Données) sur le site de la CNIL (Commission Nationale
de l'Informatique et des Libertés).

Information Systems Security and Compliance: Challenges and

Solutions" par D. Straub et R. Welke, publié dans Information Systems
Research

https://www.iam.ma/groupe-maroc-telecom/nous-
connaitre/gouvernance-et-dates-cles/gouvernement-d-
entreprise/comite-d-audit.aspx

32